แอปพลิเคชันระบบคลาวด์ Duo

คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

การใช้ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) จะช่วยให้ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชันระบบคลาวด์ขององค์กรด้วยข้อมูลเข้าสู่ระบบ Google Cloud ของตนเองได้

ตั้งค่า SSO ผ่าน SAML สำหรับ Duo

ขั้นตอนที่ 1: รับข้อมูลการกำหนดค่าจาก Duo

ลงชื่อเข้าใช้ Duo ด้วยบัญชีผู้ดูแลระบบของคุณ
ในแผงการนำทางด้านซ้าย ให้คลิก Administrators แล้วคลิก Admin Login Settings
ในส่วน Metadata for Configuring with Custom Identity Provider ให้คัดลอกและบันทึกค่า 2 ค่านี้เอาไว้
- Entity ID หรือ Issuer ID
- Assertion consumer service URL หรือ Single sign-on URL

เปิด Duo ในเบราว์เซอร์เอาไว้ก่อน เพื่อกลับมากำหนดค่า SAML ให้เรียบร้อยในขั้นตอนที่ 3 หลังรับข้อมูลจากคอนโซลผู้ดูแลระบบของ Google ในขั้นตอนถัดไป

ขั้นตอนที่ 2: ตั้ง Google เป็นผู้ให้บริการข้อมูลประจำตัว (IdP) SAML

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
คลิกเพิ่มแอปค้นหาแอป
ป้อน Duo ในช่องค้นหา
ในผลการค้นหา ให้วางเมาส์เหนือแอป SAML Duo แล้วคลิกเลือก
ในหน้ารายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google ให้ทำดังนี้
- คัดลอกและบันทึก URL ของ SSO และรหัสเอนทิตี
- ดาวน์โหลดใบรับรอง
คลิกต่อไป
ในหน้ารายละเอียดของผู้ให้บริการ ให้แทนที่ค่าเริ่มต้นของช่องรหัสเอนทิตีและ ACS URL ด้วยค่าที่ตรงกัน ซึ่งคัดลอกมาจาก Duo ในขั้นตอนที่ 1
คลิกต่อไป
(Optional) To map Google directory attributes to the corresponding app attributes, in the Attribute Mapping window:
1. Click Add Mapping.
2. Click Select fieldselect a Google directory attribute.
3. For App attributes, enter the corresponding app attribute.
(ไม่บังคับ) หากต้องการป้อนชื่อกลุ่มที่เกี่ยวข้องกับแอปนี้ ให้ทำดังนี้
1. สำหรับการเป็นสมาชิกกลุ่ม (ไม่บังคับ) ให้คลิกค้นหากลุ่ม แล้วป้อนตัวอักษรของชื่อกลุ่มอย่างน้อย 1 ตัว จากนั้นเลือกชื่อกลุ่ม
2. เพิ่มกลุ่มอีกตามต้องการ (สูงสุด 75 กลุ่ม)
3. ป้อนชื่อแอตทริบิวต์กลุ่มที่เกี่ยวข้องของผู้ให้บริการสำหรับแอตทริบิวต์แอป
ไม่ว่าคุณจะป้อนชื่อกลุ่มกี่รายการก็ตาม คำตอบของ SAML จะรวมเฉพาะกลุ่มที่ผู้ใช้เป็นสมาชิกอยู่เท่านั้น (ทั้งโดยตรงหรือโดยอ้อม) โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเกี่ยวกับการเชื่อมโยงการเป็นสมาชิกกลุ่ม
คลิกเสร็จสิ้นในหน้าการแมปแอตทริบิวต์

ขั้นตอนที่ 3: ตั้งค่า Duo เป็นผู้ให้บริการ SAML 2.0

กลับไปยังหน้าต่างเบราว์เซอร์ที่แสดงการตั้งค่าการเข้าสู่ระบบสำหรับผู้ดูแลระบบของ Duo
ในส่วน Authentication with SAML ให้เลือกการตรวจสอบสิทธิ์ที่ต้องการให้กับองค์กร
ในส่วน SAML Identity Provider Settings ให้เลือกหรือป้อนข้อมูลต่อไปนี้
- Identity provider: ผู้ให้บริการข้อมูลประจำตัวที่กำหนดเอง
- Configuration method: ป้อนข้อมูลด้วยตนเอง
- Entity ID or issuer ID: รหัสเอนทิตีที่คุณคัดลอกมาจาก Google ในขั้นตอนที่ 2 ด้านบน
- Assertion consumer service URL หรือ single sign-on URL: URL ของ SSO ที่คัดลอกไว้ในขั้นตอนที่ 2
- Certificate: ใบรับรองที่ดาวน์โหลดไว้ในขั้นตอนที่ 2
ในส่วน Advanced SAML options ให้เลือกการตั้งค่าต่อไปนี้
- SHA-1 signatures: ไม่ต้องเลือกช่อง
- Signed elements: เลือก Only responses must be signed
คลิกบันทึก

