Sobre o SSO

Com o Logon único (SSO), os usuários podem fazer login em vários aplicativos empresariais na nuvem usando um único conjunto de credenciais. O Workspace (e o Google Cloud Platform) oferece suporte a SSO de provedores de identidade de terceiros (IDPs). 

O Workspace oferece suporte aos protocolos de SSO SAML e OIDC. O SSO SAML é compatível com qualquer IdP. No momento, o OIDC só oferece suporte ao ID do Microsoft Entra.

Para usar o SSO, configure os perfis de SSO e atribua-os a grupos de usuários ou unidades organizacionais. Isso permite o suporte a vários IdPs e o teste de configurações de SSO. Esse é o sistema recomendado para SSO. Nosso perfil de SSO legado mais antigo para organizações também está disponível (somente para SAML).

O SSO também está disponível em dispositivos Chrome. Veja os detalhes em Configurar o Logon único via SAML nos dispositivos Chrome OS.

Verificação adicional após o SSO

Quando o SSO está configurado,  os usuários que fazem login no IdP de terceiros podem acessar os apps do Google sem uma verificação adicional, com estas exceções:

  • Mesmo que eles já tenham feito login no IdP, o Google às vezes solicita a verificação da identidade como medida de segurança adicional. Veja mais informações e instruções para desativar essa verificação (se necessário) em "Noções básicas sobre o login seguro por SAML".
  • Você pode configurar a verificação em duas etapas adicional para os usuários que acessam os serviços do Google. A verificação em duas etapas normalmente é ignorada quando o SSO está ativado. Veja mais informações em "Ativar desafios de login com SSO".
Entender o SSO baseado em SAML operado por parceiros

A Figura 1 ilustra o processo de login em um app do Google, como o Gmail, usando um serviço de SSO baseado em SAML operado por parceiros. A lista numerada que segue a imagem detalha cada etapa.

Importante: antes da criação desse processo, o parceiro precisava fornecer ao Google o URL para o serviço de SSO, bem como a chave pública que o Google deveria usar para verificar respostas SAML.

Figura 1 : mostra o processo de login no Google usando um serviço de SSO baseado em SAML. 

Esta imagem ilustra as etapas a seguir.

  1. O usuário tentar alcançar um aplicativo Google hospedado, como o Gmail, Google Agenda ou outro serviço do Google.
  2. O Google gera uma solicitação de autenticação SAML, que é codificada e incorporada no URL do serviço de SSO do parceiro. O parâmetro RelayState que contém o URL codificado do aplicativo Google que o usuário está tentando alcançar também é incorporado no URL de SSO. Esse parâmetro RelayState é um identificador opaco que é transmitido de volta sem nenhuma modificação ou inspeção.
  3. O Google envia um redirecionamento ao navegador do usuário. O URL de redirecionamento inclui uma autenticação SAML codificada que deverá ser enviada ao serviço de SSO do parceiro.
  4. O navegador redireciona para o URL do SSO.
  5. O parceiro decodifica a solicitação SAML e extrai o URL para o serviço de declaração de consumidor (ACS) do Google e para o URL de destino do usuário (parâmetro RelayState). 
  6. O parceiro autentica o usuário. Os parceiros podem autenticar os usuários por meio da solicitação de credenciais de login válidas ou da verificação de cookies de sessão válidos.
  7. O parceiro gera uma resposta SAML que contém o nome de usuário autenticado. De acordo com a especificação do SAML v2.0, essa resposta é digitalmente assinada com as chaves DSA/RSA públicas e privadas do parceiro.
  8. O parceiro codifica a resposta SAML e o parâmetro RelayState e retorna essas informações para o navegador do usuário. O parceiro fornece um mecanismo para que o navegador possa encaminhar essa informação para o ACS do Google. Por exemplo, o parceiro poderia incorporar a resposta SAML e o URL de destino em um formulário e fornecer um botão que o usuário pudesse clicar e enviar o formulário para o Google. O parceiro também pode incluir JavaScript na página que envia o formulário para o Google.
  9. O navegador envia uma resposta ao URL do ACS. O ACS do Google verifica a resposta SAML usando a chave pública do parceiro. Se a resposta for verificada com sucesso, o ACS redirecionará o usuário para o URL de destino. 
  10. O usuário está conectado ao Google app.

Como sincronizar contas de usuários entre o IdP e o Google

Para simplificar o gerenciamento do ciclo de vida do usuário, a maioria das organizações que usam SSO também sincroniza o diretório de usuários do IdP com o Google. Com a sincronização, os usuários novos (ou excluídos) no IdP são adicionados ou excluídos automaticamente como usuários do Workspace. A Directory Sync do Google é compatível com o Active Directory e o Entra ID. A maioria dos IdPs oferece suporte à sincronização com o Google. Consulte a documentação do IdP para ver as instruções de configuração. 

SSO e LDAP seguro

O LDAP seguro exige uma senha do Google e é incompatível com o SSO.

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
4582978142761128521
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false
false