Konfigurowanie logowania jednokrotnego w organizacji

Logowanie jednokrotne możesz skonfigurować jako dostawcę tożsamości w Google na kilka sposobów w zależności od potrzeb Twojej organizacji. Profile logowania jednokrotnego, które zawierają ustawienia dostawcy tożsamości, umożliwiają stosowanie różnych ustawień logowania jednokrotnego do różnych kont użytkowników w organizacji.

Google Workspace obsługuje protokoły SSO oparte zarówno na SAML, jak i na OIDC:

Jeśli wszyscy użytkownicy będą logować się przez jednego dostawcę tożsamości, korzystając z SAML

1. Wykonaj czynności opisane poniżej w sekcji Konfigurowanie profilu logowania jednokrotnego dla organizacji.
2. Jeśli chcesz wykluczyć niektórych użytkowników z logowania jednokrotnego (i umożliwić im logowanie się bezpośrednio do Google), wykonaj czynności opisane w sekcji Określanie, którzy użytkownicy powinni używać logowania jednokrotnego. Pozwalają one przypisać opcję „Brak” do profilu logowania jednokrotnego.

Jeśli korzystasz z kilku dostawców tożsamości lub OIDC:

Czynności, które musisz wykonać, zależą od protokołu używanego przez dostawcę tożsamości (SAML lub OIDC):

• SAML
  1. W przypadku każdego dostawcy tożsamości wykonaj czynności opisane poniżej, aby utworzyć profile logowania jednokrotnego.
  2. Określanie, którzy użytkownicy powinni używać logowania jednokrotnego.
• OIDC
  1. Sprawdź, czy masz skonfigurowane te wymagania wstępne dotyczące OIDC dla najemcy usługi Azure AD:
     • Najemca usługi Azure AD musi być zweryfikowany za pomocą domeny.
     • Użytkownicy muszą mieć licencje Microsoft 365.
  2. Wykonaj czynności opisane w sekcji Określanie, którzy użytkownicy powinni używać logowania jednokrotnego, aby przypisać wstępnie skonfigurowany profil OIDC do wybranych jednostek organizacyjnych lub grup.

     Uwaga: interfejs wiersza poleceń Google Cloud nie obsługuje obecnie ponownego uwierzytelniania przy użyciu OIDC.

• Jeśli w jednostce organizacyjnej (np. podrzędnej) są użytkownicy, którzy nie potrzebują logowania jednokrotnego, również możesz wyłączyć dla nich tę funkcję za pomocą przypisań.

Jeśli użytkownicy korzystają z usług Google za pomocą adresów URL specyficznych dla domeny (na przykład https://mail.google.com/a/example.com), możesz też zarządzać sposobem współdziałania tych adresów z logowaniem jednokrotnym.

Zanim zaczniesz

Aby skonfigurować profil logowania jednokrotnego przez SAML, potrzebujesz pewnych danych konfiguracyjnych, które możesz otrzymać od zespołu pomocy dostawcy tożsamości lub znaleźć w dokumentacji:

• Adres URL strony logowania, określany też jako adres URL logowania jednokrotnego lub punkt końcowy SAML 2.0 (HTTP). Na tej stronie użytkownicy logują się w systemie dostawcy tożsamości.
• Adres URL strony wylogowania – adres strony, na którą trafia użytkownik po zakończeniu korzystania z aplikacji lub usługi Google.
• Certyfikat – certyfikat PEM X.509 uzyskany od dostawcy tożsamości. Więcej informacji o certyfikatach X.509 znajdziesz w artykule Klucz SAML i certyfikat weryfikacji.
• Adres URL strony zmiany hasła – strona, na której użytkownicy logowania jednokrotnego mogą zmieniać hasła (zamiast robić to przez Google).

Konfigurowanie profilu logowania jednokrotnego dla organizacji

Wybierz tę opcję, jeśli wszyscy użytkownicy korzystający z logowania jednokrotnego będą używać jednego dostawcy tożsamości.

