Konfigurowanie logowania jednokrotnego

Logowanie jednokrotne możesz skonfigurować jako dostawcę tożsamości w Google na kilka sposobów w zależności od potrzeb Twojej organizacji. Google Workspace obsługuje protokoły SSO oparte zarówno na SAML, jak i na OIDC: 

Jeśli użytkownicy korzystają z usług Google za pomocą adresów URL specyficznych dla domeny (na przykład https://mail.google.com/a/example.com), możesz też zarządzać sposobem współdziałania tych adresów z logowaniem jednokrotnym.

Jeśli Twoja organizacja potrzebuje warunkowego przekierowania logowania jednokrotnego na podstawie adresu IP lub logowania jednokrotnego dla superadministratorów, możesz też skonfigurować starszy profil SSO.

Konfigurowanie logowania jednokrotnego przez SAML

Zanim zaczniesz

Aby skonfigurować profil logowania jednokrotnego przez SAML, potrzebujesz pewnych danych konfiguracyjnych, które możesz otrzymać od zespołu pomocy dostawcy tożsamości lub znaleźć w dokumentacji:

  • Adres URL strony logowania, określany też jako adres URL logowania jednokrotnego lub punkt końcowy SAML 2.0 (HTTP). Na tej stronie użytkownicy logują się w systemie dostawcy tożsamości.
  • Adres URL strony wylogowania – adres strony, na którą trafia użytkownik po zakończeniu korzystania z aplikacji lub usługi Google.
  • Adres URL strony zmiany hasła – strona, na której użytkownicy logowania jednokrotnego mogą zmieniać hasła (zamiast robić to przez Google).
  • Certyfikat – certyfikat PEM X.509 uzyskany od dostawcy tożsamości. Certyfikat zawiera klucz publiczny, który weryfikuje logowanie w sposób logowania u dostawcy tożsamości.
Wymagania dotyczące certyfikatów
  • Musi to być certyfikat X.509 w formacie PEM lub DER zawierający klucz publiczny.
  • Klucz publiczny musi być wygenerowany przy użyciu algorytmu DSA lub RSA.
  • Klucz publiczny w certyfikacie musi być zgodny z kluczem prywatnym użytym do podpisywania odpowiedzi SAML.

Zazwyczaj te certyfikaty otrzymasz od dostawcy tożsamości. Możesz je jednak też wygenerować samodzielnie.

Tworzenie profilu logowania jednokrotnego przez SAML

Wykonaj te czynności, aby utworzyć zewnętrzny profil SSO. W organizacji możesz utworzyć maksymalnie 1000 profili.

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz Menu  a potem  Zabezpieczenia > Uwierzytelnianie > Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. W sekcji „Zewnętrzne profile SSO” kliknij Dodaj profil SAML.
  4. Wpisz nazwę profilu.
  5. (Opcjonalnie) Jeśli masz plik metadanych XML dostawcy tożsamości, kliknij „prześlij plik XML”, aby podać informacje o dostawcy tożsamości, a następnie przejdź do kroku 8.
  6. Podaj adres URL strony logowania oraz inne informacje uzyskane od dostawcy tożsamości.
  7. Wpisz adres URL strony zmiany hasła dla dostawcy tożsamości. Użytkownicy będą resetować swoje hasła pod tym adresem (a nie na stronie zmiany hasła w Google).
  8. Kliknij Prześlij certyfikat, aby przesłać plik certyfikatu.

    Możesz przesłać maksymalnie 2 certyfikaty, co pozwoli Ci w razie potrzeby je wymieniać.

  9. Kliknij Zapisz.
  10. W sekcji Szczegółowe dane dostawcy usług skopiuj i zapisz wartości z pól Identyfikator jednostki oraz Adres URL usługi ACS. Te wartości będą potrzebne do skonfigurowania logowania jednokrotnego przez Google w panelu administracyjnym dostawcy tożsamości.
  11. (Opcjonalnie) Jeśli dostawca tożsamości obsługuje szyfrowanie asercji, możesz wygenerować certyfikat i udostępnić go dostawcy tożsamości, aby włączyć szyfrowanie. Każdy profil logowania jednokrotnego przez SAML może mieć maksymalnie 2 certyfikaty dostawcy usług.
    1. Kliknij sekcję Szczegółowe dane dostawcy usług, aby przejść do trybu edycji.
    2. W sekcji Certyfikat dostawcy usług kliknij Wygeneruj certyfikat (certyfikat pojawi się po jego zapisaniu).
    3. Kliknij Zapisz. Wyświetlone są nazwa certyfikatu, data wygaśnięcia i treść.
    4. Użyj przycisków nad certyfikatem, aby skopiować zawartość certyfikatu lub pobrać go jako plik, a następnie udostępnić go dostawcy tożsamości.
    5. (Opcjonalnie) Jeśli chcesz wymienić certyfikat, wróć do szczegółów danych dostawcy usługi i kliknij Wygeneruj kolejny certyfikat, a następnie udostępnij nowy certyfikat dostawcy tożsamości. Gdy będziesz mieć pewność, że dostawca tożsamości używa nowego certyfikatu, możesz usunąć pierwotny certyfikat.

