Office 365-molnappen

Med SAML 2.0-standarden kan du konfigurera enkel inloggning (SSO) för ett antal molnappar. När du har konfigurerat SSO kan dina användare använda sina Google Workspace-inloggningsuppgifter för att logga in på en app med SSO.

Använd SAML för att konfigurera SSO för Office 365

Du måste vara inloggad som superadministratör för den här uppgiften.

Innan du börjar

  • Lägg till din Workspace-domän i Microsoft Office 365. För instruktioner, gå till Lägg till en domän i Microsoft 365 .
  • Installera PowerShell .

  • Konfigurera ImmutableID – Office 365 använder attributet ImmutableID för att unikt identifiera användare. För att SSO mellan Google och Office 365 ska fungera måste varje Office 365-användare ha ett ImmutableID och SAML Name ID -attributet som skickas till Office 365 under SSO måste vara detsamma som ImmutableID.

    En Office 365-användares ImmutableID varierar beroende på hur användaren skapas. Här är de mest troliga scenarierna:

    • Inga användare ännu i Office 365 – Om du ska konfigurera Google för att automatiskt etablera användare behöver du inte konfigurera attributet ImmutableID. Det är som standard mappat till användarens e-postadress, användarnamnet (UPN). Fortsätt till steg 1.

    • Om användare skapades i Office 365-administratörskonsolen — ska ImmutableID vara tomt. För dessa användare använder du PowerShell Update-MgUser-kommandot för att ställa in ImmutableID i Office 365 så att det matchar användarens UPN:

      Uppdatera-MgUser -Användarhuvudnamn testanvändare@ditt-företag.com -LokaltImmutableId testanvändare@ditt-företag.com

      Du kan också använda Update-MgUser för att massuppdatera alla användare. Stegen finns i PowerShell-dokumentationen .

    • Om användare skapades via Microsoft Entra ID-synkronisering — är ImmutableID en kodad version av Active Directory-objektGUID. För dessa användare:
      1. Använd PowerShell för att hämta ImmutableID från Entra ID. Till exempel, för att hämta ImmutableID för alla användare och exportera till en CSV-fil:

        $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

      2. Skapa ett anpassat attribut i Google och fyll sedan i varje användares profil med deras Office 365 ImmutableID. För stegen, gå till att lägga till ett nytt anpassat attribut och uppdatera en användarprofil . Du kan också automatisera processen med hjälp av GAM (ett kommandoradsverktyg med öppen källkod) eller administratörskonsolens API:er .

      För mer information om ImmutableID, gå till Microsofts dokumentation .

Steg 1: Konfigurera Google som SAML-identitetsleverantör

  1. I Googles administratörskonsol, gå till Meny och sedan Appar och sedan Webb- och mobilappar .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Klicka på Lägg till app och sedan Sök efter appar .
  3. För Ange appnamn anger du Office 365 .
  4. I sökresultaten pekar du på Microsoft Office 365 och klickar på Välj .
  5. I fönstret med information om Google Identity Provider , för alternativ 2: Kopiera SSO-URL:en, enhets-ID:t och certifikatet :
    1. Bredvid SSO-URL klickar du på Kopiera och spara URL:en.
    2. Klicka på Kopiera bredvid Enhets-ID och spara enhets-ID:t.
    3. Klicka på Kopiera bredvid Certifikat och spara certifikatet.

      Du behöver dessa uppgifter för att slutföra installationen i Office 365.

Lämna Googles administratörskonsol öppen. Du fortsätter med konfigurationen i administratörskonsolen efter att du har slutfört installationsstegen i appen.

Steg 2: Konfigurera Office 365 som en SAML 2.0-tjänsteleverantör

  1. Öppna ett inkognitofönster i webbläsaren, gå till inloggningssidan för Office 365 och logga in med ditt Office 365-administratörskonto.
  2. Använd en textredigerare för att skapa PowerShell-variabler från de data du kopierade i steg 1. Här är de värden som behövs för varje variabel:
    Variabel Värde
    $Domännamn " ditt-företag .com"
    $FederationBrandName "Google Cloud Identity" (eller valfritt värde)
    $Autentisering "Federerad"
    $PassiveLogOnUrl
    $ActiveLogOnUri    		 "SSO-URL" (från steg 1)
    $Signeringscertifikat "Klistra in hela certifikatet här" (från steg 1)*
    $IssuerURI "Enhets-ID" (från steg 1)
    $LogOffUri "https://accounts.google.com/logout"
    $PreferredAuthenticationProtocol "SAMLP"
    * Se till att variabeln $SigningCertifcate finns på en textrad, annars returnerar PowerShell ett felmeddelande.
  3. Använd PowerShell-konsolen och kör kommandot Update-MgDomain för att konfigurera din Active Directory-domän för federation. Stegen finns i Microsoft PowerShell-dokumentationen .
  4. (Valfritt) För att testa federationsinställningarna, använd följande PowerShell-kommando:

    Get-MgDomainFederationConfiguration -Domännamn ditt-företag.com | Format-lista *

Obs ! Om din domän redan är federerad och du behöver ändra federation till Google, kör följande kommando med samma parametrar som anges i tabellen ovan:
Uppdatering-MgDomainFederationConfiguration

Steg 3: Slutför SSO-konfigurationen i administratörskonsolen

  1. Gå tillbaka till webbläsarfliken i administratörskonsolen.
  2. Klicka på Fortsätt .
  3. På sidan med information om tjänsteleverantören :
    1. Markera rutan Signerat svar .
    2. För Namn-ID-format väljer du Beständig .
    3. För Namn-ID , välj ett alternativ:
      • Om du skapade ett anpassat attribut för att lägga till Office 365 ImmutableID i dina användares profiler väljer du det anpassade attributet.
      • Om du inte skapade ett anpassat ImmutableID-attribut väljer du Grundläggande information . och sedan Primär e-postadress .
  4. Klicka på Fortsätt .
  5. På sidan Attributmappning klickar du på Välj fält och mappar följande Google-katalogattribut till motsvarande Office 365-attribut. Attributet IDPEmail är obligatoriskt.
    Google Directory-attribut Office 365-attribut
    Grundläggande information > Primär e-postadress IDPE-post*
  6. (Valfritt) Om du vill lägga till ytterligare mappningar klickar du på Lägg till mappning och väljer de fält som du vill mappa.
  7. (Valfritt) Så här anger du gruppnamn som är relevanta för den här appen:
    1. För Gruppmedlemskap (valfritt) klickar du på Sök efter en grupp , anger en eller flera bokstäver i gruppnamnet och väljer gruppnamnet.
    2. Lägg till ytterligare grupper efter behov (maximalt 75 grupper).
    3. För App-attributet anger du motsvarande gruppattributnamn för tjänsteleverantören.

    Oavsett hur många gruppnamn du anger inkluderar SAML-svaret endast grupper som en användare är medlem i (direkt eller indirekt). För mer information, gå till Om mappning av gruppmedlemskap .

  8. Klicka på Slutför .

Steg 4: Aktivera appen för användare

Innan du börjar: För att aktivera eller inaktivera en tjänst för vissa användare, placera deras konton i en organisationsenhet (för att kontrollera åtkomst per avdelning) eller lägg till dem i en åtkomstgrupp (för att tillåta åtkomst för användare över eller inom avdelningar).

  1. I Googles administratörskonsol, gå till Meny och sedan Appar och sedan Webb- och mobilappar .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Klicka på Office 365 .
  3. Klicka på Användaråtkomst .

  4. Om du vill aktivera eller inaktivera en tjänst för alla i din organisation klickar du på På för alla eller Av för alla och klickar sedan på Spara .

  5. (Valfritt) Så här aktiverar eller inaktiverar du en tjänst för en organisationsenhet:
    1. Till vänster väljer du organisationsenheten.
    2. För att ändra tjänstens status, välj eller Av .
    3. Välj ett:
      • Om tjänstens status är inställd på Ärvd och du vill behålla den uppdaterade inställningen, även om den överordnade inställningen ändras, klicka på Åsidosätt .
      • Om tjänstens status är inställd på Åsidosatt klickar du antingen på Ärv för att återgå till samma inställning som den överordnade inställningen, eller klicka på Spara för att behålla den nya inställningen, även om den överordnade inställningen ändras.

        Läs mer om organisationsstruktur .

  6. (Valfritt) Om du vill aktivera en tjänst för en uppsättning användare över eller inom organisationsenheter väljer du en åtkomstgrupp. Mer information finns i Anpassa tjänståtkomst med hjälp av åtkomstgrupper .
  7. Se till att e-postadresserna för ditt Office 365-användarkonto matchar den primära domänen för organisationens hanterade Google-konto.

Steg 5: Kontrollera att SSO fungerar

Office 365 stöder både identitetsleverantörsinitierad och tjänsteleverantörsinitierad SSO.

Verifiera identitetsleverantörsinitierad SSO

  1. I Googles administratörskonsol, gå till Meny och sedan Appar och sedan Webb- och mobilappar .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Klicka på Office 365 .
  3. I avsnittet Office 365 klickar du på Testa SAML-inloggning .

    Appen bör öppnas i en separat flik. Om den inte gör det, felsök felmeddelandet och försök igen. Mer information om felsökning finns i SAML-appfelmeddelanden .

Verifiera SSO initierad av tjänsteleverantören

  1. Stäng alla webbläsarfönster.
  2. Gå till inloggningssidan för Office 365 och logga in med ditt Office 365-administratörskonto.
    Du bör automatiskt omdirigeras till Googles inloggningssida.
  3. Välj ditt konto och ange ditt lösenord.

När dina inloggningsuppgifter har autentiserats bör appen öppnas.

Steg 6: Konfigurera användarprovisionering

Som superadministratör kan du automatiskt etablera användare i appen. Mer information finns i Konfigurera användarprovisionering för Office 365 .


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.