視貴機構需求而定,您可以透過多種方式將 Google 設為您的單一登入 (SSO) 服務供應商。Google Workspace 支援 SAML 式和 OIDC 式的單一登入 (SSO) 服務。
- 單一登入 (SSO) 的「設定檔」包含 IdP 設定,可讓您靈活地為機構中的不同使用者套用不同的單一登入 (SSO) 設定:建立 SAML 式設定檔、自訂 OIDC 設定檔,或不進行設定,直接使用預設 Microsoft Entra OIDC 設定檔。
- 建立單一登入 (SSO) 設定檔後,請為機構單位或群組指派設定檔,為這些使用者設定 IdP。您也可以為特定機構單位或群組關閉單一登入 (SSO) 服務。
如果您的使用者使用網域專屬的服務網址 (例如 https://mail.google.com/a/example.com) 存取 Google 服務,您也可以管理這些網址與單一登入 (SSO) 服務的運作方式。
如果貴機構需要根據 IP 位址進行條件式單一登入 (SSO) 重新導向,或為超級管理員設定單一登入 (SSO) 服務,您也可以選擇設定舊版單一登入 (SSO) 設定檔。
使用 SAML 設定單一登入 (SSO) 服務
事前準備
如要設定 SAML 單一登入 (SSO) 設定檔,您必須完成 IdP 支援團隊或說明文件中的某些基本設定:
- 登入網頁網址:這又稱為單一登入 (SSO) 網址或 SAML 2.0 端點 (HTTP)。使用者可透過該網址登入您的 IdP。
- 登出網頁網址:使用者離開 Google 應用程式或服務後到達的網頁。
- 變更密碼網址:單一登入 (SSO) 使用者會前往這個頁面變更密碼時 (而不會透過 Google 變更密碼)。
- 憑證:您 IdP 的 X.509 PEM 憑證。憑證包含公開金鑰,可驗證 IdP 的登入作業。
- 憑證必須是 PEM 或 DER 格式的 X.509 憑證,且須內含公開金鑰。
- 公開金鑰必須由 DSA 或 RSA 演算法產生。
- 憑證中的公開金鑰必須與用於簽署 SAML 回應的私密金鑰相符。
您通常會從 IdP 處取得這些憑證。不過,您也可以自行產生憑證。
建立 SAML 單一登入 (SSO) 設定檔
請按照下列步驟,建立第三方單一登入 (SSO) 設定檔。您最多可在機構中建立 1,000 個設定檔。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
- 按一下「第三方單一登入 (SSO) 設定檔」中的「新增 SAML 設定檔」。
- 輸入設定檔的名稱。
- (選用) 如果您有 IdP 提供的 XML 中繼資料檔案,請點選「上傳 XML 檔案」提供 IdP 資訊,然後繼續執行步驟 8
- 填寫登入網頁網址,以及您向 IdP 取得的其他資訊。
- 為 IdP 輸入變更密碼網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。
- 按一下「上傳憑證」,上傳憑證檔案。
您最多可以上傳兩個憑證,以便在必要時輪替憑證。
- 按一下「儲存」。
- 在「服務供應商詳細資訊」部分中,複製並儲存「實體 ID」和「ACS 網址」。您需使用這些值在 IdP 管理控制台中設定 Google 的單一登入 (SSO) 功能。
- (選用) 如果您的 IdP 支援加密宣告,您就可以產生憑證並提供給 IdP,進而啟用加密功能。每個 SAML 單一登入 (SSO) 設定檔最多可有 2 個服務供應商憑證。
- 按一下「服務供應商詳細資料」部分,進入編輯模式。
- 在「服務供應商 (SP) 憑證」部分,按一下「產生憑證」(儲存後才會顯示憑證)。
- 按一下「儲存」。畫面上會顯示憑證名稱、到期日和內容。
- 使用憑證上方的按鈕,即可複製憑證內容,或將其下載為檔案,然後提供給 IdP。
- (選用) 如需輪換憑證,請返回「服務供應商詳細資料」並點選「產生其他憑證」,然後將新憑證提供給 IdP。確定 IdP 已使用新憑證後,您就可以刪除原始憑證。
設定 IdP
如要將 IdP 設為使用這個單一登入 (SSO) 設定檔,請將設定檔「服務供應商 (SP) 詳細資料」部分的資訊,輸入 IdP 單一登入 (SSO) 設定中的適當欄位。ACS 網址和實體 ID 都是此設定檔的專屬值。
設定舊版單一登入 (SSO) 設定檔舊版單一登入 (SSO) 設定檔適用於尚未改用單一登入 (SSO) 設定檔的使用者。僅可與單一 IdP 搭配使用。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
