Office 365 bulut uygulaması

SAML 2.0 standardını kullanarak çeşitli bulut uygulamaları için tek oturum açma (TOA) özelliğini yapılandırabilirsiniz. TOA ayarlarını yapmanızın ardından, kullanıcılarınız TOA kullanarak bir uygulamada oturum açmak için Google Workspace kimlik bilgilerini kullanabilir.

SAML kullanarak Office 365 için TOA ayarlarını yapma

Bu görev için süper yönetici olarak oturum açmanız gerekir.

Başlamadan önce

  • Workspace alanınızı Microsoft Office 365'e ekleyin. Talimatlar için Microsoft 365'e alan ekleme başlıklı makaleye gidin.
  • PowerShell'i yükleyin.

  • ImmutableID'yi yapılandırın: Office 365, kullanıcıları benzersiz olarak tanımlamak için ImmutableID özelliğini kullanır. Google ve Office 365 arasında TOA özelliğinin çalışması için her Office 365 kullanıcısının bir ImmutableID'ye sahip olması ve TOA sırasında Office 365'e gönderilen SAML Ad Kimliği'nin ImmutableID ile aynı olması gerekir.

    Bir Office 365 kullanıcısının ImmutableID'si kullanıcının nasıl oluşturulduğuna bağlı olarak değişiklik gösterir. En yaygın senaryolar şunlardır:

    • Office 365'te henüz kullanıcı yok: Google'ı kullanıcıların temel hazırlığını otomatik olarak yapacak şekilde ayarlayacaksanız ImmutableID özelliğini yapılandırmanız gerekmez. Bu özellik varsayılan olarak kullanıcının e-posta adresiyle, yani UserPrincipalName (UPN) ile eşlenir. 1. adıma geçin.

    • Kullanıcılar Office 365 Yönetici Konsolu'nda oluşturulduysa: ImmutableID boş bırakılmalıdır. Bu kullanıcılar için PowerShell Update-MgUser komutu, Office 365'teki ImmutableID değerini kullanıcının UPN'siyle eşleşecek şekilde ayarlar:

      Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

      Tüm kullanıcıları toplu olarak güncellemek için Update-MgUser komutunu da kullanabilirsiniz. Adımlar için PowerShell dokümanlarına gidin.

    • Kullanıcılar Microsoft Entra ID senkronizasyonu aracılığıyla oluşturulduysa: ImmutableID, Active Directory objectGUID'nin kodlanmış bir sürümüdür. Bu kullanıcılar için:
      1. Entra ID'den ImmutableID'yi almak için PowerShell'i kullanın. Örneğin, tüm kullanıcıların ImmutableID değerlerini almak ve bunları bir CSV dosyasına aktarmak için şu komutu kullanın:

        $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

      2. Google'da özel bir özellik oluşturun, ardından her bir kullanıcı profiline ilgili Office 365 ImmutableID değerini girin. Adımlar için yeni bir özel özellik oluşturma ve kullanıcı profilini güncelleme makalelerine bakın. Ayrıca, GAM aracını (bir açık kaynak komut satırı aracı) veya Yönetici Konsolu API'lerini kullanarak işlemi otomatik hale getirebilirsiniz.

      ImmutableID hakkında daha fazla bilgi için Microsoft dokümanlarına gidin.

1. adım: Google'ı SAML kimlik sağlayıcısı olarak ayarlayın

  1. Google Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.

    Bu görev için süper yönetici olarak oturum açmanız gerekir.

  2. Uygulama ekleardındanUygulama ara'yı tıklayın.
  3. Uygulama adını girin alanına Office 365 yazın.
  4. Arama sonuçlarında, Microsoft Office 365 seçeneğinin üzerine gelin ve Seç'i tıklayın.
  5. Google Kimlik Sağlayıcı ayrıntıları penceresinde 2. seçenek: TOA URL'sini, varlık kimliğini ve sertifikayı kopyalayın için:
    1. TOA URL'si seçeneğinin yanında Kopyala'yı tıklayın ve URL'yi kaydedin.
    2. Varlık Kimliği'nin yanında Kopyala'yı tıklayın ve varlık kimliğini kaydedin.
    3. Sertifika'nın yanında Kopyala'yı tıklayın ve sertifikayı kaydedin.

