我有一个客户是 NPO,所以他们免费获得 GSuite for NGO 和 Office 365 E1。
他们愿意继续使用 Gsuite 并使用某些 Office 365 功能,例如 OneDrive。花了一周的时间试图把它做好,我一直在关注所有关于如何完成这项工作的在线教程,但是当我在 Gsuite 中“将 Office 365 用户属性映射到相应的云目录属性”时一直失败。我看到的问题似乎是“onPremisesImmutableId”。这在 Gsuite 中映射到什么?
有没有人设法让这个工作?我已经按照我可以在网上找到的所有教程进行操作,但是当涉及到属性时,每个人都没有任何信息。
谢谢
到目前为止,我已经能够将 Google 设置为启用配置的 SAML IDP,以便在 G Suite 上创建并添加到office-users组的帐户在 Azure AD 中创建并分配许可证。
谷歌文档很简单,但只简要提到了 Windows 设置,这是困难的部分。我汇集了其他几个 来源以使事情正常进行。
在 Google 管理控制台应用部分添加 SAML 应用 (Office365)。设置都应该正确建立。
检查 Office365 SAML 应用程序配置
注意
配置预配(将帐户从 GSuite 同步到 Azure AD)
GSuite Office365 预配。(可选)将范围设置为 Google 组(只有该组或 OU 的成员将被自动配置;我使用了我称为的组office-users)
Azure AD 设置
启动 powershell 控制台并安装所需工具
> Connect-MsolService(使用管理员凭据连接)
`> Set-MsolDomainAuthentication -DomainName "{your-domain}" -FederationBrandName "{your brand login}" -Authentication Federated -PassiveLogOnUri "{google-url}" -ActiveLogOnUri "{google-url}" -SigningCertificate "{cert info }" -IssuerUri "{google-issuer}" -LogOffUri "{google-uri}" -PreferredAuthenticationProtocol "SAMLP"
其中证书是 google .pem 文件,没有换行符或开始/结束标记,以及以下 URI,其中 GOOGLESAMLID 是您的 G Suite 不可变 ID(来自Google 管理控制台 SSO 设置窗格)
google-uri=https://accounts.google.com/a/saml2/idp?idpid=GOOGLESAMLID
google-issuer=https://accounts.google.com/a/saml2?idpid=GOOGLESAMLID
回读属性:
> Get-MsolDomainFederationSettings -DomainName "{your-domain}" | Format-List *
关闭 Azure 密码重置自助服务
通过创建新的 G Suite 用户进行测试。应在 AD 中创建相应的用户。
我仍在尝试弄清楚如何将新的 G Suite 用户映射到现有的 Azure AD 用户。似乎这应该是可能的,但我不知道映射存储在哪里。
我能够首先在 Windows 上创建一个用户并将其ImmutableId属性设置为预期的 GSuite 电子邮件地址:
> Set-MsolUser -UserPrincipalName "my@domain.com" -ImmutableId "my@domain.com"
> $user = Get-MsolUser -UserPrincipalName "my@domain.com"
> $user.ImmutableId
然后在 GSuite 中创建一个新用户,并将新用户放入您确定的可以访问 Office 应用的范围内。Azure AD 现在将重定向到 Google 进行身份验证,您可以使用您的 Google 凭据而不是 Azure 上的任何凭据。
编辑 在 GSuite 中创建新用户后,更改可能需要几分钟才能传播到 Azure AD。
我相信你用基本信息映射 onPremisesImmutableId -> 用户名
如果您选择任何其他字段,则会收到警告:您的用户可能无法登录,因为名称 ID 的 SSO 属性映射与 onPremisesImmutableId 的映射不同。你想继续吗?
我也遇到了 Office 365/G-Suite 目录的问题 只是为了添加 ImmutableID,我在 Reddit 上发现了一些有趣的东西:
Google 让他们的域管理员能够创建附加到用户的填充自由格式属性。它基本上是附加到用户的隐藏属性。对于与 O365 联合的情况,您需要创建一个至少具有一个名为 ImmutableID 的属性的模式。这是用于将 Google 用户与 Office 365 用户相关联的 SAML NameID 属性。ImmutableID(仅在 O365 中使用的属性)是 Active Directory 用户 GUID 的 Base64 表示。示例:58bcbac8-0b42-4a3e-ae76-307510908f59 变为 +D2MBMPlTp+Hh7Q0qEm3iw== 您可以将其放入当前的创建/更新用户脚本中,直接针对 API,或使用其他工具(如 GAM)。您无法在 G Suite 控制面板中手动将此值添加到架构中,因为它不允许您输入某些字符,这必须以一种或另一种方式编写脚本。我们有一个辅助实用程序可以使用户名保持同步,我们将其添加到该实用程序中。
在此处查看线程:https ://www.reddit.com/r/k12sysadmin/comments/83w004/google_to_microsoft_azure_ado365_sso/
本质上,您希望为 Office 365 创建一个额外的架构并添加该 ImmutableID 字段。我可能会使用我们的广告作为来源,会让你知道。