Konfigurowanie dostawcy tożsamości

Aby skonfigurować dostawcę tożsamości pod kątem używania tego profilu SSO, w odpowiednich polach ustawień SSO dostawcy tożsamości wpisz informacje z sekcji Szczegółowe dane dostawcy usług profilu. Zarówno adres URL usługi ACS, jak i identyfikator jednostki są unikalne dla tego profilu.

Konfigurowanie starszego profilu SSO

Starszy profil SSO jest obsługiwany w przypadku użytkowników, którzy nie przeprowadzili migracji do profili SSO. Umożliwia on tylko korzystanie z jednego dostawcy tożsamości.

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz Menu  a potem  Zabezpieczenia > Uwierzytelnianie > Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. W sekcji „Zewnętrzne profile SSO” kliknij Dodaj profil SAML.
  4. Na dole strony Szczegółowe dane dostawcy tożsamości kliknij Przejdź do ustawień profilu SSO.
  5. Na stronie Starszy profil SSO zaznacz pole Włącz logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
  6. Podaj te informacje o dostawcy tożsamości:
    • Wpisz adres URL strony logowania i adres URL strony wylogowania dla dostawcy tożsamości.

      Uwaga: musisz wpisać wszystkie adresy URL i muszą one używać protokołu HTTPS, na przykład https://sso.example.com.

    • Kliknij Prześlij certyfikat, a następnie znajdź i prześlij certyfikat X.509 otrzymany od dostawcy tożsamości. Więcej informacji znajdziesz w sekcji Wymagania dotyczące certyfikatów.
    • Wybierz, czy w żądaniach SAML od Google chcesz używać wystawcy specyficznego dla domeny.

      Jeśli masz kilka domen korzystających z logowania jednokrotnego przy użyciu dostawcy tożsamości, wybierz tę opcję, aby określić prawidłową domenę, z której są wysyłane żądania SAML.

      • Jeśli opcja jest zaznaczona, Google wysyła dane wystawcy specyficznego dla domeny: google.com/a/example.com (gdzie example.com to nazwa Twojej domeny podstawowej Google Workspace).
      • Jeśli opcja nie jest zaznaczona, Google wysyła w żądaniach SAML dane standardowego wystawcy, czyli google.com.
    • (Opcjonalnie) Aby włączyć logowanie jednokrotne dla grupy użytkowników w ramach określonych zakresów adresów IP, podaj maskę sieci. Więcej informacji znajdziesz w artykule Wyniki mapowania sieci.

      Uwaga: możesz też skonfigurować częściowe logowanie jednokrotne, przypisując profil logowania jednokrotnego do określonych jednostek organizacyjnych lub grup.

    • Wpisz adres URL strony zmiany hasła dla dostawcy tożsamości. Użytkownicy będą resetować swoje hasła pod tym adresem (a nie na stronie zmiany hasła w Google).

      Uwaga: jeśli w tym polu podasz adres URL, użytkownicy będą przekierowywani na tę stronę, nawet jeśli nie włączysz logowania jednokrotnego w swojej organizacji.

  7. Kliknij Zapisz.

Po zapisaniu starszy profil SSO pojawi się w tabeli Profile SSO.

Konfigurowanie dostawcy tożsamości

Aby skonfigurować dostawcę tożsamości pod kątem używania tego profilu SSO, w odpowiednich polach ustawień SSO dostawcy tożsamości wpisz informacje z sekcji Szczegółowe dane dostawcy usług profilu. Zarówno adres URL usługi ACS, jak i identyfikator jednostki są unikalne dla tego profilu.