      Office 365'te kurulumu tamamlamak için bu ayrıntılara ihtiyacınız vardır.

Google Yönetici Konsolu'nu açık bırakın. Uygulamadaki kurulum adımlarını tamamladıktan sonra Yönetici Konsolu'ndaki yapılandırma işlemine devam edeceksiniz.

2. adım: Office 365'i SAML 2.0 servis sağlayıcısı olarak ayarlayın

  1. Gizli bir tarayıcı penceresi açın, Office 365 oturum açma sayfasına gidin ve Office 365 yönetici hesabınızla oturum açın.
  2. Bir metin düzenleyici kullanarak, 1. adımda kopyaladığınız verilerden PowerShell değişkenleri oluşturun. Her değişken için gereken değerler şunlardır:
    Değişken Değer
    $DomainName "your-company.com"
    $FederationBrandName "Google Cloud Identity" (veya seçtiğiniz herhangi bir değer)
    $Authentication "Federated" (Federasyon)
    $PassiveLogOnUrl
    $ActiveLogOnUri    		 "TOA URL'si" (1. adımdan)
    $SigningCertificate "Sertifikayı buraya yapıştırın" (1. adımdan)*
    $IssuerURI "Varlık Kimliği" (1. adımdan)
    $LogOffUri "https://accounts.google.com/logout"
    $PreferredAuthenticationProtocol "SAMLP"
    * $SigningCertifcate değişkeninin metnin tek bir satırında olmasını sağlayın, aksi halde PowerShell bir hata döndürecektir.
  3. PowerShell konsolunu kullanarak Update-MgDomain komutunu çalıştırıp federasyon için Active Directory alanınızı oluşturun. Adımlar için Microsoft PowerShell dokümanlarına gidin.
  4. (İsteğe bağlı) Federasyon ayarlarını test etmek için aşağıdaki PowerShell komutunu kullanın:

    Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

Not: Alanınız zaten federe edilmiş durumdaysa ve federasyonu Google olarak değiştirmek istiyorsanız yukarıdaki tabloda listelenen parametreleri kullanarak şu komutu çalıştırın:
Update-MgDomainFederationConfiguration

3. adım: Yönetici Konsolu'nda TOA yapılandırmasını tamamlayın

  1. Yönetici Konsolu tarayıcı sekmesine dönün.
  2. Devam'ı tıklayın.
  3. Servis sağlayıcı ile ilgili ayrıntılar sayfasında:
    1. İmzalı yanıt kutusunu işaretleyin.
    2. Ad kimliği biçimi için Kalıcı'yı seçin.
    3. Ad kimliği için bir seçenek belirleyin:
      • Kullanıcı profillerine Office 365 ImmutableID eklemek için özel bir özellik oluşturduysanız bu özelliği seçin.
      • Özel bir ImmutableID özelliği oluşturmadıysanız Temel BilgilerardındanBirincil e-posta'yı seçin.
  4. Devam'ı tıklayın.
  5. Özellik eşlemesi sayfasında, Alan seç'i tıklayın ve aşağıdaki Google dizini özelliklerini karşılık gelen Office 365 özellikleriyle eşleyin. IDPEmail özelliği gereklidir.
    Google Dizini özelliği Office 365 özelliği
    Temel Bilgiler > Birincil E-posta IDPEmail*
  6. (İsteğe bağlı) Başka eşlemeler eklemek için Eşleme Ekle'yi tıklayın ve eşlemeniz gereken alanları seçin.
  7. (İsteğe bağlı) Bu uygulamayla alakalı grup adlarını girmek için:
    1. Grup üyeliği (isteğe bağlı) için Grup arayın'ı tıklayın, grup adının bir veya daha fazla harfini girin ve grup adını seçin.
    2. Gerekirse başka gruplar ekleyin (en fazla 75 grup).
    3. Uygulama özelliği alanına servis sağlayıcının ilgili grup özelliği adını girin.

