視貴機構的需求而定,您可以透過多種方式將 Google 設為您的單一登入 (SSO) 服務供應商。單一登入 (SSO) 的「設定檔」包含 IdP 設定,可讓您靈活地為機構中的不同使用者套用不同的單一登入 (SSO) 設定:
Google Workspace 支援 SAML 式和 OIDC 式的單一登入 (SSO) 通訊協定:
如果所有使用者都是使用 SAML 透過單一 IdP 登入:
- 請按照「為貴機構設定單一登入 (SSO) 設定檔」的步驟操作。
- 如果您不想讓某些使用者使用單一登入 (SSO) 服務,但要讓他們直接登入 Google),請按照「決定哪些使用者應使用單一登入 (SSO) 服務」中的步驟操作。屆時,請選擇為單一登入 (SSO) 設定檔指派「無」。
如果您為使用者採用多個 IdP 或使用 OIDC:
要採取的步驟取決於 IdP (SAML 或 OIDC) 所用的通訊協定:
- SAML
- 請按照「建立單一登入 (SSO) 設定檔」的步驟對 IdP 逐一進行操作。
- 決定哪些使用者應使用單一登入 (SSO) 服務
- OIDC
- 確認您已在貴機構的 Azure AD 用戶群中設定下列 OIDC 必備條件:
- Azure AD 用戶群必須完成網域驗證。
- 使用者必須具備 Microsoft 365 授權。
- 按照「決定哪些使用者應使用單一登入 (SSO) 服務」的步驟操作,將預先設定的 OIDC 設定檔指派給所選機構單位/群組。
注意:Google Cloud 指令列介面目前不支援使用 OIDC 重新驗證。
- 確認您已在貴機構的 Azure AD 用戶群中設定下列 OIDC 必備條件:
-
如果您機構單位 (例如子機構單位) 中的使用者「不需要」使用單一登入 (SSO) 服務,您也可以透過指派作業為這些使用者關閉這項服務。
如果您的使用者使用網域專屬的服務網址 (例如 https://mail.google.com/a/example.com) 存取 Google 服務,您也可以管理這些網址與單一登入 (SSO) 服務的運作方式。
事前準備
如要設定 SAML 單一登入 (SSO) 設定檔,您必須完成 IdP 支援團隊或說明文件中的某些基本設定:
- 登入網頁網址:這又稱為單一登入 (SSO) 網址或 SAML 2.0 端點 (HTTP)。使用者可透過該網址登入您的 IdP。
- 登出網頁網址:使用者離開 Google 應用程式或服務後到達的網頁。
- 憑證:您 IdP 的 X.509 PEM 憑證。如要進一步瞭解 X.509 憑證,請參閱「SAML 金鑰和驗證憑證」。
- 變更密碼網址:單一登入 (SSO) 使用者會前往這個頁面變更密碼時 (而不會透過 Google 變更密碼)。
為貴機構設定單一登入 (SSO) 設定檔
如果您的所有單一登入 (SSO) 使用者都使用單一 IdP,請使用這個選項。
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。
- 在「貴機構的第三方單一登入 (SSO) 設定檔」中,按一下「新增 SSO 設定檔」。
- 勾選「透過第三方識別資訊提供者設定 SSO」方塊。
為 IdP 填入下列資訊:
- 輸入 IdP 的登入網頁網址和登出網頁網址。
注意:您必須使用 HTTPS 輸入所有網址,例如 https://sso.example.com。
- 按一下「上傳憑證」,然後找出並上傳 IdP 提供的 X.509 憑證。如要瞭解如何產生憑證,請參閱「SAML 金鑰和驗證憑證」。
- 選擇是否在 Google 的 SAML 要求中使用網域特定發行者。
如果您有多個網域透過 IdP 使用單一登入 (SSO) 服務,請使用網域特定發行者,找出核發 SAML 要求的正確網域。
- 已勾選:Google 會傳送您網域專屬的發行者:google.com/a/example.com (其中 example.com 是您主要的 Google Workspace 網域名稱)
- 未勾選:Google 會在 SAML 要求中傳送標準發行者:google.com
- (選用) 如要為指定 IP 位址範圍中的一組使用者套用單一登入 (SSO) 服務,請輸入網路遮罩。詳情請參閱「網路對應結果」。
注意:您也可以將單一登入 (SSO) 設定檔指派給特定機構單位或群組,藉此設定部分單一登入 (SSO) 服務。
- 為 IdP 輸入變更密碼網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。
注意:只要在這裡輸入網址,即使您並未為貴機構啟用單一登入 (SSO) 服務,系統仍會將使用者導向這個網頁。
為所有使用者關閉單一登入 (SSO) 服務
如要為所有使用者關閉第三方驗證,而不變更機構單位或群組的單一登入 (SSO) 設定檔指派設定,您可以依照下列方式停用第三方 SSO 設定檔:
- 取消勾選「透過第三方識別資訊提供者設定 SSO」。
- 按一下「儲存」。
建立 SAML 單一登入 (SSO) 設定檔
如要建立第三方單一登入 (SSO) 設定檔,請按照下列步驟操作。您最多可在機構中建立 1,000 個設定檔。
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。
- 按一下「第三方單一登入 (SSO) 設定檔」中的「新增 SAML 設定檔」。
- 輸入設定檔的名稱。
