ตั้งค่า SSO สําหรับองค์กรของคุณ

คุณสามารถตั้งค่า SSO โดยให้ Google เป็นผู้ให้บริการได้หลายวิธี ทั้งนี้ขึ้นอยู่กับความต้องการขององค์กร โปรไฟล์ SSO ที่มีการตั้งค่าสำหรับ IdP ช่วยให้คุณเลือกใช้การตั้งค่า SSO ที่ต่างกันกับผู้ใช้รายต่างๆ ในองค์กรได้อย่างยืดหยุ่น

Google Workspace รองรับโปรโตคอล SSO ทั้งแบบ SAML และ OIDC ดังนี้

หากผู้ใช้ทั้งหมดจะลงชื่อเข้าใช้ผ่าน IdP รายการเดียวโดยใช้ SAML ให้ทำดังนี้

1. ทําตามขั้นตอนในหัวข้อกําหนดค่าโปรไฟล์ SSO สําหรับองค์กรของคุณด้านล่าง
2. หากต้องการยกเว้นผู้ใช้บางรายไม่ให้ใช้ SSO (และให้ผู้ใช้ลงชื่อเข้าใช้ Google โดยตรง) ให้ทำตามขั้นตอนในหัวข้อตัดสินใจว่าผู้ใช้รายใดควรใช้ SSO ซึ่งจะมีตัวเลือกให้กำหนด "ไม่มี" สำหรับโปรไฟล์ SSO 

หากใช้ IdP หลายรายการกับผู้ใช้ หรือใช้ OIDC ให้ทำดังนี้

ขั้นตอนที่คุณเลือกดำเนินการจะขึ้นอยู่กับโปรโตคอลที่ IdP ใช้ (SAML หรือ OIDC) ดังนี้

• SAML
  1. ทำตามขั้นตอนด้านล่างเพื่อสร้างโปรไฟล์ SSO สำหรับ IdP แต่ละรายการ 
  2. ตัดสินใจว่าผู้ใช้รายใดควรใช้ SSO
• OIDC
  1. ตรวจสอบว่าคุณได้กำหนดค่าข้อกำหนดเบื้องต้นต่อไปนี้สำหรับ OIDC ในกลุ่มผู้ใช้ Azure AD ขององค์กรของคุณ
     • กลุ่มผู้ใช้ Azure AD ต้องยืนยันโดเมน
     • ผู้ใช้ปลายทางต้องมีใบอนุญาต Microsoft 365
  2. ทำตามขั้นตอนในหัวข้อตัดสินใจว่าผู้ใช้รายใดควรใช้ SSO เพื่อกำหนดโปรไฟล์ OIDC ที่กำหนดค่าไว้ล่วงหน้าให้กับหน่วยขององค์กร/กลุ่มที่เลือก

     หมายเหตุ: อินเทอร์เฟซบรรทัดคำสั่งของ Google Cloud ยังไม่รองรับการตรวจสอบสิทธิ์อีกครั้งโดยใช้ OIDC ในขณะนี้

• หากมีผู้ใช้ภายในหน่วยขององค์กร (เช่น ในหน่วยขององค์กรย่อย) ที่ไม่จำเป็นต้องใช้ SSO คุณยังใช้การมอบหมายเพื่อปิด SSO ให้กับผู้ใช้เหล่านั้นได้ด้วย

หากผู้ใช้ใช้ URL ของบริการที่ใช้ได้เฉพาะในโดเมนนั้นเพื่อเข้าถึงบริการต่างๆ ของ Google (เช่น https://mail.google.com/a/example.com) คุณยังสามารถจัดการหลักการทำงานของ URL เหล่านี้ด้วย SSO ได้

ข้อควรปฏิบัติก่อนที่จะเริ่มต้น

หากต้องการตั้งค่าโปรไฟล์ SAML SSO คุณจะต้องมีการกําหนดค่าพื้นฐานบางอย่างจากทีมสนับสนุนของ IdP หรือเอกสารประกอบ ดังนี้