1. Zaloguj się w usłudze konsoli administracyjnej Google.

   Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

2. W konsoli administracyjnej kliknij Menu    Zabezpieczenia  Uwierzytelnianie  Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
3. W sekcji Zewnętrzny profil logowania jednokrotnego dla Twojej organizacji kliknij Dodaj profil logowania jednokrotnego.
4. Zaznacz pole Skonfiguruj jednokrotne logowanie przy użyciu zewnętrznego dostawcy tożsamości.

Podaj te informacje o dostawcy tożsamości:

• Wpisz adres URL strony logowania i adres URL strony wylogowania dla dostawcy tożsamości.

  Uwaga: musisz wpisać wszystkie adresy URL i muszą one używać protokołu HTTPS, na przykład https://sso.example.com.

• Kliknij Prześlij certyfikat, a następnie znajdź i prześlij certyfikat X.509 otrzymany od dostawcy tożsamości. Informacje o generowaniu certyfikatu znajdziesz w artykule Klucz SAML i certyfikat weryfikacji.
• Wybierz, czy w żądaniach SAML od Google chcesz używać wystawcy specyficznego dla domeny.

  Jeśli masz kilka domen korzystających z logowania jednokrotnego przy użyciu dostawcy tożsamości, wybierz tę opcję, aby określić prawidłową domenę, z której są wysyłane żądania SAML.

  • Jeśli opcja jest zaznaczona, Google wysyła dane wystawcy specyficznego dla domeny: google.com/a/example.com (gdzie example.com to nazwa Twojej domeny podstawowej Google Workspace).
  • Jeśli opcja nie jest zaznaczona, Google wysyła w żądaniach SAML dane standardowego wystawcy, czyli google.com.
• (Opcjonalnie) Aby włączyć logowanie jednokrotne dla grupy użytkowników w ramach określonych zakresów adresów IP, podaj maskę sieci. Więcej informacji znajdziesz w artykule Wyniki mapowania sieci.

  Uwaga: możesz też skonfigurować częściowe logowanie jednokrotne, przypisując profil logowania jednokrotnego do określonych jednostek organizacyjnych lub grup.

• Wpisz adres URL strony zmiany hasła dla dostawcy tożsamości. Użytkownicy będą resetować swoje hasła pod tym adresem (a nie na stronie zmiany hasła w Google).

  Uwaga: jeśli w tym polu podasz adres URL, użytkownicy będą przekierowywani na tę stronę, nawet jeśli nie włączysz logowania jednokrotnego w swojej organizacji.

Wyłączanie logowania jednokrotnego dla wszystkich użytkowników

Jeśli chcesz wyłączyć uwierzytelnianie za pomocą usługi innej firmy dla wszystkich użytkowników bez zmiany przypisania profilu logowania jednokrotnego dla jednostek organizacyjnych lub grup, możesz wyłączyć zewnętrzny profil SSO:

1. Odznacz pole Skonfiguruj logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
2. Kliknij Zapisz.

Tworzenie profilu logowania jednokrotnego przez SAML

Wykonaj te czynności, aby utworzyć zewnętrzny profil SSO. W organizacji możesz utworzyć maksymalnie 1000 profili.