  Format
ACS URL https://accounts.google.com/a/{domain.com}/acs
Gdzie {domain.com} to nazwa domeny Workspace Twojej organizacji
Identyfikator jednostki Jeden z poniższych:
  • google.com
  • google.com/a/customerprimarydomain (jeśli podczas konfigurowania starszego profilu wybierzesz wystawcę właściwego dla domeny).

 

Wyłączanie starszego profilu SSO

  1. Na liście Zewnętrzne profile SSO kliknij Starszy profil SSO.
  2. W grupie ustawień Starszy profil SSO odznacz pole Włącz logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
  3. Potwierdź, że chcesz kontynuować, a następnie kliknij Zapisz.

Na liście Profile SSO Starszy profil SSO jest teraz oznaczony jako Wyłączony.

  • W przypadku jednostek organizacyjnych, do których przypisano starszy profil SSO, w kolumnie Przypisany profil pojawi się alert.
  • W przypadku jednostki organizacyjnej najwyższego poziomu w kolumnie Przypisany profil pojawi się wartość Brak.
  • W sekcji Zarządzaj przypisaniem profili logowania jednokrotnego starszy profil SSO jest oznaczony jako nieaktywny.

Migracja ze starszych profili SAML do profili SSO

Jeśli Twoja organizacja korzysta ze starszego profilu SSO, zalecamy przejście na profile SSO, które oferują kilka zalet, w tym obsługę OIDC, nowocześniejsze interfejsy API i większą elastyczność w zakresie stosowania ustawień SSO w grupach użytkowników. Więcej informacji

Konfigurowanie logowania jednokrotnego za pomocą OIDC

Aby korzystać z logowania jednokrotnego opartego na OIDC:

  1. Podczas konfigurowania OIDC masz do wyboru 2 możliwości: możesz utworzyć niestandardowy profil OIDC, podając informacje o partnerze w zakresie OIDC, lub użyć wstępnie skonfigurowanego profilu OIDC Microsoft Entra.
  2. Wykonaj czynności opisane w sekcji Określanie, którzy użytkownicy powinni używać logowania jednokrotnego, aby przypisać wstępnie skonfigurowany profil OIDC do wybranych jednostek organizacyjnych lub grup.

Jeśli w jednostce organizacyjnej (np. podrzędnej) są użytkownicy, którzy nie potrzebują logowania jednokrotnego, również możesz wyłączyć dla nich tę funkcję za pomocą przypisań.

Uwaga: interfejs wiersza poleceń Google Cloud nie obsługuje obecnie ponownego uwierzytelniania za pomocą OIDC.

Zanim zaczniesz

Aby skonfigurować niestandardowy profil OIDC, potrzebujesz pewnych danych konfiguracyjnych, które możesz otrzymać od zespołu pomocy dostawcy tożsamości lub znaleźć w dokumentacji:

  • URL wydawcy – pełny adres URL serwera autoryzacji dostawcy tożsamości.
  • Klient OAuth, który można rozpoznać po identyfikatorze klienta i który jest uwierzytelniany przez tajny klucz klienta.
  • Adres URL strony zmiany hasła – strona, na której użytkownicy logowania jednokrotnego mogą zmieniać hasła (zamiast robić to przez Google). 

Google wymaga też, żeby:

  • argument email Twojego dostawcy tożsamości był zgodny z podstawowym adresem e-mail użytkownika po stronie Google. 
  • dostawca tożsamości używał przepływu kodu autoryzacji.

Tworzenie niestandardowego profilu OIDC

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz Menu  a potem  Zabezpieczenia > Uwierzytelnianie > Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. W sekcji „Zewnętrzne profile SSO” kliknij Dodaj profil SAML.
  4. Nazwij profil OIDC.
  5. Wpisz szczegóły OIDC: identyfikator klienta, URL wystawcy i tajny klucz klienta.
  6. Kliknij Zapisz.
  7. Na stronie ustawień logowania jednokrotnego OIDC nowego profilu skopiuj Identyfikator URI przekierowania. Aby odpowiadać na żądania za pomocą tego identyfikatora URI, musisz zaktualizować klienta OAuth u swojego dostawcy tożsamości.

Aby edytować ustawienia, najedź kursorem na Szczegóły OIDC, a potem kliknij Edytuj .

