Provisionamento de usuários e logon único do Okta

Neste documento, mostramos como configurar o provisionamento de usuários e o logon único entre uma organização Okta e sua conta do Cloud Identity ou do Google Workspace.

O documento considera que você já usa o Okta na sua organização e quer usá-lo para permitir que os usuários se autentiquem com o Google Cloud.

Como preparar sua conta do Cloud Identity ou do Google Workspace

Criar um usuário do Okta

Para permitir que o Okta acesse sua conta do Cloud Identity ou do Google Workspace, é preciso criar um usuário do Okta na sua conta do Cloud Identity ou do Google Workspace.

O usuário do Okta é destinado apenas ao provisionamento automatizado. Portanto, é melhor mantê-la separada de outras contas de usuário, colocando-a em uma unidade organizacional (UO) separada. Usar uma UO separada também garante que você possa desativar o logon único mais tarde para o usuário do Okta.

  1. Crie uma nova UO:

    1. Abra o Admin Console e faça login usando o usuário superadministrador criado quando você se inscreveu no Cloud Identity ou no Google Workspace.
    2. No menu, acesse Diretório > Unidades organizacionais.
    3. Clique em Criar unidade organizacional e forneça um nome e uma descrição para a unidade organizacional:
      • Name: Automation
      • Descrição: Automation users
    4. Clique em Criar.

  2. Crie uma conta de usuário do Okta e coloque-a na UO Automation. Para instruções detalhadas, consulte Adicionar uma conta para um novo usuário ou Adicionar uma conta para vários usuários (Beta).

    1. Ao criar a conta, forneça um nome e um endereço de e-mail apropriados, como os seguintes:

      • Nome: Okta
      • Sobrenome: Provisioning
      • E-mail principal: okta-provisioning

      Mantenha o domínio principal do endereço de e-mail.

    2. Na conta de usuário, defina a Unidade organizacional como a OU Automation que você criou anteriormente. Para mais detalhes, consulte Mover usuários para uma unidade organizacional.

    3. Configurar uma senha:

      • Se a opção de senha estiver disponível na página, verifique se a opção Gerar automaticamente uma nova senha não está selecionada e insira uma senha. Confirme se a opção Solicitar alteração de senha no próximo login não está selecionada.
      • Se a opção de senha não estiver disponível na página, salve a nova conta de usuário e redefina a senha do usuário.

Atribuir privilégios ao Okta

Para permitir que o Okta crie, liste e suspenda usuários e grupos na sua conta do Cloud Identity ou do Google Workspace, torne o usuário okta-provisioning um superadministrador:

  1. Localize o usuário recém-criado na lista e clique no nome dele para abrir a página da conta.
  2. Em Papéis e privilégios do administrador, clique em Atribuir papéis.
  3. Ative o papel de superadministrador.
  4. Clique em Salvar.

Como configurar o provisionamento do Okta

Agora está tudo pronto para conectar o Okta à sua conta do Cloud Identity ou do Google Workspace. Basta configurar o aplicativo do Google Workspace pelo catálogo da Okta.

O aplicativo do Google Workspace pode lidar com o provisionamento de usuários e com o logon único. Use esse aplicativo mesmo que você esteja usando o Cloud Identity e planejando apenas configurar o logon único no Google Cloud.

Criar um aplicativo

Para configurar o aplicativo do Google Workspace, faça isto:

  1. Abra o painel de administração do Okta e faça login como usuário com privilégios de superadministrador.
  2. No menu, acesse Aplicativos > Aplicativos.
  3. Clique em Procurar no catálogo de aplicativos.
  4. Pesquise Google Workspace e selecione o aplicativo do Google Workspace.
  5. Clique em Adicionar integração.

  6. Na página Configurações gerais, defina as seguintes configurações:

    • Rótulo do aplicativo: Google Cloud
    • Domínio da sua empresa no Google Apps: o nome de domínio principal usado pela sua conta do Cloud Identity ou do Google Workspace.

    • Exiba os links a seguir:

      • Defina Conta como ativada.
      • Defina outros links como ativados se estiver usando o Google Workspace. Caso contrário, defina outros como desativados.

    • Visibilidade do aplicativo: defina como ativada se você estiver usando o Google Workspace. Caso contrário, desativada.