- 按一下「第三方單一登入 (SSO) 設定檔」中的「新增 SAML 設定檔」。
- 在「IdP 詳細資料」頁面底部,按一下「前往舊版單一登入 (SSO) 設定檔設定」。
- 在「舊版單一登入 (SSO) 設定檔」頁面中,勾選「透過第三方識別資訊提供者啟用單一登入 (SSO)」方塊。
- 填寫 IdP 的下列資訊:
- 輸入 IdP 的登入網頁網址和登出網頁網址。
注意:您必須使用 HTTPS 輸入所有網址,例如 https://sso.example.com。
- 按一下「上傳憑證」,然後找出並上傳 IdP 提供的 X.509 憑證。詳情請參閱「憑證規定」。
- 選擇是否在 Google 的 SAML 要求中使用網域特定發行者。
如果您有多個網域透過 IdP 使用單一登入 (SSO) 服務,請使用網域特定發行者,找出核發 SAML 要求的正確網域。
- 已勾選:Google 會傳送您網域專屬的發行者:google.com/a/example.com (其中 example.comexample.com 是您主要的 Google Workspace 網域名稱)
- 未勾選:Google 會在 SAML 要求中傳送標準發行者:google.com
- (選用) 如要為指定 IP 位址範圍中的一組使用者套用單一登入 (SSO) 服務,請輸入網路遮罩。詳情請參閱「網路對應結果」。
注意:您也可以將單一登入 (SSO) 設定檔指派給特定機構單位或群組,藉此設定部分單一登入 (SSO) 服務。
- 為 IdP 輸入變更密碼網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。
注意:只要在這裡輸入網址,即使您並未為貴機構啟用單一登入 (SSO) 服務,系統仍會將使用者導向這個網頁。
- 輸入 IdP 的登入網頁網址和登出網頁網址。
- 按一下「儲存」。
儲存後,舊版單一登入 (SSO) 設定檔會列在「單一登入 (SSO) 設定檔」表格中。
設定 IdP
如要將 IdP 設為使用這個單一登入 (SSO) 設定檔,請將設定檔「服務供應商 (SP) 詳細資料」部分的資訊,輸入 IdP 單一登入 (SSO) 設定中的適當欄位。ACS 網址和實體 ID 都是此設定檔的專屬值。
格式 | |
ACS 網址 | https://accounts.google.com/a/{domain.com}/acs 其中 {domain.com} 是貴機構的 Workspace 網域名稱 |
實體 ID | 以下任一項:
|
停用舊版單一登入 (SSO) 設定檔
- 在「第三方單一登入 (SSO) 設定檔」清單中,按一下「舊版單一登入 (SSO) 設定檔」。
- 在「舊版單一登入 (SSO) 設定檔」設定中,取消勾選「透過第三方識別資訊提供者啟用單一登入 (SSO)」。
- 確認要繼續操作,然後按一下「儲存」。
在「單一登入 (SSO) 設定檔」清單中,舊版單一登入 (SSO) 設定檔現在顯示為「已停用」。
- 已指派舊版單一登入 (SSO) 設定檔的機構單位,會在「指派的設定檔」欄中顯示快訊。
- 頂層機構單位會在「指派的設定檔」欄中顯示「無」。
- 在「管理單一登入 (SSO) 設定檔指派作業」中,舊版單一登入 (SSO) 設定檔會顯示為停用。
從舊版 SAML 改用單一登入 (SSO) 設定檔
如果貴機構使用舊版單一登入 (SSO) 設定檔,建議改用單一登入 (SSO) 設定檔,因為後者具有多項優勢,包括支援 OIDC、提供更多新式 API,並可更靈活地為使用者群組套用單一登入 (SSO) 設定。瞭解詳情。
使用 OIDC 設定單一登入 (SSO) 服務
如要使用 OIDC 式單一登入 (SSO) 功能,請按照下列步驟操作:
- 選擇 OIDC 選項:提供 OIDC 合作夥伴資訊以建立自訂 OIDC 設定檔,或使用預先設定的 Microsoft Entra OIDC 設定檔。
- 按照「決定哪些使用者應使用單一登入 (SSO) 服務」的步驟操作,將預先設定的 OIDC 設定檔指派給所選機構單位/群組。
如果機構單位 (例如子機構單位) 中的使用者「不需要」使用單一登入 (SSO) 服務,您也可以透過指派作業為這些使用者關閉這項服務。
注意:Google Cloud 指令列介面目前不支援使用 OIDC 重新驗證。
事前準備
如要設定自訂 OIDC 設定檔,您必須完成 IdP 支援團隊或說明文件中的某些基本設定:
- 核發者網址:IdP 授權伺服器的完整網址。
- OAuth 用戶端,可透過用戶端 ID 識別,並藉由用戶端密鑰驗證。
