您可以通过多种方式将 Google 设为单点登录服务提供商,具体取决于贵组织的需求。单点登录配置文件包含您的 IdP 设置,可让您灵活地为组织中的不同用户应用不同的单点登录设置。
Google Workspace 支持基于 SAML 的协议和基于 OIDC 的单点登录协议:
如果您的所有用户都将通过同一个 IdP 登录,那么请使用 SAML:
- 请按照下文为贵组织配置单点登录配置文件中的步骤操作。
- 如果您想排除部分用户,不让其使用单点登录(让用户直接登录 Google),请按照决定哪些用户应使用单点登录中的步骤操作,并选择“无”这一单点登录配置文件选项。
如果您为用户设置多个 IdP 或使用 OIDC:
遵循的步骤取决于您的 IdP 使用的协议(SAML 或 OIDC):
- SAML
- 请按照以下步骤为每个 IdP 创建单点登录配置文件。
- 决定哪些用户应使用单点登录
- OIDC
- 确保在贵组织的 Azure AD 租户中为 OIDC 完成了以下准备工作:
- Azure AD 租户需要通过域名验证。
- 最终用户必须拥有 Microsoft 365 许可。
- 按照决定哪些用户应使用单点登录中的步骤操作,将预配置的 OIDC 配置文件分配给所选组织部门/群组。
注意:Google Cloud 命令行界面目前不支持使用 OIDC 重新进行身份验证。
- 确保在贵组织的 Azure AD 租户中为 OIDC 完成了以下准备工作:
-
如果您的某个组织部门(例如子组织部门)中有用户不需要单点登录,也可以使用分配功能为这些用户停用单点登录。
如果您的用户使用网域专用服务网址访问 Google 服务(例如 https://mail.google.com/a/example.com),您还可以管理这些服务网址与单点登录搭配使用的方式。
准备工作
要设置 SAML 单点登录配置文件,您需要 IdP 支持团队或文档提供一些基本配置:
- 登录页网址:也称为 SSO 网址或 SAML 2.0 端点 (HTTP)。这是用户登录您的 IdP 的位置。
- 退出页网址:用户退出 Google 应用或服务后到达的页面。
- 证书:来自 IdP 的 X.509 PEM 证书。要详细了解 X.509 证书,请参阅 SAML 密钥和验证证书。
- 更改密码网址:单点登录用户用于更改密码的页面(而不是通过 Google 更改密码的页面)。
为贵组织配置单点登录配置文件
如果使用单点登录的所有用户都使用一个 IdP,请使用此选项。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
身份验证
- 在贵组织的第三方单点登录配置文件中,点击添加单点登录配置文件。
- 勾选设置采用第三方身份提供方的单点登录对应的复选框。
为您的 IdP 填写以下信息:
- 输入 IdP 的登录页网址和退出页网址。
注意:必须输入所有网址并使用 HTTPS,例如 https://sso.example.com。
- 点击上传证书,找到并上传 IdP 提供的 X.509 证书。有关生成证书的信息,请参阅 SAML 密钥和验证证书。
- 选择是否在 SAML 请求中使用来自 Google 的网域特有的颁发者。
如果您有多个网域通过 IdP 使用单点登录,请使用网域特有的颁发者来确定发出 SAML 请求的正确网域。
- 勾选:Google 会发送您网域特有的颁发者:google.com/a/example.com(其中 example.com 是您的 Google Workspace 主域名)
- 未勾选:Google 会发送 SAML 请求的标准颁发者:google.com
- (可选)要将单点登录应用于特定 IP 地址范围内的一组用户,请输入网络掩码。如需了解详情,请参阅网络映射结果。
注意:您也可以通过将单点登录配置文件分配给特定组织部门或群组来为部分用户设置单点登录。
- 为您的 IdP 输入更改密码网址。用户将前往此网址(而不是 Google 更改密码页面)重置密码。
注意:如果您在此处输入网址,即使您未为组织启用单点登录功能,用户也会被定向到此页面。
为所有用户停用单点登录
如果您需要为所有用户停用第三方身份验证,但不更改组织部门或群组的单点登录配置文件分配,则可以停用第三方单点登录配置文件,具体步骤如下:
- 取消选中设置采用第三方身份提供方的单点登录
- 点击保存。
创建 SAML 单点登录配置文件
请按照以下步骤创建第三方单点登录配置文件。您最多可以在组织中创建 1000 个配置文件。
-
-
在管理控制台中,依次点击“菜单”图标
- 在第三方单点登录配置文件中,点击添加 SAML 配置文件。
- 输入配置文件的名称。
