為貴機構設定單一登入 (SSO) 服務

視貴機構的需求而定，您可以透過多種方式將 Google 設為您的單一登入 (SSO) 服務供應商。單一登入 (SSO) 的「設定檔」包含 IdP 設定，可讓您靈活地為機構中的不同使用者套用不同的單一登入 (SSO) 設定：

Google Workspace 支援 SAML 式和 OIDC 式的單一登入 (SSO) 通訊協定：

如果所有使用者都是使用 SAML 透過單一 IdP 登入：

1. 請按照「為貴機構設定單一登入 (SSO) 設定檔」的步驟操作。
2. 如果您不想讓某些使用者使用單一登入 (SSO) 服務，但要讓他們直接登入 Google)，請按照「決定哪些使用者應使用單一登入 (SSO) 服務」中的步驟操作。屆時，請選擇為單一登入 (SSO) 設定檔指派「無」。

如果您為使用者採用多個 IdP 或使用 OIDC：

要採取的步驟取決於 IdP (SAML 或 OIDC) 所用的通訊協定：

• SAML
  1. 請按照「建立單一登入 (SSO) 設定檔」的步驟對 IdP 逐一進行操作。
  2. 決定哪些使用者應使用單一登入 (SSO) 服務
• OIDC
  1. 確認您已在貴機構的 Azure AD 用戶群中設定下列 OIDC 必備條件：
     • Azure AD 用戶群必須完成網域驗證。
     • 使用者必須具備 Microsoft 365 授權。
  2. 按照「決定哪些使用者應使用單一登入 (SSO) 服務」的步驟操作，將預先設定的 OIDC 設定檔指派給所選機構單位/群組。

     注意：Google Cloud 指令列介面目前不支援使用 OIDC 重新驗證。

• 如果您機構單位 (例如子機構單位) 中的使用者「不需要」使用單一登入 (SSO) 服務，您也可以透過指派作業為這些使用者關閉這項服務。

如果您的使用者使用網域專屬的服務網址 (例如 https://mail.google.com/a/example.com) 存取 Google 服務，您也可以管理這些網址與單一登入 (SSO) 服務的運作方式。

事前準備

如要設定 SAML 單一登入 (SSO) 設定檔，您必須完成 IdP 支援團隊或說明文件中的某些基本設定：

• 登入網頁網址：這又稱為單一登入 (SSO) 網址或 SAML 2.0 端點 (HTTP)。使用者可透過該網址登入您的 IdP。
• 登出網頁網址：使用者離開 Google 應用程式或服務後到達的網頁。
• 憑證：您 IdP 的 X.509 PEM 憑證。如要進一步瞭解 X.509 憑證，請參閱「SAML 金鑰和驗證憑證」。
• 變更密碼網址：單一登入 (SSO) 使用者會前往這個頁面變更密碼時 (而不會透過 Google 變更密碼)。

為貴機構設定單一登入 (SSO) 設定檔

如果您的所有單一登入 (SSO) 使用者都使用單一 IdP，請使用這個選項。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示 「安全性」「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。
3. 在「貴機構的第三方單一登入 (SSO) 設定檔」中，按一下「新增 SSO 設定檔」。
4. 勾選「透過第三方識別資訊提供者設定 SSO」方塊。

為 IdP 填入下列資訊：

• 輸入 IdP 的登入網頁網址和登出網頁網址。

  注意：您必須使用 HTTPS 輸入所有網址，例如 https://sso.example.com。

• 按一下「上傳憑證」，然後找出並上傳 IdP 提供的 X.509 憑證。如要瞭解如何產生憑證，請參閱「SAML 金鑰和驗證憑證」。
• 選擇是否在 Google 的 SAML 要求中使用網域特定發行者。

  如果您有多個網域透過 IdP 使用單一登入 (SSO) 服務，請使用網域特定發行者，找出核發 SAML 要求的正確網域。

  • 已勾選：Google 會傳送您網域專屬的發行者：google.com/a/example.com (其中 example.com 是您主要的 Google Workspace 網域名稱)
  • 未勾選：Google 會在 SAML 要求中傳送標準發行者：google.com
• (選用) 如要為指定 IP 位址範圍中的一組使用者套用單一登入 (SSO) 服務，請輸入網路遮罩。詳情請參閱「網路對應結果」。

