如何为 Office 365 制作 Google Apps iDP

Question

我正在尝试让我们的 Google Apps 用户使用 Google 凭据登录 Office 365。

我在两件事上苦苦挣扎。

1.使用 Azure AD 设置联合域。任何人都可以从下面的 Google iDP 元数据中匹配所需的变量吗？

以下是微软从他们的帮助页面设置联合域的变量。

$dom = "contoso.com" 
$BrandName - "Sample SAML 2.0 IDP" 
$LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" 
$LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" 
$ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" 
$MyURI = "urn:uri:MySamlp2IDP" 
$MySigningCert = @" MIIC7jCCAdag......NsLlnPQcX3dDg9A==" "@ 
$uri = "http://WS2012R2-0.contoso.com/adfs/services/trust" 
$Protocol = "SAMLP" 

Set-MsolDomainAuthentication ` -DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $MyURI -ActiveLogOnUri $ecpUrl -SigningCertificate $MySigningCert -IssuerUri $uri -LogOffUri $url -PreferredAuthenticationProtocol $Protocol 

这是 Google iDP 元数据，它应该包含所有信息

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://accounts.google.com/o/saml2?idpid=C01gs" validUntil="2021-08-31T11:57:42.000Z">
  <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>MIIDdDCCAlygAwIBAgI
MTE1NzQyWhcNMjEwODM.....yVlPqeevZ6Ij
    f7LcIuZHffg1JV6pOB3A7afVp7JBbzZZOeuhl5nUhr96</ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://accounts.google.com/o/saml2/idp?idpid=C02gs"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://accounts.google.com/o/saml2/idp?idpid=C03gs"/>
  </md:IDPSSODescriptor>
</md:EntityDescriptor>

2。一个成功的联合域之后（我成功了，但是没有用，所以我提供的powershell的变量是错误的）。 Office 365 的管理员门户不允许从联合域添加用户。那么，如何添加用户呢？

希望有人可以帮助我解决这个难题。

Answer 1

Google 现在提供documentation 以使用 Office 365 设置 SSO。

还提供了有关将 Google 添加为 Microsoft 的 IdP 的相应文档；但是，我发现那里没有用，并且在按照 Microsoft 的说明操作后登录失败（SSO 不起作用）。

相反，我关注了instructions from James Winegar，其中包含 PowerShell 命令（可在 Microsoft 管理门户中提供的 Cloud Shell 或本地运行）让我在一个小时左右的时间里启动并运行联合，包括开始用户同步的时间来自谷歌。

来自 Microsoft 的这种支持似乎相对较新 - 根据这个问题的年龄，显然它不到 4 年。但至少它现在存在。当任何人阅读此答案时，可能会有更好的教程可用。

Answer 2

Microsoft Azure AD（Office 365 背后的身份系统）仅支持与少数身份联合提供者的联合：

https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-federation-compatibility/

Google Apps 不在此列表中，也不是受支持的联合系统。您不能使用 Google Apps 用户使用他们的 Google Apps 凭据登录 Office 365。

但是，您可以做的是允许您的 Office 365 用户单点登录到他们的 Google Apps（反之亦然）：

https://azure.microsoft.com/en-us/documentation/articles/active-directory-saas-google-apps-tutorial/

编辑

在提供的链接之后，似乎可以将 Google Work Apps Ids 用于 SSO 与 Office 365，但与中间播放器 Windows Server Active Directory 和 ADFS 一起使用。这是一个相当大的开销。