• URL ของหน้าลงชื่อเข้าใช้ หรือที่เรียกอีกอย่างว่า URL ของ SSO หรือ SAML 2.0 SAML นี่คือตำแหน่งที่ผู้ใช้ลงชื่อเข้าใช้ IdP
• URL ของหน้าออกจากระบบ ที่ผู้ใช้จะไปถึงหลังจากออกจากแอปหรือบริการของ Google
• ใบรับรอง ใบรับรอง X.509 PEM จาก IdP ของคุณ ดูข้อมูลเพิ่มเติมเกี่ยวกับใบรับรอง X.509 ได้ที่หัวข้อคีย์ SAML และใบรับรองการยืนยัน
• URL การเปลี่ยนรหัสผ่าน หน้าเว็บที่ผู้ใช้ SSO จะเข้าไปเปลี่ยนรหัสผ่าน (แทนการเปลี่ยนรหัสผ่านกับ Google)

กำหนดค่าโปรไฟล์ SSO สำหรับองค์กร

ใช้ตัวเลือกนี้หากผู้ใช้ทั้งหมดของคุณที่ใช้ SSO อยู่จะใช้ IdP เพียงรายเดียว 

1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

   ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

2. จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู ความปลอดภัยการตรวจสอบสิทธิ์SSO ด้วย IdP บุคคลที่สาม
3. ในโปรไฟล์ SSO บุคคลที่สามสําหรับองค์กร ให้คลิกเพิ่มโปรไฟล์ SSO
4. เลือกช่องตั้งค่า SSO ด้วยผู้ให้บริการข้อมูลประจำตัวของบุคคลที่สาม

กรอกข้อมูลต่อไปนี้สําหรับ IdP ของคุณ

• ป้อน URL หน้าลงชื่อเข้าใช้และ URL หน้าออกจากระบบสำหรับ IdP ของคุณ

  หมายเหตุ: ต้องป้อน URL ทั้งหมดและต้องใช้ HTTPS เช่น https://sso.example.com

• คลิกอัปโหลดใบรับรอง แล้วค้นหาและอัปโหลดใบรับรอง X.509 ที่ได้มาจาก IdP ของคุณ โปรดดูข้อมูลการสร้างใบรับรองที่หัวข้อคีย์ SAML และใบรับรองการยืนยัน
• เลือกว่าจะใช้ผู้ให้บริการเฉพาะของโดเมนในคําขอ SAML จาก Google หรือไม่

  หากคุณมีโดเมนหลายโดเมนที่ใช้ SSO กับ IdP ของคุณ ให้ใช้ผู้ให้บริการเฉพาะของโดเมนเพื่อระบุโดเมนที่ถูกต้องและออกคำขอ SAML

  • เลือก Google จะส่งผู้ออกใบรับรองเฉพาะของโดเมนเท่านั้น ซึ่งก็คือ google.com/a/example.com (โดยที่ example.com คือชื่อโดเมน Google Workspace หลักของคุณ)
  • ยกเลิกการเลือก Google จะส่งผู้ออกใบรับรองมาตรฐานในคำขอ SAML ซึ่งก็คือ google.com
• (ไม่บังคับ) หากต้องการใช้ SSO กับกลุ่มผู้ใช้ภายในช่วงที่อยู่ IP ที่เจาะจง ให้ป้อนเน็ตเวิร์กมาสก์ ดูข้อมูลเพิ่มเติมได้ที่ผลลัพธ์ของการแมปเครือข่าย

  หมายเหตุ: คุณยังสามารถตั้งค่า SSO บางส่วนด้วยการกำหนดโปรไฟล์ SSO ให้กับหน่วยขององค์กรหรือกลุ่มที่ต้องการได้ด้วย