- 填写登录页网址以及从 IdP 获取的其他信息。
- 为您的 IdP 输入更改密码网址。用户将前往此网址(而不是 Google 更改密码页面)重置密码。
- 点击上传证书,然后找到并上传您的证书文件。有关生成证书的信息,请参阅 SAML 密钥和验证证书。
- 点击保存。
- 在服务提供商 (SP) 详细信息部分,复制并保存实体 ID 和 ACS 网址。在 IdP 管理控制台中,您需要使用这些值来配置 Google 单点登录。
- (可选)如果您的 IdP 支持加密断言,您可以生成证书并将其与 IdP 共享,以启用加密功能。每个 SAML 单点登录配置文件最多可以有 2 个服务提供商证书。
- 点击服务提供商详情部分以进入修改模式。
- 在服务提供商证书下,点击生成证书。(证书会在您保存后显示。)
- 点击保存。系统会显示证书名称、失效日期和内容。
- 请使用证书上方的按钮复制证书内容或以文件形式下载证书,然后与您的 IdP 共享证书。
- (可选)如果您需要轮替证书,请返回“服务提供商详情”部分并点击生成其他证书,然后与您的 IdP 共享新证书。确定您的 IdP 使用的是新证书后,您可以删除原始证书。
决定哪些用户应使用单点登录
通过分配单点登录配置文件及其关联的 IdP,为组织部门或群组启用单点登录。您也可以为单点登录配置文件分配“无”,以停用单点登录。您还可以在组织部门或群组内应用混合单点登录政策,例如为整个组织部门启用单点登录,然后为下级组织部门停用该功能。
- 点击管理单点登录配置文件分配。
- 如果这是您首次分配单点登录配置文件,请点击“开始使用”。如果不是首次,请点击管理。
- 在左侧,选择您要分配单点登录配置文件的组织部门或群组。
- 如果您为某个组织部门或群组分配的单点登录配置文件与为整个网域分配的配置文件不同,则当您选择该组织部门或群组时,系统会显示一条覆盖警告。
- 您无法按用户分配单点登录配置文件。使用“用户”视图,您可以查看特定用户的设置。
- 为所选组织部门或群组选择单点登录配置文件分配:
- 要将相应组织部门或群组从单点登录中排除,请选择无。组织部门或群组中的用户将直接通过 Google 登录。
- 如要为相应组织部门或群组分配其他 IdP,请选择其他单点登录 (SSO) 配置文件,然后从下拉列表中选择单点登录配置文件。
- (仅限 SAML 单点登录配置文件)选择 SAML 配置文件后,请为直接登录 Google 服务(无需先登录单点登录配置文件的第三方 IdP)的用户选择登录选项。您可以提示用户输入 Google 用户名,然后将其重定向到 IdP,或要求用户输入自己的 Google 用户名和密码。
注意:如果您选择要求用户输入自己的 Google 用户名和密码,则此 SAML 单点登录配置文件的更改密码网址设置(可在“单点登录配置文件”>“IdP 详细信息”中找到)会被忽略。这样可以确保用户能够根据需要更改其 Google 密码。
- (仅限 Microsoft OIDC 单点登录配置文件)输入您的 Microsoft 账号密码,然后点击登录以验证您的 Microsoft SSO 配置。
如果您是 Azure AD 的组织管理员,可以选择代表组织接受权限请求。这意味着系统不会向最终用户显示 OAuth 权限请求。
- 点击保存。
- 根据需要将单点登录配置文件分配给其他组织部门或群组。
关闭管理单点登录配置文件分配卡片后,您会在管理单点登录配置文件分配部分看到为组织部门和群组分配的配置文件已更新。
从单点登录配置文件分配列表中移除分配
- 点击某个群组或组织部门的名称,以打开其配置文件分配设置。
- 将现有分配设置替换为上级组织部门设置:
- 对于组织部门分配,请点击继承。
- 对于群组分配,请点击取消设置。
- 对于根级组织部门分配,如果您想为贵组织使用第三方单点登录配置文件,请将分配设置为无(或组织的第三方单点登录配置文件)。
管理网域专用服务网址
通过网域专用服务网址设置,您可以控制当用户使用服务网址(如 https://mail.google.com/a/example.com)登录时会发生什么。有两种方案供您选择:
- 将用户重定向至第三方 IdP。选择此选项可始终将这些用户转送到您在单点登录配置文件下拉列表中选择的第三方 IdP。它可以是贵组织的单点登录配置文件,也可以是其他第三方配置文件(如果您已添加)。
重要提示:如果您的组织部门或群组未使用单点登录,请不要选择此设置。否则,您的非单点登录用户将被自动转送到相应 IdP,但无法登录。
- 要求用户先在 Google 登录页面上输入自己的用户名。如果选择此选项,输入网域专用网址的用户会先被转送到 Google 登录页面。如果他们是单点登录用户,系统会将其重定向到 IdP 登录页面。