- 填寫登入網頁網址,以及您向 IdP 取得的其他資訊。
- 為 IdP 輸入變更密碼網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。
- 按一下「上傳憑證」,然後找出並上傳您的憑證檔案。如要瞭解如何產生憑證,請參閱「SAML 金鑰和驗證憑證」。
- 按一下「儲存」。
- 在「服務供應商詳細資訊」部分中,複製並儲存「實體 ID」和「ACS 網址」。您需使用這些值在 IdP 管理控制台中設定 Google 的單一登入 (SSO) 功能。
- (選用) 如果您的 IdP 支援加密宣告,您就可以產生憑證並提供給 IdP,進而啟用加密功能。每個 SAML 單一登入 (SSO) 設定檔最多可有 2 個服務供應商憑證。
- 按一下「服務供應商詳細資料」部分,進入編輯模式。
- 在「服務供應商 (SP) 憑證」部分,按一下「產生憑證」(儲存後會顯示這個憑證)。
- 按一下「儲存」。系統會顯示憑證的名稱、到期日和內容。
- 使用憑證上方的按鈕,即可複製憑證內容,或將其下載為檔案,然後提供給 IdP。
- (選用) 如需輪換憑證,請返回「服務供應商詳細資料」並點選「產生其他憑證」,然後將新憑證提供給 IdP。確定 IdP 正在使用新憑證後,即可刪除原始憑證。
決定哪些使用者應使用單一登入 (SSO) 服務
只要指派單一登入 (SSO) 設定檔和相關聯的 IdP,即可為機構單位或群組開啟單一登入 (SSO) 服務;而針對單一登入 (SSO) 設定檔指派「無」,則可關閉單一登入 (SSO) 服務。您也可以在機構單位或群組中套用混合型單一登入 (SSO) 政策,例如為整體機構單位啟用單一登入 (SSO) 服務,然後再針對子機構單位關閉該服務。
- 按一下「管理單一登入 (SSO) 設定檔指派作業」。
- 如果這是您首次指派單一登入 (SSO) 設定檔,請按一下「開始使用」。如果不是,請按一下「管理」。
- 在左側選取您要指派單一登入 (SSO) 設定檔的機構單位或群組。
- 如果機構單位或群組的單一登入 (SSO) 設定檔指派作業不同於全網域的設定檔指派作業,則當您選取該機構單位或群組時,系統會顯示覆寫警告。
- 您無法為個別使用者指派單一登入 (SSO) 設定檔。「使用者」檢視畫面可讓您檢查特定使用者的設定。
- 針對所選機構單位或群組選擇「單一登入 (SSO) 設定檔指派作業」:
- 如果不讓機構單位或群組使用單一登入 (SSO) 服務,請選擇「無」。機構單位或群組中的使用者會直接登入 Google。
- 如要將其他 IdP 指派給該機構單位或群組,請選擇「其他單一登入 (SSO) 設定檔」,然後從下拉式清單中選取單一登入 (SSO) 設定檔。
- (僅限 SAML 單一登入 (SSO) 設定檔) 選取 SAML 設定檔後,請為使用者選擇登入選項,這類使用者是直接登入 Google 服務,而沒有先登入單一登入 (SSO) 設定檔的第三方 IdP。您可以提示使用者輸入 Google 使用者名稱,然後將他們重新導向至 IdP,或要求使用者輸入自己的 Google 使用者名稱和密碼。
注意:如果您選擇要求使用者輸入 Google 使用者名稱和密碼,系統會略過這個 SAML 單一登入 (SSO) 設定檔的「變更密碼網址」設定 (位於「SSO 設定檔」>「IDP 詳細資料」)。這樣一來,使用者就能視需要變更 Google 密碼。
- (僅限 Microsoft OIDC 單一登入 (SSO) 設定檔) 輸入您的 Microsoft 帳戶密碼,然後按一下「登入」來驗證 Microsoft SSO 設定。
如果您是 Azure AD 機構管理員,可以選擇代表機構接受同意聲明。這樣一來,系統就不會提示使用者接受 OAuth 同意聲明。
- 按一下「儲存」。
- 視需要將單一登入 (SSO) 設定檔指派給其他機構單位或群組。
關閉「管理單一登入 (SSO) 設定檔指派作業」資訊卡後,「管理 SSO 設定檔指派作業」部分會針對機構單位和群組顯示更新的指派作業。
從單一登入 (SSO) 設定檔指派清單中移除指派作業
- 按一下群組或機構單位名稱,開啟設定檔指派設定。
- 將現有的指派設定替換為上層機構單位設定:
- 如果是機構單位指派作業,請按一下「沿用」。
- 前往群組指派設定:按一下「取消設定」。
- 如要為貴機構使用第三方單一登入 (SSO) 設定檔,請將根機構單位的指派設定設為「無」或「機構的第三方單一登入 (SSO) 設定檔」。
管理網域專屬的服務網址
「網域專屬的服務網址」設定可讓您控管使用者利用服務網址 (例如 https://mail.google.com/a/example.com) 登入時的處理方式。我們提供兩種方式讓您選擇:
- 將使用者重新導向至第三方 IdP。選擇這個選項,即可將這些使用者一律轉送至您在單一登入 (SSO) 設定檔下拉式清單中選取的第三方 IdP。這可以是貴機構的單一登入 (SSO) 設定檔,或是其他第三方設定檔 (如果有的話)。
重要事項:如果您有機構單位或群組「並未」使用單一登入 (SSO) 服務,請勿選擇這項設定。否則,您的非單一登入 (SSO) 使用者將自動轉送至 IdP,且無法登入。
- 要求使用者在 Google 登入頁面輸入使用者名稱。如果採用這個選項,使用者輸入專屬的服務網址後,會先由系統傳送至 Google 登入網頁。如果他們是單一登入 (SSO) 使用者,就會重新導向至 IdP 登入頁面。