Как я могу получить SSO для служб Windows RDS с помощью Google Identity / GSuite?
Моя организация работает почти исключительно на базе Linux и Mac. Все наши внутренние службы настроены на использование логинов GSuite для идентификации и аутентификации.
Теперь нам нужно использовать приложение Windows, и я хотел бы разместить его в GCP с помощью Windows Server 2019 вместо того, чтобы поддерживать настольное оборудование windows на месте (у нас распределенная команда). Я настроил экземпляр AD, но мне бы очень хотелось разрешить пользователям регистрироваться с помощью логинов GSuite, сохраняя непрерывность нашей существующей настройки SSO на основе Google Identity.
Я прочитал: https://cloud.google.com/solutions/federating-gcp-with-active-directory-introduction, но кажется, что это решение для использования Active Directory в качестве мастера и синхронизации с Google Identity. Мне же нужно обратное, я бы хотел, чтобы Google Identity был мастером, а Active Directory использовал его в качестве провайдера идентификации (в идеале без синхронизации :-P).
Как мне настроить Active Directory, чтобы он использовал Google Identity в качестве провайдера идентификационных данных?
К сожалению, согласно документации Объединение Google Cloud с Active Directory можно настроить только одностороннюю синхронизацию:
В этой статье описывается, как можно настроить Cloud Identity или Google Рабочая область для использования Active Directory в качестве поставщика удостоверений и авторитетного источника.
Единый вход: всякий раз, когда пользователю необходимо пройти аутентификацию, Google Cloud делегирует аутентификацию в Active Directory с помощью Протокол языка разметки утверждений безопасности (SAML). Эта делегация гарантирует, что только Active Directory управляет учетными данными пользователей и что любые применимые политики или многофакторная проверка подлинности (MFA) механизмы отрабатываются.Однако для успешной регистрации необходимо соответствующий пользователь должен быть подготовлен ранее.
Службы федерации Active Directory (AD FS) предоставляются Microsoft. как часть Windows Server.
Кроме того, ознакомьтесь с Объединение Google Cloud с Active Directory: настройка единого входа и Рекомендации по планированию аккаунтов и организаций, чтобы найти дополнительные сведения.
Текущий уровень интеграции был предоставлен Microsoft как часть Windows Server, вы можете попробовать запросить расширение этой интеграции в Microsoft To Do UserVoice или в Техническом сообществе Microsoft.