Korzystanie z profilu OIDC Microsoft Entra

Sprawdź, czy masz skonfigurowane te wymagania wstępne dotyczące OIDC dla najemcy usługi Microsoft Entra ID w organizacji:

Określanie, którzy użytkownicy powinni używać logowania jednokrotnego

Włącz logowanie jednokrotne w jednostce organizacyjnej lub grupie, przypisując profil logowania jednokrotnego i powiązanego z nim dostawcę tożsamości. Możesz też wyłączyć logowanie jednokrotne, przypisując do profilu logowania jednokrotnego wartość „Brak”. Możesz też zastosować mieszane zasady logowania jednokrotnego w jednostce organizacyjnej lub grupie, na przykład włączyć logowanie jednokrotne w całej jednostce, a następnie wyłączyć je w podrzędnej jednostce organizacyjnej. 

Jeśli profil jeszcze nie został utworzony, zrób to, zanim przejdziesz dalej. Możesz też przypisać wstępnie skonfigurowany profil OIDC. 

  1. Kliknij Zarządzaj przypisaniem profili logowania jednokrotnego.
  2. Jeśli po raz pierwszy przypisujesz profil logowania jednokrotnego, kliknij Rozpocznij. W przeciwnym razie kliknij Zarządzaj przypisywaniem.
  3. Po lewej stronie wybierz jednostkę organizacyjną lub grupę, dla której chcesz przypisać profil logowania jednokrotnego.
    • Jeśli przypisanie profilu logowania jednokrotnego dla jednostki organizacyjnej lub grupy różni się od przypisania profilu dla całej domeny, to gdy wybierzesz tę jednostkę organizacyjną lub grupę, pojawi się ostrzeżenie o zastąpieniu.
    • Profilu logowania jednokrotnego nie można przypisać poszczególnym użytkownikom. Widok Użytkownicy pozwala sprawdzić ustawienia dla konkretnego użytkownika.
  4. Wybierz opcję Przypisanie profilu logowania jednokrotnego dla wybranej jednostki organizacyjnej lub grupy:
    • Aby wykluczyć jednostkę organizacyjną lub grupę z logowania jednokrotnego, wybierz Brak. Użytkownicy w jednostce organizacyjnej lub grupie będą logować się bezpośrednio przez Google.
    • Aby przypisać innego dostawcę tożsamości do jednostki organizacyjnej lub grupy, wybierz Inny profil SSO, a następnie wybierz profil z listy.
  5. (Tylko profile logowania jednokrotnego przez SAML) Po wybraniu profilu SAML wybierz opcję logowania dla użytkowników, którzy od razu przechodzą do usługi Google bez zalogowania się u zewnętrznego dostawcy tożsamości tego profilu logowania jednokrotnego. Możesz prosić użytkowników o podanie nazwy użytkownika Google, a następnie przekierowywać ich do dostawcy tożsamości, lub wymagać podania nazwy użytkownika i hasła Google. 

    Uwaga: jeśli zdecydujesz się wymagać od użytkowników podania nazwy użytkownika i hasła Google, ustawienie Adres URL zmiany hasła dla tego profilu logowania jednokrotnego przez SAML (w sekcji Profil SSO > Szczegóły dostawcy tożsamości) będzie ignorowane. Dzięki temu użytkownicy mogą w razie potrzeby zmieniać hasła do Google.

  6. Kliknij Zapisz.
  7. (Opcjonalnie) Przypisz profile logowania jednokrotnego do innych jednostek organizacyjnych lub grup zgodnie z potrzebami.

Po zamknięciu karty Zarządzaj przypisaniem profili logowania jednokrotnego zaktualizowane przypisania jednostek organizacyjnych i grup pojawią się w sekcji Zarządzaj przypisaniem profili logowania jednokrotnego

Usuwanie przypisania profilu SSO

  1. Kliknij nazwę grupy lub jednostki organizacyjnej, aby otworzyć jej ustawienia przypisania profili.
  2. Zastąp aktualne ustawienie przypisania ustawieniem nadrzędnej jednostki organizacyjnej:
    • W przypadku przypisań jednostek organizacyjnych kliknij Odziedzicz.
    • W przypadku przypisań grupowych kliknij Cofnij ustawienie.  

Uwaga: na liście przypisania profilu zawsze znajduje się jednostka organizacyjna najwyższego poziomu, nawet jeśli w polu Profil wybrano opcję Brak.

Zobacz też


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

 

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
11918582936582997788
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false
false
false