- 變更密碼網址:單一登入 (SSO) 使用者會前往這個頁面變更密碼 (而不會透過 Google 變更密碼)。
此外,Google 需要您的 IdP 執行以下操作:
- IdP 提供的
email
聲明必須與 Google 端使用者的主要電子郵件地址相符。 - 必須使用授權碼流程。
建立自訂 OIDC 設定檔
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
- 按一下「第三方單一登入 (SSO) 設定檔」中的「新增 OIDC 設定檔」。
- 為 OIDC 設定檔命名。
- 輸入 OIDC 詳細資料:用戶端 ID、核發者網址、用戶端密鑰。
- 按一下「儲存」。
- 在新設定檔的 OIDC 單一登入 (SSO) 設定頁面中,複製「重新導向 URI」。您必須更新 IdP 上的 OAuth 用戶端,才能使用這個 URI 回應要求。
如要編輯設定,請將滑鼠游標懸停在「OIDC 詳細資料」上,然後點選「編輯」圖示 。
使用 Microsoft Entra OIDC 設定檔
確認您已在貴機構的 Microsoft Entra ID 用戶群中,設定下列 OIDC 必備條件:
- Microsoft Entra ID 用戶群必須完成網域驗證。
- 使用者必須具備 Microsoft 365 授權。
- 指派單一登入 (SSO) 設定檔的 Google Workspace 管理員所登錄的使用者名稱 (主要電子郵件地址),必須與 Azure AD 用戶群管理員帳戶的主要電子郵件地址相符。
決定哪些使用者應使用單一登入 (SSO) 服務
只要指派單一登入 (SSO) 設定檔和相關聯的 IdP,即可為機構單位或群組啟用單一登入 (SSO) 服務;而針對單一登入 (SSO) 設定檔指派「無」,則可關閉單一登入 (SSO) 服務。您也可以在機構單位或群組中套用混合型單一登入 (SSO) 政策,例如為整體機構單位啟用單一登入 (SSO) 服務,然後再針對子機構單位關閉該服務。
如果您尚未建立設定檔,請先建立再繼續操作。或者,您也可以指派預先設定的 OIDC 設定檔。
- 按一下「管理單一登入 (SSO) 設定檔指派作業」。
- 如果這是您首次指派單一登入 (SSO) 設定檔,請按一下「開始使用」。否則,請按一下「管理指派作業」。
- 在左側選取您要指派單一登入 (SSO) 設定檔的機構單位或群組。
- 如果機構單位或群組的單一登入 (SSO) 設定檔指派作業不同於全網域的設定檔指派作業,則當您選取該機構單位或群組時,系統會顯示覆寫警告。
- 您無法為個別使用者指派單一登入 (SSO) 設定檔。「使用者」檢視畫面可讓您檢查特定使用者的設定。
- 為所選機構單位或群組選擇「單一登入 (SSO) 設定檔指派作業」:
- 如果不讓機構單位或群組使用單一登入 (SSO) 服務,請選擇「無」。機構單位或群組中的使用者會直接使用 Google 帳戶登入。
- 如要將其他 IdP 指派給該機構單位或群組,請選擇「其他單一登入 (SSO) 設定檔」,然後從下拉式選單中選取單一登入 (SSO) 設定檔。
- (僅限 SAML 單一登入 (SSO) 設定檔) 選取 SAML 設定檔後,請為使用者選擇登入選項,這類使用者是直接登入 Google 服務,而沒有先登入單一登入 (SSO) 設定檔的第三方 IdP。您可以提示使用者輸入 Google 使用者名稱,然後將他們重新導向至 IdP,或要求使用者輸入自己的 Google 使用者名稱和密碼。
注意:如果您選擇要求使用者輸入 Google 使用者名稱和密碼,系統會略過這個 SAML 單一登入 (SSO) 設定檔的「變更密碼網址」設定 (位於「SSO 設定檔」>「IDP 詳細資料」)。這樣一來,使用者就能視需要變更 Google 密碼。
- 按一下「儲存」。
- (選用) 視需要將單一登入 (SSO) 設定檔指派給其他機構單位或群組。
關閉「管理單一登入 (SSO) 設定檔指派作業」資訊卡後,「管理 SSO 設定檔指派作業」部分會針對機構單位和群組顯示更新的指派作業。
移除單一登入 (SSO) 設定檔指派作業
- 按一下群組或機構單位名稱,開啟相應的設定檔指派設定。
- 將現有指派設定改為上層機構單位的設定:
- 機構單位指派:按一下「沿用」。
- 群組指派:按一下「取消設定」。
注意:即使您將設定檔設為「無」,頂層機構單位一律會顯示在設定檔指派清單中。
另請參閱
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。