    • Envio automático de plug-in do navegador: defina como desativado

  7. Clique em Próxima.

  8. Na página Opções de login, defina as seguintes configurações:

    • Métodos de login: selecione SAML 2.0.
    • Estado de redirecionamento padrão: mantenha em branco
    • Configurações avançadas de login > RPID: mantenha em branco

  9. Decida como você quer preencher o endereço de e-mail principal dos usuários no Cloud Identity ou no Google Workspace. O endereço de e-mail principal de um usuário precisa usar o domínio principal da sua conta do Cloud Identity ou do Google Workspace ou um dos domínios secundários.

    Nome de usuário do Okta

    Para usar o nome de usuário do Okta como endereço de e-mail principal, use as seguintes configurações:

    • Formato de nome de usuário do aplicativo: nome de usuário do Okta
    • Atualizar nome de usuário do aplicativo em: Criar e atualizar.

    E-mail

    Para usar o nome de usuário do Okta como endereço de e-mail principal, use as seguintes configurações:

    • Formato de nome de usuário do aplicativo: e-mail
    • Atualizar nome de usuário do aplicativo em: Criar e atualizar.

  10. Clique em Concluído.

Configurar provisionamento de usuários

Nesta seção, você configura o Okta para provisionar automaticamente usuários e grupos no Google Cloud.

  1. Na página de configurações do aplicativo do Google Cloud, abra a guia Provisionamento.

  2. Clique em Configurar integração da API e defina as seguintes configurações:

    • Ativar integração da API: defina como ativado
    • Importar grupos: defina como desativado, a menos que você já tenha grupos no Cloud Identity ou no Google Workspace que queira importar para o Okta

  3. Clique em Autenticar com o Google Workspace.

  4. Faça login usando o usuário okta-provisioning@DOMAIN que você criou anteriormente, em que DOMAIN é o domínio principal da sua conta do Cloud Identity ou do Google Workspace.

  5. Leia a Política de Privacidade e os Termos de Serviço do Google. Se você concordar com os termos, clique em Entendi.

  6. Confirme o acesso à API Cloud Identity clicando em Permitir.

  7. Clique em Save.

O Okta está conectado à sua conta do Cloud Identity ou do Google Workspace, mas o provisionamento ainda está desativado. Para ativar o provisionamento, faça isto:

  1. Na página de configurações do aplicativo do Google Cloud, abra a guia Provisionamento.

  2. Clique em Editar e defina as seguintes configurações:

    • Criar usuários: defina como ativado
    • Atualizar atributos do usuário: defina como ativado
    • Desativar usuários: defina como ativado
    • Sincronizar senha: defina como desativado
    .

  3. Se quiser, clique em Acessar o editor de perfil para personalizar os mapeamentos de atributos.

    Se você usar os mapeamentos personalizados, será necessário mapear userName, nameGivenName e nameFamilyName. Todos os outros mapeamentos de atributos são opcionais.

  4. Clique em Save.

Configurar atribuição de usuário

Nesta seção, você configura quais usuários do Okta serão provisionados ao Cloud Identity ou ao Google Workspace:

  1. Na página de configurações do aplicativo do Google Cloud, abra a guia Atribuições.
  2. Clique em Atribuir > Atribuir a pessoas ou Atribuir > Atribuir a grupos.
  3. Selecione um usuário ou grupo e clique em Atribuir.
  4. Na caixa de diálogo da atribuição exibida, mantenha as configurações padrão e clique em Salvar e voltar.
  5. Clique em Concluído.

Repita as etapas desta seção para cada usuário ou grupo que você quer provisionar. Para provisionar todos os usuários ao Cloud Identity ou ao Google Workspace, atribua o grupo Todos.

Configurar atribuição de grupo

Se quiser, permita que o Okta provisione grupos ao Cloud Identity ou ao Google Workspace. Em vez de selecionar os grupos individualmente, é recomendável configurar o Okta para que provisione grupos com base em uma convenção de nomes.

Por exemplo, para permitir que o Okta provisione todos os grupos que começam com google-cloud, faça isto:

  1. Na página de configurações do aplicativo do Google Cloud, abra a guia Enviar grupos.
  2. Clique em Enviar grupos > Encontrar grupos por papel.

