这组文章介绍当 Google 是服务提供商 (SP) 时,如何使用第三方身份提供商 (IdP) 设置单点登录 (SSO)。要了解当 Google 是身份提供商时如何设置 SSO,请参阅基于 SAML 的联合身份验证单点登录 (SSO)。
要使用第三方 IdP 设置基于 SAML 的单点登录,请按照蓝色的链接或上方的箭头逐步完成此过程:
- 服务提供商单点登录设置
- SAML 密钥和验证证书的创建和上传
- SSO 登录
- 网络映射结果
- (可选)为选定的单位部门或群组覆盖单点登录设置
如需详细了解如何为部分人员设置单点登录,请观看以下视频简介。
关于单点登录 (SSO)
借助 SSO,用户只需登录一次,即可访问其所有企业云应用。设置 SSO 后,用户可以登录其第三方 IdP,然后无需再次登录即可直接访问 Google 应用,但以下情况除外:
- 即使用户已登录他们的 IDP,有时出于额外的安全考虑,Google 会要求用户验证自己的身份。如需了解详情(以及如何在必要时停用此验证的详细信息),请参阅了解 SAML 安全登录。
- 您可以为访问 Google 服务的用户设置额外的两步验证。启用单点登录后,系统通常会绕过两步验证。如需了解详情,请参阅针对单点登录启用登录验证功能。
单点登录 (SSO) 还支持 Chrome 设备。如需了解详情,请参阅为 Chrome 操作系统设备配置 SAML 单点登录。
Pre-2.1 Android 设备使用 Google 身份验证。如果您尝试通过这些设备登录,系统就会提示您输入完整的受管理的 Google 帐号电子邮件地址(包括用户名和域名),并在您登录后将您直接定向至相关应用。不论有没有网络掩码,Google 都不会将您重定向到 SSO 登录页面。
在 iOS 应用中,当 SSO 登录页面网址开头为“google.”(或一些变体)时,Google iOS 应用会被重定向到 Safari。这会导致 SSO 过程失败。以下是所有禁用的前缀列表:
- googl.
- google.
- www.googl.
- www.google.
您需要更改任何带有上述前缀的 SSO 登录页面网址。
“更改密码网址”对密码更改有何影响?
如果您在更改密码网址选项中指定了网址,系统会将尝试访问 https://myaccount.google.com/ 更改自己密码的所有用户(超级用户除外)重定向到您指定的网址。即使您未启用 SSO,此设置也适用。此外,网络掩码并不适用。
SSO 问题排查
要解决常见的问题,请参阅单点登录 (SSO) 问题排查。此外,还有一些商业产品和系统集成商也提供 SSO 产品和相关专业服务。请在 Google Workspace Marketplace 中搜索提供 SSO 协助的合作伙伴及其他第三方合作伙伴。
注意:Google Workspace 支持团队不会为通过第三方 IdP 设置的 SSO 提供补充支持。