    Kaç grup adı girdiğinize bakılmaksızın SAML yanıtı yalnızca kullanıcının üyesi olduğu grupları (doğrudan veya dolaylı olarak) içerir. Daha fazla bilgi için Grup üyeliğini eşleme hakkında başlıklı makaleyi inceleyin.

  8. Son'u tıklayın.

4. adım: Kullanıcılar için uygulamayı etkinleştirin

Başlamadan önce: Hizmeti belirli kullanıcılar için etkinleştirmek veya devre dışı bırakmak istiyorsanız kullanıcıların hesaplarını bir kuruluş birimine (erişimi bölüm bazında denetlemek için) ya da bir erişim grubuna (farklı bölümlerdeki veya bölümler içindeki kullanıcılara erişim sağlamak için) yerleştirin.

  1. Google Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.

    Bu görev için süper yönetici olarak oturum açmanız gerekir.

  2. Office 365'i tıklayın.
  3. Kullanıcı erişimi'ni tıklayın.

  4. Bir hizmeti kuruluşunuzdaki herkes için etkinleştirmek veya devre dışı bırakmak istiyorsanız Herkes için etkin veya Herkes için devre dışı'yı, ardından Kaydet'i tıklayın.

  5. (İsteğe bağlı) Kuruluş birimi için bir hizmeti etkinleştirmek veya devre dışı bırakmak istiyorsanız:
    1. Solda, kuruluş birimini seçin.
    2. Hizmet durumunu değiştirmek için Etkin veya Devre dışı'yı seçin.
    3. Birini seçin:
      • Hizmet durumu Devralındı olarak ayarlanmışsa ve üst kuruluştaki ayar değişse bile güncellenmiş ayarı korumak istiyorsanız Geçersiz kıl'ı tıklayın.
      • Hizmet durumu Geçersiz kılındı olarak ayarlanmışsa üst kuruluştaki ayara geri döndürmek için Devral'ı, üst kuruluştaki ayar değişse bile yeni ayarı korumak için Kaydet'i tıklayın.
        Kuruluş yapısı hakkında daha fazla bilgi edinin.
  6. (İsteğe bağlı) Bir hizmeti farklı kuruluş birimlerindeki veya bir kuruluş birimindeki kullanıcılar için etkinleştirmek üzere bir erişim grubu seçin. Ayrıntılı bilgi için Erişim gruplarını kullanarak hizmet erişimini özelleştirme başlıklı makaleyi inceleyin.
  7. Office 365 kullanıcı hesabı e-posta alanlarınızın, kuruluşunuzun yönetilen Google Hesabı'nın birincil alanıyla eşleştiğinden emin olun.

5. adım: TOA'nın çalıştığını doğrulayın

Office 365, hem kimlik sağlayıcı hem de servis sağlayıcı tarafından başlatılan TOA'yı destekler.

Kimlik sağlayıcı tarafından başlatılan TOA'yı doğrulama

  1. Google Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.

    Bu görev için süper yönetici olarak oturum açmanız gerekir.

  2. Office 365'i tıklayın.
  3. Office 365 bölümünde SAML girişini test et'i tıklayın.

    Uygulama ayrı bir sekmede açılacaktır. Açılmazsa hata mesajındaki sorunları giderip tekrar deneyin. Sorun gidermeyle ilgili ayrıntılar için SAML uygulaması hata mesajları başlıklı makaleyi inceleyin.

Servis sağlayıcı tarafından başlatılan TOA'yı doğrulama

  1. Tüm tarayıcı pencerelerini kapatın.
  2. Office 365 oturum açma sayfasına gidin ve Office 365 yönetici hesabınızla oturum açın.
    Otomatik olarak Google ile oturum açma sayfasına yönlendirilirsiniz.
  3. Hesabınızı seçin ve şifrenizi girin.

Kimlik bilgileriniz doğrulandıktan sonra uygulama açılır.

6. adım: Kullanıcı temel hazırlık ayarlarını yapın

Süper yönetici olarak, uygulamada kullanıcıların temel hazırlığını otomatik olarak yapabilirsiniz. Ayrıntılı bilgi için Office 365 kullanıcı temel hazırlığını yapılandırma başlıklı makaleyi inceleyin.


Google, Google Workspace ve ilgili markalar ile logolar Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.