App na nuvem do Office 365

Com o padrão SAML 2.0, é possível configurar o Logon único (SSO) em vários apps na nuvem. Depois que você configurar o SSO, seus usuários poderão usar as credenciais do Google Workspace para fazer login em um app.

Usar SAML para configurar o SSO do Office 365

Para realizar essa tarefa, você precisa fazer login como superadministrador.

Antes de começar

  • Adicione seu domínio do Workspace ao Microsoft Office 365. Para instruções, acesse Adicionar um domínio ao Microsoft 365.
  • Instale o PowerShell.

  • Configure o ImmutableID: o Office 365 usa o atributo ImmutableID para identificar os usuários de modo exclusivo. Para usar o SSO entre o Google e o Office 365, cada usuário do Office 365 precisa ter um ImmutableId, e o atributo ID de nome SAML enviado ao Office 365 durante o SSO precisa ser o mesmo do ImmutableId.

    O ImmutableID de um usuário do Office 365 varia de acordo com a maneira como o usuário é criado. Estas são as situações mais comuns:

    • Ainda não há usuários no Office 365: se você configurar o Google para provisionar usuários automaticamente, não precisará configurar o atributo ImmutableID. Ele é mapeado por padrão para o endereço de e-mail do usuário, o User Principle Name (UPN). Continue para a etapa 1.

    • Quando os usuários são criados no Admin Console do Office 365, o ImmutableID fica em branco. Para esses usuários, use o comando Update-MgUser do PowerShell e configure o ImmutableID no Office 365 para corresponder ao UPN do usuário:

      Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

      Você também pode usar Update-MgUser para atualizar todos os usuários em massa. Confira as etapas na documentação do PowerShell.

    • Se os usuários tiverem sido criados pela sincronização do Microsoft Entra ID, o ImmutableID será uma versão codificada do objectGUID do Active Directory. Para esses usuários:
      1. Use o PowerShell para extrair o ImmutableID do Entra ID. Por exemplo, para recuperar o ImmutableID de todos os usuários e exportar para um arquivo CSV, faça o seguinte:

        $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

      2. Crie um atributo personalizado no Google e preencha o perfil de cada usuário com o ImmutableID do Office 365. Confira as etapas em adicionar um novo atributo personalizado e atualizar um perfil de usuário. Também é possível automatizar o processo com o GAM (uma ferramenta de linha de comando de código aberto) ou com as APIs do Admin Console.

      Para mais informações sobre o ImmutableID, acesse a documentação da Microsoft.

Etapa 1: configurar o Google como um provedor de identidade SAML

  1. No Google Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.

    Para realizar essa tarefa, você precisa fazer login como superadministrador.

  2. Clique em Adicionar appe depoisPesquisar apps.
  3. Em Digitar o nome do app, digite Office 365.
  4. Nos resultados da pesquisa, passe o cursor sobre Microsoft Office 365 e clique em Selecionar.
  5. Na janela Detalhes do provedor de identidade do Google, para a Opção 2: copie o URL do SSO, o ID da entidade e o certificado:
    1. Ao lado de URL do SSO, clique em Copiar e salve o URL.
    2. Ao lado de ID da entidade, clique em Copiar e salve o ID da entidade.
    3. Ao lado de Certificado, clique em Copiar e salve o documento.

      Você precisa desses detalhes para concluir a configuração no Office 365.

Deixe o Google Admin Console aberto. Você vai continuar a configuração no Admin Console depois de concluir as etapas de configuração no app.

Etapa 2: configurar o Office 365 como um provedor de serviços SAML 2.0

  1. Abra uma janela de navegação anônima, acesse a página de login do Office 365 e faça login com sua conta de administrador do Office 365.
  2. Com um editor de texto, crie variáveis do PowerShell com os dados copiados na Etapa 1. Confira os valores necessários para cada variável:
    Variável Valor
    $DomainName "sua-empresa.com"
    $FederationBrandName "Google Cloud Identity" (ou outro valor que você escolher)
    $Authentication "Federado"
    $PassiveLogOnUrl
    $ActiveLogOnUri    		 "URL do SSO" (da Etapa 1)
    $SigningCertificate "Cole o certificado completo aqui" (da Etapa 1)*
    $IssuerURI "ID da entidade" (da etapa 1)
    $LogOffUri "https://accounts.google.com/logout"
    $PreferredAuthenticationProtocol "SAMLP"
    * Verifique se a variável $SigningCertifcate está em uma linha de texto. Se não estiver, o PowerShell vai mostrar uma mensagem de erro.
  3. Com o console do PowerShell, execute o comando Update-MgDomain para configurar seu domínio do Active Directory para federação. Confira as etapas na documentação do Microsoft PowerShell.
  4. (Opcional) Para testar as configurações de federação, use o seguinte comando do PowerShell:

    Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

Observação: se o domínio já estiver federado e for necessário mudar a federação para o Google, execute o seguinte comando usando os mesmos parâmetros listados na tabela acima:
Update-MgDomainFederationConfiguration

Etapa 3: concluir a configuração do SSO no Admin Console

  1. Volte para a guia do navegador do Admin Console.
  2. Clique em Continuar.
  3. Na página Detalhes do provedor de serviços:
    1. Marque a caixa Resposta assinada.
    2. Em Formato do código de nome, selecione Persistente.
    3. Em Código de nome, escolha uma opção:
      • Se você criou um atributo personalizado para adicionar o ImmutableID do Office 365 aos perfis dos usuários, selecione o atributo personalizado.
      • Se você não criou um atributo ImmutableID personalizado, selecione Informações básicase depoisE-mail principal.
  4. Clique em Continuar.
  5. Na página Mapeamento de atributos, clique em Selecionar campo e mapeie os seguintes atributos do diretório do Google para os atributos do Office 365 correspondentes: O atributo IDPEmail é obrigatório.
    Atributo do diretório do Google Atributo do Office 365
    Basic Information > Primary Email IDPEmail*
  6. (Opcional) Para incluir outros mapeamentos, clique em Adicionar mapeamento e selecione os campos que precisam ser mapeados.
  7. (Opcional) Para inserir nomes de grupos relevantes para este app:
    1. Em Associação ao grupo (opcional), clique em Pesquisar um grupo, digite uma ou mais letras do nome do grupo e selecione o nome.
    2. Adicione outros grupos conforme necessário (máximo de 75 grupos).
    3. Em Atributo do app, digite o nome do atributo de grupo correspondente do provedor de serviços.

    Independentemente do total de nomes de grupo informados, a resposta SAML inclui apenas grupos de que o usuário faz parte (direta ou indiretamente). Para mais informações, acesse Sobre o mapeamento de associações a grupos.

  8. Clique em Concluir.

Etapa 4: ativar o app para os usuários

Antes de começar:se quiser ativar ou desativar um serviço para determinados usuários, coloque as contas deles em uma unidade organizacional (para controlar o acesso por departamento) ou em um grupo de acesso (para permitir o acesso dos usuários de um ou vários departamentos).

  1. No Google Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.

    Para realizar essa tarefa, você precisa fazer login como superadministrador.

  2. Clique em Office 365.
  3. Clique em Acesso de usuário.

  4. Para ativar ou desativar um serviço para todos na organização, clique em Ativar para todos ou Desativar para todos e depois em Salvar.

  5. (Opcional) Para ativar ou desativar um serviço em uma unidade organizacional:
    1. Selecione a unidade organizacional à esquerda.
    2. Para mudar o status do serviço, selecione Ativado ou Desativado.
    3. Escolha uma opção:
      • Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Substituir.
      • Caso o status do serviço esteja definido como Substituído, clique em Herdar para reverter e usar a configuração mãe ou clique em Salvar para manter a nova configuração, mesmo que a configuração mãe seja alterada.
        Saiba mais sobre estrutura organizacional.
  6. (Opcional) Se você quiser ativar um serviço para alguns usuários em uma ou várias unidades organizacionais, selecione um grupo de acesso. Saiba mais em Personalizar o acesso ao serviço usando grupos de acesso.
  7. Verifique se os domínios de e-mail da sua conta de usuário do Office 365 correspondem ao domínio principal da Conta do Google gerenciada da sua organização.

Etapa 5: verificar se o SSO está funcionando

O Office 365 permite o SSO iniciado pelo provedor de identidade e pelo provedor de serviços.

Verificar o SSO iniciado pelo provedor de identidade

  1. No Google Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.

    Para realizar essa tarefa, você precisa fazer login como superadministrador.

  2. Clique em Office 365.
  3. Na seção Office 365, clique em Testar login SAML.

    O app vai abrir em uma guia separada. Caso contrário, resolva o problema da mensagem de erro e tente novamente. Confira mais detalhes sobre a solução de problemas em Mensagens de erro do app SAML.

Verificar o SSO iniciado pelo provedor de serviços

  1. Feche todas as janelas do navegador.
  2. Acesse a página de login do Office 365 e faça login com sua conta de administrador do Office 365.
    A página de login do Google será aberta.
  3. Selecione sua conta e insira a senha.

Depois que suas credenciais forem autenticadas, o app será aberto.

Etapa 6: configurar o provisionamento de usuários

Como superadministrador, você pode provisionar usuários automaticamente no app. Veja mais detalhes em Configurar o provisionamento de usuários do Office 365.


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.