• ป้อน URL การเปลี่ยนรหัสผ่านสำหรับ IdP ของคุณ โดยผู้ใช้จะไปที่ URL นี้ (ไม่ใช่หน้าเปลี่ยนรหัสผ่านของ Google) เพื่อรีเซ็ตรหัสผ่าน

  หมายเหตุ: หากป้อน URL ที่นี่ ระบบจะนําผู้ใช้ไปยังหน้านี้แม้ว่าคุณจะไม่ได้เปิดใช้ SSO สําหรับองค์กรก็ตาม

ปิด SSO สําหรับผู้ใช้ทุกคน

หากต้องการปิดการตรวจสอบสิทธิ์ของบุคคลที่สามกับผู้ใช้ทั้งหมดโดยไม่เปลี่ยนการมอบหมายโปรไฟล์ SSO ให้กับ OU หรือกลุ่ม ให้ปิดใช้งานโปรไฟล์ SSO ของบุคคลที่สามโดยทำดังนี้

1. ยกเลิกการเลือกตั้งค่า SSO ด้วยผู้ให้บริการข้อมูลประจําตัวบุคคลที่สาม
2. คลิกบันทึก

สร้างโปรไฟล์ SAML SSO

ทำตามขั้นตอนต่อไปนี้เพื่อสร้างโปรไฟล์ SSO ของบุคคลที่สาม คุณสามารถสร้างโปรไฟล์ในองค์กรได้สูงสุด 1,000 โปรไฟล์

1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

   ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

2. จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู ความปลอดภัยการตรวจสอบสิทธิ์SSO ด้วย IdP บุคคลที่สาม
3. คลิกเพิ่มโปรไฟล์ SAML ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม
4. ป้อนชื่อสำหรับโปรไฟล์
5. กรอก URL ของหน้าลงชื่อเข้าใช้และข้อมูลอื่นๆ ที่ได้รับจาก IdP
6. ป้อน URL การเปลี่ยนรหัสผ่านสำหรับ IdP ของคุณ โดยผู้ใช้จะไปที่ URL นี้ (ไม่ใช่หน้าเปลี่ยนรหัสผ่านของ Google) เพื่อรีเซ็ตรหัสผ่าน
7. คลิกอัปโหลดใบรับรอง จากนั้นค้นหาและอัปโหลดไฟล์ใบรับรอง โปรดดูข้อมูลการสร้างใบรับรองที่หัวข้อคีย์ SAML และใบรับรองการยืนยัน
8. คลิกบันทึก
9. คัดลอกและบันทึกรหัสเอนทิตีและ ACS URL ในส่วนรายละเอียด SP คุณจะต้องใช้ค่าเหล่านี้เพื่อกําหนดค่า SSO กับ Google ในแผงควบคุมผู้ดูแลระบบ IdP
10. (ไม่บังคับ) หาก IdP รองรับการเข้ารหัสการยืนยัน คุณจะสร้างและแชร์ใบรับรองกับ IdP เพื่อเปิดใช้การเข้ารหัสได้ โปรไฟล์ SAML SSO แต่ละโปรไฟล์มีใบรับรอง SP ได้สูงสุด 2 รายการ
    1. คลิกส่วนรายละเอียด SP เพื่อเข้าสู่โหมดแก้ไข
    2. ในส่วนใบรับรอง SP ให้คลิกสร้างใบรับรอง (ใบรับรองจะแสดงขึ้นหลังจากที่คุณบันทึก)
    3. คลิกบันทึก ชื่อใบรับรอง วันที่หมดอายุ และเนื้อหาจะปรากฏขึ้น
    4. ใช้ปุ่มเหนือใบรับรองเพื่อคัดลอกเนื้อหาใบรับรองหรือดาวน์โหลดเป็นไฟล์ จากนั้นแชร์ใบรับรองกับ IdP ของคุณ 
    5. (ไม่บังคับ) หากต้องการหมุนใบรับรอง ให้กลับไปที่รายละเอียด SP แล้วคลิกสร้างใบรับรองอื่น จากนั้นแชร์ใบรับรองใหม่กับ IdP ของคุณ จากนั้นเมื่อมั่นใจแล้วว่า IdP ใช้ใบรับรองใหม่อยู่ คุณก็ลบใบรับรองเดิมได้

