只要採用單一登入 (SSO) 服務,使用者就能以一組憑證,登入多個企業雲端應用程式。Workspace (和 Google Cloud Platform) 支援第三方識別資訊提供者 (IdP) 的 SSO 服務。
Workspace 支援 SAML 和 OIDC SSO 通訊協定。SAML SSO 支援任何 IdP,而目前 OIDC 僅支援 Microsoft Entra ID。
如要使用 SSO,您必須設定SSO 設定檔,然後指派給使用者群組或機構單位。這個設定檔不僅支援多個 IdP,還能測試 SSO 設定。建議您為 SSO 採用此系統,但也可使用機構的舊版 SSO 設定檔 (僅限 SAML)。
Chrome 裝置也支援使用 SSO。詳情請參閱「為 Chrome 裝置設定 SAML 單一登入服務」。
其他 SSO 後續驗證完成 SSO 設定後,使用者只要登入第三方 IdP,即可存取 Google 應用程式,不需再另行驗證,但以下情況例外:
- Google 有時會要求已登入 IdP 的使用者驗證自己的身分,做為額外的安全措施。如需進一步瞭解相關資訊 (以及如何在有需要時停用這類驗證機制),請參閱「認識 SAML 安全登入功能」。
- 您可以為存取 Google 服務的使用者額外設定兩步驟驗證機制,因為開啟 SSO 功能以後,系統通常會略過兩步驟驗證。詳情請參閱「啟用單一登入 (SSO) 的驗證機制」。
下圖 1 呈現使用者透過合作夥伴提供的 SAML 式 SSO 服務,登入 Google 應用程式 (例如 Gmail) 的完整流程。後面的編號清單則依序列出圖片中每個步驟的詳細說明。
注意:開始這項程序前,合作夥伴必須向 Google 提供 SSO 服務網址和公開金鑰,讓 Google 驗證 SAML 回應。
圖 1:顯示使用 SAML 式 SSO 服務登入 Google 的程序。
這張圖包含以下步驟。
- 使用者嘗試存取代管的 Google 應用程式,例如 Gmail、Google 日曆或其他 Google 服務。
- Google 產生 SAML 驗證要求,這個要求會在編碼後嵌入合作夥伴的 SSO 服務網址。這個 SSO 網址也包含 RelayState 參數,其中含有使用者嘗試存取的 Google 應用程式經過編碼的網址。RelayState 參數是一種不易解讀的 ID,傳回時不會經過任何修改或檢查。
- Google 向使用者的瀏覽器傳送重新導向網址。這個重新導向網址包含經過編碼的 SAML 驗證要求,後者也會提交至合作夥伴的 SSO 服務。
- 瀏覽器重新導向至 SSO 網址。
- 合作夥伴對 SAML 要求進行解碼,並擷取 Google 宣告客戶服務 (ACS) 網址和使用者的到達網頁網址 (RelayState 參數)。
- 合作夥伴驗證使用者。進行驗證時,合作夥伴可以要求使用者提供有效的登入憑證,或檢查有效的工作階段 Cookie。
- 合作夥伴產生 SAML 回應,內含已驗證使用者的使用者名稱。根據 SAML v2.0 規格,這個回應會加上數位簽章,包含合作夥伴的公開與私密 DSA/RSA 金鑰。
- 合作夥伴對 SAML 回應和 RelayState 參數進行編碼,然後將這些資訊傳回使用者的瀏覽器。合作夥伴會提供可讓瀏覽器將這些資訊轉送至 Google ACS 的機制。舉例來說,合作夥伴可將 SAML 回應和到達網頁網址嵌入表單,然後讓使用者只要點選按鈕,就能將這個表單提交給 Google;或是在網頁中加入能將這個表單提交給 Google 的 JavaScript。
- 瀏覽器傳送回應給 ACS 網址。Google 的 ACS 使用合作夥伴的公開金鑰驗證 SAML 回應。如果回應通過驗證,ACS 會將使用者重新導向至到達網頁網址。
- 使用者登入 Google 應用程式。
在 IdP 和 Google 間同步處理使用者帳戶
為簡化使用者生命週期管理機制,大多數採用 SSO 的機構也會將使用者目錄從 IdP 同步處理至 Google。同步處理功能啟用後,IdP 端若新增/刪除使用者,Workspace 也會自動新增/刪除。Google 的 Directory Sync 支援 Active Directory 和 Entra ID。IdP 多半也都支援將使用者同步處理至 Google。如需設定說明,請參閱 IdP 的說明文件。
SSO 和安全 LDAP
使用安全 LDAP 需要 Google 密碼,且此功能與 SSO 不相容。