設定單一登入 (SSO) 服務

視貴機構需求而定,您可以透過多種方式將 Google 設為您的單一登入 (SSO) 服務供應商。Google Workspace 支援 SAML 式和 OIDC 式的單一登入 (SSO) 服務。

如果您的使用者使用網域專屬的服務網址 (例如 https://mail.google.com/a/example.com) 存取 Google 服務,您也可以管理這些網址與單一登入 (SSO) 服務的運作方式

如果貴機構需要根據 IP 位址進行條件式單一登入 (SSO) 重新導向,或為超級管理員設定單一登入 (SSO) 服務,您也可以選擇設定舊版單一登入 (SSO) 設定檔

使用 SAML 設定單一登入 (SSO) 服務

事前準備

如要設定 SAML 單一登入 (SSO) 設定檔,您必須完成 IdP 支援團隊或說明文件中的某些基本設定:

  • 登入網頁網址:這又稱為單一登入 (SSO) 網址或 SAML 2.0 端點 (HTTP)。使用者可透過該網址登入您的 IdP。
  • 登出網頁網址:使用者離開 Google 應用程式或服務後到達的網頁。
  • 變更密碼網址:單一登入 (SSO) 使用者會前往這個頁面變更密碼時 (而不會透過 Google 變更密碼)。
  • 憑證:您 IdP 的 X.509 PEM 憑證。憑證包含公開金鑰,可驗證 IdP 的登入作業。
憑證規定
  • 憑證必須是 PEM 或 DER 格式的 X.509 憑證,且須內含公開金鑰。
  • 公開金鑰必須由 DSA 或 RSA 演算法產生。
  • 憑證中的公開金鑰必須與用於簽署 SAML 回應的私密金鑰相符。

您通常會從 IdP 處取得這些憑證。不過,您也可以自行產生憑證

建立 SAML 單一登入 (SSO) 設定檔

請按照下列步驟,建立第三方單一登入 (SSO) 設定檔。您最多可在機構中建立 1,000 個設定檔。

  1. 請使用「管理員」帳戶登入 Google 管理控制台。

    如果您不是使用管理員帳戶,就無法存取管理控制台。

  2. 依序點選「選單」圖示 接下來 「安全性」>「驗證」>「使用第三方 IdP 的單一登入 (SSO) 服務」

    必須擁有安全性設定管理員權限。

  3. 按一下「第三方單一登入 (SSO) 設定檔」中的「新增 SAML 設定檔」
  4. 輸入設定檔的名稱。
  5. (選用) 如果您有 IdP 提供的 XML 中繼資料檔案,請點選「上傳 XML 檔案」提供 IdP 資訊,然後繼續執行步驟 8
  6. 填寫登入網頁網址,以及您向 IdP 取得的其他資訊。
  7. 為 IdP 輸入變更密碼網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。
  8. 按一下「上傳憑證」,上傳憑證檔案。

    您最多可以上傳兩個憑證,以便在必要時輪替憑證

  9. 按一下「儲存」
  10. 在「服務供應商詳細資訊」部分中,複製並儲存「實體 ID」和「ACS 網址」。您需使用這些值在 IdP 管理控制台中設定 Google 的單一登入 (SSO) 功能。
  11. (選用) 如果您的 IdP 支援加密宣告,您就可以產生憑證並提供給 IdP,進而啟用加密功能。每個 SAML 單一登入 (SSO) 設定檔最多可有 2 個服務供應商憑證。
    1. 按一下「服務供應商詳細資料」部分,進入編輯模式。
    2. 在「服務供應商 (SP) 憑證」部分,按一下「產生憑證」(儲存後才會顯示憑證)。
    3. 按一下「儲存」。畫面上會顯示憑證名稱、到期日和內容。
    4. 使用憑證上方的按鈕,即可複製憑證內容,或將其下載為檔案,然後提供給 IdP。
    5. (選用) 如需輪換憑證,請返回「服務供應商詳細資料」並點選「產生其他憑證」,然後將新憑證提供給 IdP。確定 IdP 已使用新憑證後,您就可以刪除原始憑證。

設定 IdP

如要將 IdP 設為使用這個單一登入 (SSO) 設定檔,請將設定檔「服務供應商 (SP) 詳細資料」部分的資訊,輸入 IdP 單一登入 (SSO) 設定中的適當欄位。ACS 網址和實體 ID 都是此設定檔的專屬值。

設定舊版單一登入 (SSO) 設定檔

舊版單一登入 (SSO) 設定檔適用於尚未改用單一登入 (SSO) 設定檔的使用者。僅可與單一 IdP 搭配使用。

  1. 請使用「管理員」帳戶登入 Google 管理控制台。

    如果您不是使用管理員帳戶,就無法存取管理控制台。

  2. 依序點選「選單」圖示 接下來 「安全性」>「驗證」>「使用第三方 IdP 的單一登入 (SSO) 服務」

    必須擁有安全性設定管理員權限。

  3. 按一下「第三方單一登入 (SSO) 設定檔」中的「新增 SAML 設定檔」
  4. 在「IdP 詳細資料」頁面底部,按一下「前往舊版單一登入 (SSO) 設定檔設定」
  5. 在「舊版單一登入 (SSO) 設定檔」頁面中,勾選「透過第三方識別資訊提供者啟用單一登入 (SSO)」方塊。
  6. 填寫 IdP 的下列資訊:
    • 輸入 IdP 的登入網頁網址登出網頁網址