ตัดสินใจว่าผู้ใช้รายใดควรใช้ SSO

เปิดใช้ SSO สําหรับ OU หรือกลุ่มโดยกําหนดโปรไฟล์ SSO และ IdP ที่เชื่อมโยงไว้ หรือปิด SSO ด้วยการกําหนด "ไม่มี" ให้กับโปรไฟล์ SSO นอกจากนี้คุณยังใช้นโยบาย SSO แบบผสมภายใน OU หรือกลุ่มได้อีกด้วย เช่น เปิด SSO ให้กับ OU ทั้งหมด จากนั้นปิดสําหรับ OU ย่อย 

1. คลิกจัดการการมอบหมายโปรไฟล์ SSO
2. หากมอบหมายโปรไฟล์ SSO เป็นครั้งแรก ให้คลิกเริ่มต้นใช้งาน หรือ ให้คลิกจัดการ
3. ทางด้านซ้าย ให้เลือกหน่วยขององค์กรหรือกลุ่มที่ต้องการมอบหมายโปรไฟล์ SSO
   • หากการมอบหมายโปรไฟล์ SSO ให้กับ OU หรือกลุ่มแตกต่างจากการมอบหมายโปรไฟล์ให้กับทั่วทั้งโดเมน คําเตือนการลบล้างจะปรากฏขึ้นเมื่อคุณเลือก OU หรือกลุ่มดังกล่าว
   • คุณจะมอบหมายโปรไฟล์ SSO ให้ผู้ใช้ทีละรายไม่ได้ มุมมองผู้ใช้จะช่วยให้คุณสามารถตรวจสอบการตั้งค่าสําหรับผู้ใช้บางรายได้
4. เลือกการมอบหมายโปรไฟล์ SSO ให้กับ OU หรือกลุ่มที่เลือก ดังนี้
   • หากต้องการยกเว้น OU หรือกลุ่มจาก SSO ให้เลือกไม่มี ผู้ใช้ในหน่วยขององค์กรหรือกลุ่มจะลงชื่อเข้าใช้ Google โดยตรง
   • หากต้องการกำหนด IdP อื่นให้กับ OU หรือกลุ่ม ให้เลือกโปรไฟล์ SSO อื่น จากนั้นเลือกโปรไฟล์ SSO จากรายการแบบเลื่อนลง
5. (เฉพาะโปรไฟล์ SAML SSO เท่านั้น) หลังจากเลือกโปรไฟล์ SAML แล้ว ให้เลือกตัวเลือกในการลงชื่อเข้าใช้สำหรับผู้ใช้ที่ไปยังบริการของ Google โดยตรงโดยไม่ได้ลงชื่อเข้าใช้ IdP บุคคลที่สามของโปรไฟล์ SSO ก่อน ซึ่งคุณสามารถแจ้งให้ป้อนชื่อผู้ใช้ Google จากนั้นจึงเปลี่ยนเส้นทางผู้ใช้ไปยัง IdP หรือกำหนดให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่าน Google ได้ 

   หมายเหตุ: ถ้าคุณเลือกที่จะกำหนดให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่าน Google ระบบจะละเว้นการตั้งค่า URL การเปลี่ยนรหัสผ่านสำหรับโปรไฟล์ SAML SSO นี้ (อยู่ในส่วนโปรไฟล์ SSO > รายละเอียด IDP) ซึ่งจะช่วยให้ผู้ใช้เปลี่ยนรหัสผ่าน Google ได้ตามต้องการ