  注意：您也可以將單一登入 (SSO) 設定檔指派給特定機構單位或群組，藉此設定部分單一登入 (SSO) 服務。

• 為 IdP 輸入變更密碼網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。

  注意：只要在這裡輸入網址，即使您並未為貴機構啟用單一登入 (SSO) 服務，系統仍會將使用者導向這個網頁。

為所有使用者關閉單一登入 (SSO) 服務

如要為所有使用者關閉第三方驗證，而不變更機構單位或群組的單一登入 (SSO) 設定檔指派設定，您可以依照下列方式停用第三方 SSO 設定檔：

1. 取消勾選「透過第三方識別資訊提供者設定 SSO」。
2. 按一下「儲存」。

建立 SAML 單一登入 (SSO) 設定檔

如要建立第三方單一登入 (SSO) 設定檔，請按照下列步驟操作。您最多可在機構中建立 1,000 個設定檔。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示 「安全性」「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。
3. 按一下「第三方單一登入 (SSO) 設定檔」中的「新增 SAML 設定檔」。
4. 輸入設定檔的名稱。
5. 填寫登入網頁網址，以及您向 IdP 取得的其他資訊。
6. 為 IdP 輸入變更密碼網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。
7. 按一下「上傳憑證」，然後找出並上傳您的憑證檔案。如要瞭解如何產生憑證，請參閱「SAML 金鑰和驗證憑證」。
8. 按一下「儲存」。
9. 在「服務供應商詳細資訊」部分中，複製並儲存「實體 ID」和「ACS 網址」。您需使用這些值在 IdP 管理控制台中設定 Google 的單一登入 (SSO) 功能。
10. (選用) 如果您的 IdP 支援加密宣告，您就可以產生憑證並提供給 IdP，進而啟用加密功能。每個 SAML 單一登入 (SSO) 設定檔最多可有 2 個服務供應商憑證。
    1. 按一下「服務供應商詳細資料」部分，進入編輯模式。
    2. 在「服務供應商 (SP) 憑證」部分，按一下「產生憑證」(儲存後會顯示這個憑證)。
    3. 按一下「儲存」。系統會顯示憑證的名稱、到期日和內容。
    4. 使用憑證上方的按鈕，即可複製憑證內容，或將其下載為檔案，然後提供給 IdP。
    5. (選用) 如需輪換憑證，請返回「服務供應商詳細資料」並點選「產生其他憑證」，然後將新憑證提供給 IdP。確定 IdP 正在使用新憑證後，即可刪除原始憑證。

決定哪些使用者應使用單一登入 (SSO) 服務

只要指派單一登入 (SSO) 設定檔和相關聯的 IdP，即可為機構單位或群組開啟單一登入 (SSO) 服務；而針對單一登入 (SSO) 設定檔指派「無」，則可關閉單一登入 (SSO) 服務。您也可以在機構單位或群組中套用混合型單一登入 (SSO) 政策，例如為整體機構單位啟用單一登入 (SSO) 服務，然後再針對子機構單位關閉該服務。

1. 按一下「管理單一登入 (SSO) 設定檔指派作業」。
2. 如果這是您首次指派單一登入 (SSO) 設定檔，請按一下「開始使用」。如果不是，請按一下「管理」。
3. 在左側選取您要指派單一登入 (SSO) 設定檔的機構單位或群組。
   • 如果機構單位或群組的單一登入 (SSO) 設定檔指派作業不同於全網域的設定檔指派作業，則當您選取該機構單位或群組時，系統會顯示覆寫警告。
   • 您無法為個別使用者指派單一登入 (SSO) 設定檔。「使用者」檢視畫面可讓您檢查特定使用者的設定。
4. 針對所選機構單位或群組選擇「單一登入 (SSO) 設定檔指派作業」：
   • 如果不讓機構單位或群組使用單一登入 (SSO) 服務，請選擇「無」。機構單位或群組中的使用者會直接登入 Google。
   • 如要將其他 IdP 指派給該機構單位或群組，請選擇「其他單一登入 (SSO) 設定檔」，然後從下拉式清單中選取單一登入 (SSO) 設定檔。
5. (僅限 SAML 單一登入 (SSO) 設定檔) 選取 SAML 設定檔後，請為使用者選擇登入選項，這類使用者是直接登入 Google 服務，而沒有先登入單一登入 (SSO) 設定檔的第三方 IdP。您可以提示使用者輸入 Google 使用者名稱，然後將他們重新導向至 IdP，或要求使用者輸入自己的 Google 使用者名稱和密碼。 

   注意：如果您選擇要求使用者輸入 Google 使用者名稱和密碼，系統會略過這個 SAML 單一登入 (SSO) 設定檔的「變更密碼網址」設定 (位於「SSO 設定檔」>「IDP 詳細資料」)。這樣一來，使用者就能視需要變更 Google 密碼。

6. (僅限 Microsoft OIDC 單一登入 (SSO) 設定檔) 輸入您的 Microsoft 帳戶密碼，然後按一下「登入」來驗證 Microsoft SSO 設定。

   如果您是 Azure AD 機構管理員，可以選擇代表機構接受同意聲明。這樣一來，系統就不會提示使用者接受 OAuth 同意聲明。

7. 按一下「儲存」。
8. 視需要將單一登入 (SSO) 設定檔指派給其他機構單位或群組。

關閉「管理單一登入 (SSO) 設定檔指派作業」資訊卡後，「管理 SSO 設定檔指派作業」部分會針對機構單位和群組顯示更新的指派作業。

從單一登入 (SSO) 設定檔指派清單中移除指派作業

1. 按一下群組或機構單位名稱，開啟設定檔指派設定。
2. 將現有的指派設定替換為上層機構單位設定：
   • 如果是機構單位指派作業，請按一下「沿用」。
   • 前往群組指派設定：按一下「取消設定」。  
   • 如要為貴機構使用第三方單一登入 (SSO) 設定檔，請將根機構單位的指派設定設為「無」或「機構的第三方單一登入 (SSO) 設定檔」。

管理網域專屬的服務網址

「網域專屬的服務網址」設定可讓您控管使用者利用服務網址 (例如 https://mail.google.com/a/example.com) 登入時的處理方式。我們提供兩種方式讓您選擇：

• 將使用者重新導向至第三方 IdP。選擇這個選項，即可將這些使用者一律轉送至您在單一登入 (SSO) 設定檔下拉式清單中選取的第三方 IdP。這可以是貴機構的單一登入 (SSO) 設定檔，或是其他第三方設定檔 (如果有的話)。

  重要事項：如果您有機構單位或群組「並未」使用單一登入 (SSO) 服務，請勿選擇這項設定。否則，您的非單一登入 (SSO) 使用者將自動轉送至 IdP，且無法登入。

• 要求使用者在 Google 登入頁面輸入使用者名稱。如果採用這個選項，使用者輸入專屬的服務網址後，會先由系統傳送至 Google 登入網頁。如果他們是單一登入 (SSO) 使用者，就會重新導向至 IdP 登入頁面。

另請參閱

使用 SSO 登入

排解單一登入 (SSO) 的相關問題