      注意:您必須使用 HTTPS 輸入所有網址,例如 https://sso.example.com。

    • 按一下「上傳憑證」,然後找出並上傳 IdP 提供的 X.509 憑證。詳情請參閱「憑證規定」。
    • 選擇是否在 Google 的 SAML 要求中使用網域特定發行者

      如果您有多個網域透過 IdP 使用單一登入 (SSO) 服務,請使用網域特定發行者,找出核發 SAML 要求的正確網域。

      • 已勾選:Google 會傳送您網域專屬的發行者:google.com/a/example.com (其中 example.comexample.com 是您主要的 Google Workspace 網域名稱)
      • 未勾選:Google 會在 SAML 要求中傳送標準發行者:google.com
    • (選用) 如要為指定 IP 位址範圍中的一組使用者套用單一登入 (SSO) 服務,請輸入網路遮罩。詳情請參閱「網路對應結果」。

      注意:您也可以將單一登入 (SSO) 設定檔指派給特定機構單位或群組,藉此設定部分單一登入 (SSO) 服務。

    • 為 IdP 輸入變更密碼網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。

      注意:只要在這裡輸入網址,即使您並未為貴機構啟用單一登入 (SSO) 服務,系統仍會將使用者導向這個網頁。

  7. 按一下「儲存」

儲存後,舊版單一登入 (SSO) 設定檔會列在「單一登入 (SSO) 設定檔」表格中。

設定 IdP

如要將 IdP 設為使用這個單一登入 (SSO) 設定檔,請將設定檔「服務供應商 (SP) 詳細資料」部分的資訊,輸入 IdP 單一登入 (SSO) 設定中的適當欄位。ACS 網址和實體 ID 都是此設定檔的專屬值。

  格式
ACS 網址 https://accounts.google.com/a/{domain.com}/acs
其中 {domain.com} 是貴機構的 Workspace 網域名稱
實體 ID 以下任一項:
  • google.com
  • google.com/a/<客戶主網域> (如果您在設定舊版設定檔時選擇使用特定網域的發行者)。

 

停用舊版單一登入 (SSO) 設定檔

  1. 在「第三方單一登入 (SSO) 設定檔」清單中,按一下「舊版單一登入 (SSO) 設定檔」
  2. 在「舊版單一登入 (SSO) 設定檔」設定中,取消勾選「透過第三方識別資訊提供者啟用單一登入 (SSO)」
  3. 確認要繼續操作,然後按一下「儲存」

在「單一登入 (SSO) 設定檔」清單中,舊版單一登入 (SSO) 設定檔現在顯示為「已停用」

  • 已指派舊版單一登入 (SSO) 設定檔的機構單位,會在「指派的設定檔」欄中顯示快訊。
  • 頂層機構單位會在「指派的設定檔」欄中顯示「無」
  • 在「管理單一登入 (SSO) 設定檔指派作業」中,舊版單一登入 (SSO) 設定檔會顯示為停用

從舊版 SAML 改用單一登入 (SSO) 設定檔

如果貴機構使用舊版單一登入 (SSO) 設定檔,建議改用單一登入 (SSO) 設定檔,因為後者具有多項優勢,包括支援 OIDC、提供更多新式 API,並可更靈活地為使用者群組套用單一登入 (SSO) 設定。瞭解詳情

使用 OIDC 設定單一登入 (SSO) 服務

如要使用 OIDC 式單一登入 (SSO) 功能,請按照下列步驟操作:

  1. 選擇 OIDC 選項:提供 OIDC 合作夥伴資訊以建立自訂 OIDC 設定檔,或使用預先設定的 Microsoft Entra OIDC 設定檔。
  2. 按照「決定哪些使用者應使用單一登入 (SSO) 服務」的步驟操作,將預先設定的 OIDC 設定檔指派給所選機構單位/群組。

如果機構單位 (例如子機構單位) 中的使用者「不需要」使用單一登入 (SSO) 服務,您也可以透過指派作業為這些使用者關閉這項服務。

注意:Google Cloud 指令列介面目前不支援使用 OIDC 重新驗證。

事前準備

如要設定自訂 OIDC 設定檔,您必須完成 IdP 支援團隊或說明文件中的某些基本設定:

  • 核發者網址:IdP 授權伺服器的完整網址。
  • OAuth 用戶端,可透過用戶端 ID 識別,並藉由用戶端密鑰驗證。
  • 變更密碼網址:單一登入 (SSO) 使用者會前往這個頁面變更密碼 (而不會透過 Google 變更密碼)。

此外,Google 需要您的 IdP 執行以下操作:

  • IdP 提供的 email 聲明必須與 Google 端使用者的主要電子郵件地址相符。
  • 必須使用授權碼流程。

建立自訂 OIDC 設定檔

  1. 請使用「管理員」帳戶登入 Google 管理控制台。

    如果您不是使用管理員帳戶,就無法存取管理控制台。

  2. 依序點選「選單」圖示 接下來 「安全性」>「驗證」>「使用第三方 IdP 的單一登入 (SSO) 服務」

    必須擁有安全性設定管理員權限。

  3. 按一下「第三方單一登入 (SSO) 設定檔」中的「新增 OIDC 設定檔」
  4. 為 OIDC 設定檔命名。
  5. 輸入 OIDC 詳細資料:用戶端 ID、核發者網址、用戶端密鑰。
  6. 按一下「儲存」
  7. 在新設定檔的 OIDC 單一登入 (SSO) 設定頁面中,複製「重新導向 URI」。您必須更新 IdP 上的 OAuth 用戶端,才能使用這個 URI 回應要求。

如要編輯設定,請將滑鼠游標懸停在「OIDC 詳細資料」上,然後點選「編輯」圖示

使用 Microsoft Entra OIDC 設定檔

確認您已在貴機構的 Microsoft Entra ID 用戶群中,設定下列 OIDC 必備條件:

  • Microsoft Entra ID 用戶群必須完成網域驗證
  • 使用者必須具備 Microsoft 365 授權
  • 指派單一登入 (SSO) 設定檔的 Google Workspace 管理員所登錄的使用者名稱 (主要電子郵件地址),必須與 Azure AD 用戶群管理員帳戶的主要電子郵件地址相符。

決定哪些使用者應使用單一登入 (SSO) 服務

只要指派單一登入 (SSO) 設定檔和相關聯的 IdP,即可為機構單位或群組啟用單一登入 (SSO) 服務;而針對單一登入 (SSO) 設定檔指派「無」,則可關閉單一登入 (SSO) 服務。您也可以在機構單位或群組中套用混合型單一登入 (SSO) 政策,例如為整體機構單位啟用單一登入 (SSO) 服務,然後再針對子機構單位關閉該服務。

如果您尚未建立設定檔,請先建立再繼續操作。或者,您也可以指派預先設定的 OIDC 設定檔。

  1. 按一下「管理單一登入 (SSO) 設定檔指派作業」
  2. 如果這是您首次指派單一登入 (SSO) 設定檔,請按一下「開始使用」。否則,請按一下「管理指派作業」
  3. 在左側選取您要指派單一登入 (SSO) 設定檔的機構單位或群組。
    • 如果機構單位或群組的單一登入 (SSO) 設定檔指派作業不同於全網域的設定檔指派作業,則當您選取該機構單位或群組時,系統會顯示覆寫警告。
    • 您無法為個別使用者指派單一登入 (SSO) 設定檔。「使用者」檢視畫面可讓您檢查特定使用者的設定。
  4. 為所選機構單位或群組選擇「單一登入 (SSO) 設定檔指派作業」
    • 如果不讓機構單位或群組使用單一登入 (SSO) 服務,請選擇「無」。機構單位或群組中的使用者會直接使用 Google 帳戶登入。
    • 如要將其他 IdP 指派給該機構單位或群組,請選擇「其他單一登入 (SSO) 設定檔」,然後從下拉式選單中選取單一登入 (SSO) 設定檔。
  5. (僅限 SAML 單一登入 (SSO) 設定檔) 選取 SAML 設定檔後,請為使用者選擇登入選項,這類使用者是直接登入 Google 服務,而沒有先登入單一登入 (SSO) 設定檔的第三方 IdP。您可以提示使用者輸入 Google 使用者名稱,然後將他們重新導向至 IdP,或要求使用者輸入自己的 Google 使用者名稱和密碼。 

    注意:如果您選擇要求使用者輸入 Google 使用者名稱和密碼,系統會略過這個 SAML 單一登入 (SSO) 設定檔的「變更密碼網址」設定 (位於「SSO 設定檔」>「IDP 詳細資料」)。這樣一來,使用者就能視需要變更 Google 密碼。

  6. 按一下「儲存」
  7. (選用) 視需要將單一登入 (SSO) 設定檔指派給其他機構單位或群組。

關閉「管理單一登入 (SSO) 設定檔指派作業」資訊卡後,「管理 SSO 設定檔指派作業」部分會針對機構單位和群組顯示更新的指派作業。

移除單一登入 (SSO) 設定檔指派作業

  1. 按一下群組或機構單位名稱,開啟相應的設定檔指派設定。
  2. 將現有指派設定改為上層機構單位的設定:
    • 機構單位指派:按一下「沿用」
    • 群組指派:按一下「取消設定」。  

注意:即使您將設定檔設為「無」,頂層機構單位一律會顯示在設定檔指派清單中。

另請參閱


Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。

 

這對您有幫助嗎?

我們應如何改進呢?
搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單