6. (โปรไฟล์ SSO สำหรับ Microsoft OIDC เท่านั้น) ป้อนรหัสผ่านของบัญชี Microsoft แล้วคลิกลงชื่อเข้าใช้เพื่อยืนยันการกำหนดค่า SSO สำหรับ Microsoft

   หากเป็นผู้ดูแลระบบองค์กร Azure AD คุณจะมีตัวเลือกให้ยอมรับคำขอความยินยอมในนามขององค์กร ซึ่งหมายความว่าผู้ใช้ปลายทางจะไม่ได้รับคำขอความยินยอม OAuth

7. คลิกบันทึก
8. มอบหมายโปรไฟล์ SSO ให้กับ OU หรือกลุ่มอื่นๆ ตามต้องการ

หลังจากปิดการ์ดจัดการการมอบหมายโปรไฟล์ SSO คุณจะเห็นงานที่อัปเดตแล้วสําหรับ OU และกลุ่มในส่วนจัดการการมอบหมายโปรไฟล์ SSO 

นำการมอบหมายออกจากรายการการมอบหมายโปรไฟล์ SSO

1. คลิกชื่อกลุ่มหรือหน่วยขององค์กรเพื่อเปิดการตั้งค่าการมอบหมายโปรไฟล์
2. แทนที่การตั้งค่างานที่มีอยู่ด้วยการตั้งค่าหน่วยขององค์กรหลัก ดังนี้
   • สำหรับการมอบหมายหน่วยขององค์กร ให้คลิกรับค่า
   • สำหรับการมอบหมายกลุ่ม ให้คลิกยกเลิกการตั้งค่า  
   • สำหรับการมอบหมาย OU ระดับรูท ให้ตั้งค่าการมอบหมายเป็น ไม่มี (หรือโปรไฟล์ SSO บุคคลที่สามขององค์กร) หากต้องการใช้โปรไฟล์ SSO ของบุคคลที่สามสำหรับองค์กร

จัดการ URL ของบริการที่เจาะจงสำหรับโดเมน

การตั้งค่า URL ของบริการที่เจาะจงสำหรับโดเมนจะช่วยให้คุณควบคุมสิ่งที่จะเกิดขึ้นเมื่อผู้ใช้ลงชื่อเข้าใช้โดยใช้ URL บริการ เช่น https://mail.google.com/a/example.com ซึ่งมี 2 วิธีที่ทำได้ดังนี้

• เปลี่ยนเส้นทางผู้ใช้ไปยัง IdP บุคคลที่สาม เลือกตัวเลือกนี้เพื่อกําหนดเส้นทางผู้ใช้เหล่านี้ไปยัง IdP บุคคลที่สามที่คุณเลือกในรายการแบบเลื่อนลงของโปรไฟล์ SSO เสมอ ซึ่งอาจเป็นโปรไฟล์ SSO สําหรับองค์กรของคุณ หรือโปรไฟล์ของบุคคลที่สามโปรไฟล์อื่น (หากเพิ่มไว้)

  ข้อสําคัญ: หากคุณมีหน่วยขององค์กรหรือกลุ่มที่ไม่ได้ใช้ SSO โปรดอย่าเลือกการตั้งค่านี้ ผู้ใช้ที่ไม่ใช้ SSO จะได้รับการกําหนดเส้นทางไปยัง IdP โดยอัตโนมัติและจะลงชื่อเข้าใช้ไม่ได้

• กำหนดให้ผู้ใช้ต้องป้อนชื่อผู้ใช้ในหน้าเว็บสำหรับการลงชื่อเข้าใช้ของ Google เมื่อใช้ตัวเลือกนี้ ระบบจะส่งผู้ใช้ที่ป้อน URL เฉพาะโดเมนไปยังหน้าลงชื่อเข้าใช้ของ Google ก่อน หากผู้ใช้เป็นผู้ใช้ SSO ระบบจะเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ของ IdP

ดูเพิ่มเติม

การลงชื่อเข้าใช้ด้วย SSO

แก้ปัญหา SSO