  3. Na página Enviar grupos por regra, configure a seguinte regra:

    • Nome da regra: nome do papel, por exemplo, Google Cloud.
    • Nome do grupo: começa com google-cloud

  4. Clique em Criar regra.

Solução de problemas

Para resolver problemas de provisionamento de usuários ou grupos, clique em Ver registros na página de configurações do aplicativo do Google Cloud.

Para permitir que o Okta repita uma tentativa malsucedida de provisionar usuários, faça isto:

  1. Acesse Painel > Tarefas.
  2. Encontre a tarefa que falhou e abra os detalhes.
  3. Na página de detalhes, clique em Repetir seleção.

Como configurar o Okta para logon único

Se você seguiu as etapas para configurar o provisionamento do Okta, todos os usuários relevantes do Okta serão agora provisionados automaticamente ao Cloud Identity ou ao Google Workspace. Para permitir que esses usuários façam login, configure o logon único:

  1. Na página de configurações do aplicativo do Google Cloud, abra a guia Fazer login.
  2. Clique em SAML 2.0 > Mais detalhes.
  3. Clique em Fazer o download do certificado de assinatura.
  4. Anote os valores URL de login, URL de logout e Emissor. Eles serão necessários em uma das etapas a seguir.

Criar um perfil SAML

Crie um perfil SAML na sua conta do Cloud Identity ou do Google Workspace:

  1. Volte ao Admin Console e acesse SSO com IdP de terceiros.

    Acessar SSO com o IdP de terceiros

  2. Clique em Perfis de SSO de terceiros > Adicionar perfil SAML.

  3. Na página SAML SSO profile, digite as seguintes configurações:

    • Nome: Okta
    • ID da entidade do IdP: insira o Emissor do painel de administrador do Okta.
    • URL da página de login: insira o URL de login do painel de administrador do Okta.
    • URL da página de logout: insira o URL de logout do painel de controle do administrador do Okta.
    • URL para alteração de senha: https://ORGANIZATION.okta.com/enduser/settings, em que ORGANIZATION é o nome da sua organização no Okta.

  4. Em Certificado de verificação, clique em Fazer upload do certificado e escolha o certificado de assinatura de token salvo anteriormente.

  5. Clique em Salvar.

    A página Perfil de SSO SAML que aparece contém um ID da entidade no formato https://accounts.google.com/samlrp/RPID, em que RPID é um ID exclusivo.

    Anote o valor de RPID. Você precisará dele na próxima etapa.

Atribuir o perfil SAML

Selecione os usuários a que o novo perfil SAML deve ser aplicado:

  1. No Admin Console, na página SSO com IdPs de terceiros, clique em Gerenciar atribuições do perfil de SSO > Gerenciar.

    Acessar "Gerenciar atribuições do perfil de SSO"

  2. No painel esquerdo, selecione o grupo ou a unidade organizacional em que você quer aplicar o perfil de SSO. Para aplicar o perfil a todos os usuários, selecione a unidade organizacional raiz.

  3. No painel à direita, no menu, selecione o perfil de SSO Okta - SAML que você criou anteriormente.

  4. Clique em Salvar.

Para atribuir o perfil SAML a outro grupo ou unidade organizacional, repita as etapas acima.

Atualize as configurações do SSO da unidade organizacional Automation para desativar o Logon único:

  1. No painel à esquerda, selecione a UO Automation.
  2. Mude a atribuição do perfil de SSO para Nenhum.
  3. Clique em Substituir.

Concluir a configuração do SSO no Okta

Volte para o Okta e conclua a configuração do SSO:

  1. No painel de administração do Okta, na página de configurações do aplicativo Google Cloud, abra a guia Fazer login.

  2. Clique em Editar e atualize as seguintes configurações:

    • Configurações avançadas de login > RPID: insira o RPID que você copiou do Admin Console.

  3. Clique em Salvar.

Opcional: configurar desafios de login

O Login do Google pode solicitar outras verificações aos usuários quando eles fizerem login em dispositivos desconhecidos ou quando a tentativa de login parecer suspeita por outros motivos. Esses desafios de login ajudam a melhorar a segurança, e recomendamos que você os mantenha ativados.

