本系列文章說明當服務供應商 (SP) 為 Google 時,如何透過第三方識別資訊提供者 (IdP) 設定單一登入 (SSO) 服務。如要瞭解在 Google 為 IdP 時如何設定單一登入 (SSO) 服務,請參閱「SAML 式聯合單一登入 (SSO)」。
如要透過第三方 IdP 設定 SAML 式單一登入,請點選下列藍色連結或上方的箭頭,按步驟逐一完成設定程序。
- 設定服務供應商單一登入 (SSO)
- 建立及上傳 SAML 金鑰和驗證憑證
- 使用單一登入 (SSO)
- 網路對應結果
- (選用) 覆寫所選機構單位或群組的單一登入 (SSO) 服務
如要進一步瞭解如何設定部分單一登入 (SSO) 服務,請觀看這部影片總覽。
關於單一登入 (SSO)
SSO 讓使用者只需登入一次就能存取自己所有的企業雲端應用程式。完成 SSO 設定後,使用者只要登入第三方 IdP,即可直接存取 Google 應用程式,不需再另行登入,但以下情況例外:
- Google 有時會要求已登入 IdP 的使用者驗證自己的身分,做為額外的安全措施。如需進一步瞭解相關資訊 (以及如何在有需要時停用這類驗證機制),請參閱「認識 SAML 安全登入功能」。
- 您可以為存取 Google 服務的使用者額外設定兩步驟驗證機制,因為開啟 SSO 功能以後,系統通常會略過兩步驟驗證。詳情請參閱「啟用單一登入 (SSO) 的驗證機制」。
Chrome 裝置也支援使用 SSO。詳情請參閱「為 Chrome 裝置設定 SAML 單一登入服務」。
Android 2.1 以下版本的裝置會使用 Google 驗證功能。當您嘗試透過這些裝置登入時,系統會提示您輸入完整的受管理 Google 帳戶電子郵件地址 (包括使用者名稱和網域)。您登入之後即可直接前往應用程式。不論是否有網路遮罩,Google 都不會將您重新導向 SSO 登入網頁。
使用 iOS 應用程式時,如果 SSO 登入頁面網址的開頭是「google.」(或類似開頭),Google iOS 應用程式會重新導向 Safari,造成單一登入程序失敗。以下是所有禁用的前置字元清單:
- googl.
- google.
- www.googl.
- www.google.
您必須變更所有包含這些前置字元的 SSO 單一登入頁面網址。
密碼變更網址對密碼變更有何影響?
如果您在 [變更密碼網址] 選項中指定了某個網址,,系統會將「所有」嘗試透過 https://myaccount.google.com/ 變更密碼的使用者 (超級管理員除外) 導向您指定的網址。即使您並未啟用單一登入服務,系統也會自動套用這項設定,但網路遮罩則「不會」受到影響。
排解 SSO 問題
「排解單一登入 (SSO) 的相關問題」一文可以為您解答許多常見的問題。此外,一些商業產品與系統整合商也會提供 SSO 產品與專業服務。如要尋找提供單一登入 (SSO) 相關協助的合作夥伴和其他第三方供應商,請前往 Google Workspace Marketplace 搜尋。
注意:Google Workspace 支援團隊無法為透過第三方 IdP 運作的單一登入 (SSO) 服務提供實作支援。