ขั้นตอนที่ 4: เปิดใช้แอป Duo

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
เลือก Duo
คลิกสิทธิ์การเข้าถึงของผู้ใช้
หากต้องการเปิดหรือปิดบริการให้ทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก
(ไม่บังคับ) วิธีเปิดหรือปิดบริการสำหรับหน่วยขององค์กร
1. เลือกหน่วยขององค์กรทางด้านซ้าย
2. หากต้องการเปลี่ยนสถานะบริการ ให้เลือกเปิดหรือปิด
3. เลือกการตั้งค่าแบบใดแบบหนึ่งต่อไปนี้
  - หากตั้งค่าสถานะบริการเป็นรับค่า และคุณต้องการคงการตั้งค่าที่อัปเดตแล้วไว้ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป ให้คลิกลบล้าง
  - หากตั้งค่าสถานะบริการเป็นลบล้าง ให้คลิกรับค่าเพื่อเปลี่ยนกลับเป็นการตั้งค่าเดียวกันกับระดับบนสุด หรือคลิกบันทึกเพื่อคงการตั้งค่าใหม่ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป
    หมายเหตุ: ดูข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างองค์กร
หากต้องการเปิดบริการให้กับกลุ่มผู้ใช้ในหน่วยขององค์กร ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อเปิดบริการให้กับกลุ่ม
ตรวจสอบว่ารหัสอีเมลของบัญชีผู้ใช้ Duo ตรงกับข้อมูลในโดเมน Google ของคุณ

ขั้นตอนที่ 5: ยืนยันว่า SSO ใช้ได้

Duo รองรับ SSO ทั้งจากผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP) โปรดทำตามขั้นตอนต่อไปนี้เพื่อยืนยัน SSO ได้ทั้ง 2 โหมด

โหมดที่ใช้ IdP

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
เลือก Duo
คลิกทดสอบการเข้าสู่ระบบผ่าน SAML ที่ด้านซ้ายบน
ระบบจะเปิด Duo ขึ้นมาในแท็บใหม่ หากไม่มีแท็บใหม่เปิดขึ้นมา ให้นำข้อมูลที่ได้จากข้อความแสดงข้อผิดพลาดของ SAML ที่ระบบแจ้งไปอัปเดตการตั้งค่า IdP และ SP ให้เหมาะสม จากนั้นจึงทดสอบการเข้าสู่ระบบ SAML อีกครั้ง

โหมดที่ใช้ SP

หมายเหตุ: ก่อนจะตรวจสอบ SSO จาก SP สำหรับ Duo ได้ คุณต้องขอ URL สำหรับเข้าสู่ระบบแบบ SSO ขององค์กรจากทีมสนับสนุนของ Duo โดยทำดังนี้

ไปที่ URL สำหรับเข้าสู่ระบบ Duo ขององค์กรในหน้าต่างเบราว์เซอร์ใหม่
คลิก Single Sign On
ใส่ที่อยู่อีเมลสำหรับลงชื่อเข้าใช้แล้วคลิก Continue to Identity Provider คุณควรไปยังหน้าลงชื่อเข้าใช้ของ Google โดยอัตโนมัติ
ป้อนข้อมูลรับรองการลงชื่อเข้าใช้ Google ของคุณ
หลังจากตรวจสอบสิทธิ์ข้อมูลรับรองการลงชื่อเข้าใช้แล้ว ระบบจะพาคุณกลับไปที่ Duo โดยอัตโนมัติ

_{Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง}

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร

หากต้องการความช่วยเหลือเพิ่มเติม

ลองทำตามขั้นตอนต่อไปนี้

โพสต์ในชุมชนความช่วยเหลือ ดูคําตอบจากสมาชิกในชุมชน

ติดต่อเรา บอกเราเพิ่มเติมและเราจะช่วยเหลือคุณ