Se você achar que os desafios de login causam muito inconveniente, desative os desafios de login da seguinte maneira:

  1. No Admin Console, acesse Segurança > Autenticação > Desafios de login.
  2. No painel esquerdo, selecione uma unidade organizacional para desativar os desafios de login. Para desativar os desafios de login para todos os usuários, selecione a unidade organizacional raiz.
  3. Em Configurações para usuários que fazem login usando outros perfis de SSO, selecione Não solicitar verificações adicionais do Google aos usuários.
  4. Clique em Salvar.

Adicionar o console do Google Cloud e outros serviços do Google ao painel de aplicativos

Para adicionar o console Google Cloud e, opcionalmente, outros serviços do Google ao painel de aplicativos do Okta dos seus usuários, faça isto:

  1. No painel de administração do Okta, selecione Aplicativos > Aplicativos.
  2. Clique em Procurar no catálogo de aplicativos.
  3. Pesquise Bookmark app e selecione o aplicativo App de favoritos.
  4. Clique em Adicionar integração.

  5. Na página Configurações gerais, defina as seguintes configurações:

    • Rótulo do aplicativo: Google Cloud console
    • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, substituindo PRIMARY_DOMAIN pelo nome de domínio principal usado pela sua conta do Cloud Identity ou do Google Workspace.

  6. Clique em Concluído.

  7. Mude o logotipo do aplicativo para o logotipo doGoogle Cloud .

  8. Abra a guia Fazer login.

  9. Clique em Autenticação do usuário > Editar e defina as seguintes configurações:

    • Política de autenticação: defina como Painel do Okta

  10. Clique em Save.

  11. Abra a guia Atribuição e atribua um ou mais usuários. Os usuários atribuídos veem o link do console do Google Cloud no painel do usuário.

Se quiser, repita as etapas acima para todos os serviços adicionais do Google que você quiser incluir nos painéis dos usuários. A tabela abaixo contém os URLs e logotipos dos Serviços do Google usados com frequência:

Serviço do Google URL Logotipo
Console doGoogle Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ Logotipo do Google Cloud
Documentos Google https://docs.google.com/a/DOMAIN Logotipo do Google Docs
Planilhas Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/ Logotipo do app Planilhas Google
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ Logotipo do Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logotipo do Google Drive
Gmail https://mail.google.com/a/DOMAIN Logotipo do Gmail
Grupos do Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ Logotipo dos Grupos do Google
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/ Logotipo de Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ Logotipo do Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logotipo do YouTube

Testar Logon único

Depois de concluir a configuração do logon único no Okta e no Cloud Identity ou no Google Workspace, será possível acessar Google Cloud de duas maneiras:

Para verificar se a segunda opção funciona conforme o esperado, execute o seguinte teste:

  1. Escolha um usuário do Okta que tenha sido provisionado ao Cloud Identity ou ao Google Workspace e que não tenha privilégios de superadministrador. Os usuários com esse privilégio sempre precisam fazer login usando as credenciais do Google e, portanto, não são adequados para testar o logon único.
  2. Abra uma nova janela do navegador e acesse https://console.cloud.google.com/.
  3. Na página de login do Google exibida, insira o endereço de e-mail do usuário e clique em Avançar.

  4. Você será redirecionado para o Okta e verá outra solicitação de login. Insira o endereço de e-mail do usuário e siga as etapas para fazer a autenticação.

    Após a autenticação, o Okta redirecionará você de volta para o Login do Google. Como esta é a primeira vez que você faz login usando esse usuário, será preciso aceitar a Política de Privacidade e os Termos de Serviço do Google.

  5. Se você concordar com os termos, clique em Entendi.

    Você será redirecionado para o console Google Cloud , que solicitará a confirmação das preferências e a aceitação dos Termos de Serviço do Google Cloud.

  6. Se você concordar com os termos, escolha Sim e clique em Concordar e continuar.

  7. Clique no avatar no canto superior esquerdo da página e em Sair.

    Você será redirecionado para uma página do Okta confirmando que você saiu com sucesso.

Lembre-se de que os usuários com privilégios de superadministrador não usam o Logon único. Assim, você ainda pode usar o Admin Console para verificar ou alterar as configurações.