Tentang SSO

Single sign on (SSO) memungkinkan pengguna untuk login ke banyak aplikasi cloud untuk perusahaan dengan menggunakan satu set kredensial. Workspace (dan Google Cloud Platform) mendukung SSO dari penyedia identitas (IdP) pihak ketiga. 

Workspace mendukung protokol SSO SAML dan OIDC. SSO SAML mendukung IdP apa pun. Saat ini, OIDC hanya mendukung Microsoft Entra ID.

Untuk menggunakan SSO, Anda harus mengonfigurasi profil SSO, lalu menetapkannya ke grup pengguna atau unit organisasi. Hal ini memungkinkan dukungan untuk beberapa IdP dan untuk menguji konfigurasi SSO. Ini adalah sistem yang direkomendasikan untuk SSO. Profil SSO Lama kami versi sebelumnya untuk organisasi juga tersedia (khusus untuk SAML).

SSO juga tersedia pada perangkat Chrome. Untuk mengetahui detailnya, buka Mengonfigurasi single sign-on SAML untuk Perangkat Chrome.

Verifikasi tambahan setelah SSO

Saat SSO disiapkan,  pengguna yang login ke IdP pihak ketiga dapat mengakses aplikasi Google tanpa verifikasi tambahan, dengan pengecualian berikut:

  • Meskipun pengguna sudah login ke IdP, sebagai prosedur keamanan tambahan, Google terkadang akan meminta pengguna untuk memverifikasi identitas mereka. Untuk mengetahui informasi selengkapnya (dan detail tentang cara menonaktifkan verifikasi ini jika diperlukan), lihat Memahami login aman SAML.
  • Anda dapat menyiapkan verifikasi dua langkah tambahan untuk pengguna yang mengakses layanan Google. Verifikasi dua langkah biasanya diabaikan saat SSO diaktifkan. Untuk mengetahui informasi selengkapnya, buka Mengaktifkan verifikasi login dengan SSO.
Memahami SSO berbasis SAML yang dioperasikan partner

Gambar 1 menunjukkan proses saat pengguna melakukan login ke aplikasi Google, seperti Gmail, melalui layanan SSO berbasis SAML yang dioperasikan partner. Daftar bernomor yang mengikuti detail gambar di tiap-tiap langkah.

Penting: Sebelum proses ini dimulai, partner terkait harus memberikan URL layanan SSO-nya kepada Google, beserta kunci publik yang harus digunakan Google untuk memverifikasi respons SAML.

Gambar 1: Gambar ini menunjukkan proses login ke Google menggunakan layanan SSO berbasis SAML. 

Gambar ini menunjukkan langkah-langkah berikut.

  1. Pengguna berusaha mengakses aplikasi Google yang dihosting, seperti Gmail, Google Kalender, atau layanan Google lainnya.
  2. Google membuat permintaan autentikasi SAML, yang dienkode dan disematkan ke URL untuk layanan SSO partner. Parameter RelayState yang berisi URL yang dienkode dari aplikasi Google yang ingin diakses pengguna juga disematkan di URL SSO. Parameter RelayState ini adalah ID buram yang diteruskan kembali tanpa modifikasi atau pemeriksaan apa pun.
  3. Google mengirimkan URL alihan ke browser pengguna. URL alihan ini berisi permintaan autentikasi SAML yang dienkode dan harus dikirimkan ke layanan SSO partner.
  4. Browser mengalihkan ke URL SSO.
  5. Partner mendekode permintaan SAML dan mengekstrak URL untuk ACS (Assertion Consumer Service) Google dan URL tujuan pengguna (parameter RelayState). 
  6. Partner selanjutnya mengautentikasi pengguna. Partner dapat mengautentikasi pengguna dengan meminta kredensial login yang valid atau dengan memastikan cookie sesi yang ada valid.
  7. Partner membuat respons SAML yang berisi nama pengguna dari pengguna yang telah diautentikasi. Berdasarkan spesifikasi SAML 2.0, respons ini ditandatangani secara digital dengan kunci DSA/RSA publik dan pribadi partner.
  8. Partner mengenkode respons SAML dan parameter ReadyState, lalu menampilkan informasi tersebut ke browser pengguna. Partner memberikan satu mekanisme agar browser dapat meneruskan informasi tersebut ke ACS Google. Misalnya, partner dapat menyematkan respons SAML dan URL tujuan dalam formulir, serta memberikan tombol yang dapat diklik pengguna untuk mengirimkan formulir tersebut ke Google. Partner juga dapat memasukkan JavaScript ke halaman terkait yang akan otomatis mengirimkan formulir ke Google.
  9. Browser mengirimkan respons ke URL ACS. ACS Google memverifikasi respons SAML menggunakan kunci publik partner. Jika respons terkait berhasil diverifikasi, ACS akan mengalihkan pengguna ke URL tujuan. 
  10. Pengguna login ke aplikasi Google.

Menyinkronkan akun pengguna antara IdP dan Google

Untuk menyederhanakan pengelolaan siklus proses pengguna, sebagian besar organisasi yang menggunakan SSO juga menyinkronkan direktori penggunanya dari IdP ke Google. Dengan sinkronisasi, pengguna baru (atau yang telah dihapus) di sisi IdP akan otomatis ditambahkan atau dihapus sebagai pengguna Workspace. Directory Sync Google mendukung Active Directory dan Entra ID. Sebagian besar IdP mendukung sinkronisasi ke Google. Baca dokumentasi IdP Anda untuk mendapatkan petunjuk penyiapan. 

SSO dan LDAP Aman

LDAP Aman memerlukan sandi Google dan tidak kompatibel dengan SSO.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
3339142190995375453
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false