1. Zaloguj się w usłudze konsoli administracyjnej Google.

   Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

2. W konsoli administracyjnej kliknij Menu    Zabezpieczenia  Uwierzytelnianie  Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
3. W sekcji „Zewnętrzne profile SSO” kliknij Dodaj profil SAML.
4. Wpisz nazwę profilu.
5. Podaj adres URL strony logowania oraz inne informacje uzyskane od dostawcy tożsamości.
6. Wpisz adres URL strony zmiany hasła dla dostawcy tożsamości. Użytkownicy będą resetować swoje hasła pod tym adresem (a nie na stronie zmiany hasła w Google).
7. Kliknij Prześlij certyfikat, a następnie znajdź i prześlij plik certyfikatu. Informacje o generowaniu certyfikatu znajdziesz w artykule Klucz SAML i certyfikat weryfikacji.
8. Kliknij Zapisz.
9. W sekcji Szczegółowe dane dostawcy usług skopiuj i zapisz wartości z pól Identyfikator jednostki oraz Adres URL usługi ACS. Te wartości będą potrzebne do skonfigurowania logowania jednokrotnego przez Google w panelu administracyjnym dostawcy tożsamości.
10. (Opcjonalnie) Jeśli dostawca tożsamości obsługuje potwierdzenia szyfrowania, możesz wygenerować i udostępnić mu certyfikat, aby włączyć szyfrowanie. Każdy profil logowania jednokrotnego przez SAML może mieć maksymalnie 2 certyfikaty dostawcy usług.
    1. Kliknij sekcję Szczegółowe dane dostawcy usług, aby przejść do trybu edycji.
    2. W sekcji Certyfikat dostawcy usług kliknij Wygeneruj certyfikat (certyfikat zostanie wyświetlony po zapisaniu).
    3. Kliknij Zapisz. Wyświetlone są nazwa certyfikatu, data wygaśnięcia i treść.
    4. Użyj przycisków nad certyfikatem, aby skopiować zawartość certyfikatu lub pobrać go jako plik, a następnie udostępnić go dostawcy tożsamości.
    5. (Opcjonalnie) Jeśli chcesz wymienić certyfikat, wróć do szczegółów danych dostawcy usługi i kliknij Wygeneruj kolejny certyfikat, a następnie udostępnij nowy certyfikat dostawcy tożsamości. Gdy będziesz mieć pewność, że dostawca tożsamości używa nowego certyfikatu, możesz usunąć pierwotny certyfikat.

Określanie, którzy użytkownicy powinni używać logowania jednokrotnego

Włącz logowanie jednokrotne w jednostce organizacyjnej lub grupie, przypisując profil logowania jednokrotnego i powiązanego z nim dostawcę tożsamości. Możesz też wyłączyć logowanie jednokrotne, przypisując do profilu logowania jednokrotnego wartość „Brak”. Możesz także zastosować mieszane zasady logowania jednokrotnego w jednostce organizacyjnej lub grupie, na przykład włączyć logowanie jednokrotne w całej jednostce, a następnie wyłączyć je w podrzędnej jednostce organizacyjnej.

1. Kliknij Zarządzaj przypisaniem profili logowania jednokrotnego.
2. Jeśli po raz pierwszy przypisujesz profil logowania jednokrotnego, kliknij Rozpocznij. W przeciwnym razie kliknij Zarządzaj.
3. Po lewej stronie wybierz jednostkę organizacyjną lub grupę, dla której chcesz przypisać profil logowania jednokrotnego.
   • Jeśli przypisanie profilu logowania jednokrotnego dla jednostki organizacyjnej lub grupy różni się od przypisania profilu dla całej domeny, to gdy wybierzesz tę jednostkę organizacyjną lub grupę, pojawi się ostrzeżenie o zastąpieniu.
   • Profilu logowania jednokrotnego nie można przypisać poszczególnym użytkownikom. Widok Użytkownicy pozwala sprawdzić ustawienia dla konkretnego użytkownika.
4. Wybierz opcję przypisania profilu logowania jednokrotnego dla wybranej jednostki organizacyjnej lub grupy:
   • Aby wykluczyć jednostkę organizacyjną lub grupę z logowania jednokrotnego, wybierz Brak. Użytkownicy w jednostce organizacyjnej lub grupie będą logować się bezpośrednio przez Google.
   • Aby przypisać innego dostawcę tożsamości do jednostki organizacyjnej lub grupy, wybierz Inny profil SSO, a następnie wybierz profil z listy.
5. (Tylko profile logowania jednokrotnego przez SAML) Po wybraniu profilu SAML wybierz opcję logowania dla użytkowników, którzy od razu przechodzą do usługi Google bez zalogowania się u zewnętrznego dostawcy tożsamości tego profilu logowania jednokrotnego. Możesz prosić użytkowników o podanie nazwy użytkownika Google, a następnie przekierowywać ich do dostawcy tożsamości, lub wymagać podania nazwy użytkownika i hasła Google. 

   Uwaga: jeśli zdecydujesz się wymagać od użytkowników podania nazwy użytkownika i hasła Google, ustawienie Adres URL zmiany hasła dla tego profilu logowania jednokrotnego przez SAML (w sekcji Profil SSO > Szczegóły dostawcy tożsamości) będzie ignorowane. Dzięki temu użytkownicy będą mogli w razie potrzeby zmieniać swoje hasła w Google.

6. (Tylko profil logowania jednokrotnego przez Microsoft OIDC) Wpisz hasło do konta Microsoft i kliknij Zaloguj się, aby zweryfikować konfigurację logowania jednokrotnego Microsoft.

   Jeśli jesteś administratorem organizacji w usłudze Azure AD, możesz zaakceptować prośbę w imieniu tej organizacji. Oznacza to, że użytkownicy nie będą proszeni o wyrażenie zgody na uwierzytelnianie z użyciem protokołu OAuth.

7. Kliknij Zapisz.
8. Przypisz profile logowania jednokrotnego do innych jednostek organizacyjnych lub grup zgodnie z potrzebami.

Po zamknięciu karty Zarządzaj przypisaniem profili logowania jednokrotnego zaktualizowane przypisania jednostek organizacyjnych i grup pojawią się w sekcji Zarządzaj przypisaniem profili logowania jednokrotnego.

Usuwanie przypisania z listy przypisań profilu SSO

1. Kliknij nazwę grupy lub jednostki organizacyjnej, aby otworzyć ustawienia przypisywania jej profilu.
2. Zastąp aktualne ustawienie przypisania ustawieniem nadrzędnej jednostki organizacyjnej:
   • W przypadku przypisań jednostek organizacyjnych kliknij Odziedzicz.
   • W przypadku przypisań grupowych kliknij Cofnij ustawienie.  
   • W przypadku przypisań do głównej jednostki organizacyjnej ustaw przypisanie na wartość Brak (lub Zewnętrzny profil logowania jednokrotnego organizacji), jeśli chcesz używać zewnętrznego profilu SSO w organizacji.

Zarządzanie adresami URL usług specyficznymi dla domeny

Ustawienie URL-e usług specyficzne dla domeny pozwala kontrolować, co się dzieje, gdy użytkownicy logują się za pomocą adresów URL usług, takich jak https://mail.google.com/a/example.com. Dostępne są 2 opcje:

• Kieruj użytkowników do zewnętrznego dostawcy tożsamości – wybierz tę opcję, aby zawsze kierować użytkowników do zewnętrznego dostawcy tożsamości wybranego na liście profili logowania jednokrotnego. Może to być profil logowania jednokrotnego w Twojej organizacji lub inny profil (jeśli został dodany).

  Ważne: jeśli masz jednostki organizacyjne lub grupy, które nie korzystają z logowania jednokrotnego, nie wybieraj tego ustawienia. Użytkownicy bez dostępu do logowania jednokrotnego zostaną automatycznie przekierowani na stronę dostawcy tożsamości i nie będą mogli się zalogować.

• Wymagaj od użytkowników wpisania nazwy użytkownika na stronie logowania Google. W przypadku tej opcji użytkownicy, którzy wpiszą adresy URL właściwe dla domeny, są najpierw kierowani na stronę logowania Google. Jeśli użytkownik korzysta z logowania jednokrotnego, zostanie przekierowany na stronę logowania dostawcy tożsamości.

Zobacz też

Korzystanie z logowania jednokrotnego

Rozwiązywanie problemów z logowaniem jednokrotnym