Menyiapkan SSO (Sistem Masuk Tunggal)

Pada domain yang mendukung SSO tanpa network mask, Google kini mewajibkan pengguna super untuk masuk dengan nama pengguna dan sandi Google mereka, serta mengalihkan pengguna yang bukan pengguna super ke halaman masuk SSO.

Google Apps menawarkan layanan Sistem Masuk Tunggal (SSO) untuk pelanggan yang menggunakan Google Apps for Work, Education, atau ISP. SSO memungkinkan pengguna untuk mengakses semua Google Apps mereka (termasuk konsol Admin) setelah masuk hanya sekali ke halaman masuk SSO. Google mengalihkan pengguna ke halaman masuk SSO ketika mereka mencoba masuk ke konsol Admin atau layanan Google lainnya.

Google menyediakan API SSO berbasis SAML yang dapat Anda gunakan untuk diintegrasikan ke dalam LDAP Anda atau sistem SSO lainnya. LDAP (Lightweight Directory Access Protocol) adalah suatu protokol jaringan untuk mempertanyakan dan mengubah layanan direktori yang berjalan melalui TCP/IP.

SSO menerima kunci dan sertifikat yang dibuat dengan algoritme RSA atau DSA. Untuk menggunakan layanan tersebut, Anda harus membuat kumpulan kunci publik dan pribadi serta sertifikat X.509 yang berisi kunci publik. Setelah Anda memiliki kunci atau sertifikat publik, Anda kemudian harus mendaftarkannya dengan Google. Anda dapat melakukannya hanya dengan mengunggah kunci atau sertifikat tersebut melalui konsol Google Admin Anda.

Bagaimana cara mengunggah kunci dan sertifikat dengan konsol Google Admin saya?
  1. Masuk ke konsol Google Admin
  2. Klik Keamanan > Setelan lanjutan. Ada di mana? 
  3. Klik Siapkan sistem masuk tunggal (SSO).
  4. Masukkan URL yang tepat dan unggah sertifikat verifikasi Anda.

Kunjungi Referensi SSO untuk petunjuk lebih lanjut.

Bagaimana cara menghasilkan kunci dan sertifikat untuk layanan Sistem Masuk Tunggal Google Apps?

Cara Anda membuat kunci dan sertifikat sering kali bergantung pada platform pengembangan dan preferensi bahasa pemrograman Anda. Anda dapat menggunakan OpenSSL, alat Certificate Creation dan alat Pvk2pfx di NET, Keytool di Jawa, dan Java Cryptography Architecture untuk menciptakan pasangan kunci publik dan pribadi. Selengkapnya

Bagaimana cara kerja sertifikat verifikasi?

File sertifikat akan memiliki format X.509 dengan kunci publik tersemat. Kunci publik dapat menggunakan algoritme DSA atau RSA. Google menggunakan kunci ini untuk memverifikasi asal (misalnya: Apakah pernyataan SSO datang dari Anda?) dan integritas (misalnya: Apakah pernyataan diubah selama transmisi?) respon SAML yang Anda kirimkan kepada kami.

Penting untuk mencocokkan kunci publik yang tersemat dalam sertifikat X.509 dengan kunci pribadi yang Anda gunakan untuk menandai Respons SAML.

Saat ini kami tidak mendukung praktik terbaik untuk admin tanpa sertifikat yang ada, namun pembuatan sertifikat X509 dapat dilakukan dengan menggunakan perintah openssl. Selengkapnya

Bagaimana cara kerja elemen 'Penerbit' (misalnya ID entitas) dalam permintaan SAML?

Penerbit dimasukkan dalam permintaan SAML pada IdP (Penyedia Identitas). Anda dapat memilih apakah ingin menyertakan penerbit standar atau khusus domain. Ketika beberapa domain menggunakan SSO dengan agregator IdP yang sama, penerbit tertentu dapat diuraikan oleh agregator IdP untuk mengidentifikasi nama domain yang benar untuk permintaan SAML. Jika Anda tidak mencentang kotak untuk mengaktifkan penerbit domain khusus, Google akan mengirim penerbit standar (google.com) dalam permintaan SAML. Jika Anda mencentang kotak untuk mengaktifkan fitur ini, Google akan mengirim penerbit khusus ke domain Anda (google.com/a/domain_Anda.com), dengan 'domain_anda.com' diganti dengan nama domain Anda yang sebenarnya.

Bagaimana cara kerja network mask?

Network mask adalah alamat IP yang diwakili menggunakan notasi CIDR (Classless Inter-Domain Routing). CIDR adalah spesifikasi dari jumlah bita alamat IP yang harus disertakan. Google menggunakan network mask untuk menentukan IP atau rentang IP mana yang akan dihadirkan dengan fitur SSO.

Penting bagi setiap network masuk untuk menggunakan format yang tepat. Berikut adalah contoh IPv6:

  • 2001:db8::/32 (garis miring dan angka setelahnya melambangkan CIDR)
Pada contoh ini, 96 bita yang terakhir tidak akan dipertimbangkan, dan semua IP dalam rentang jaringan tersebut akan terpengaruh.

Berikut adalah contoh IPv4:
  • 64.233.187.0/24

Pada contoh ini, 8 bita terakhir (yaitu nol) tidak akan dipertimbangkan, dan semua IP yang ada dalam rentang 64.233.187.0 - 64.233.187.255 akan terpengaruh.

Di domain tanpa network mask, tambahkan pengguna yang bukan pengguna super ke Penyedia Identitas (IdP).

Bagaimana pengaktifan SSO berpengaruh terhadap cara pengguna masuk?

Halaman masuk untuk konsol Admin adalah admin.google.com (yang dialihkan ke accounts.google.com), sedangkan halaman masuk untuk layanan Google individual adalah <service>.google.com/a/<your_domain>.com. Bila Anda mengonfigurasi SSO untuk domain Anda, perilaku halaman tersebut tergantung pada apakah pengguna masuk memiliki hak pengguna super, dan apakah domain memiliki network mask.

Di domain yang mendukung SSO dengan network mask:

  • Ketika pengguna (dengan atau tanpa hak pengguna super) mencoba masuk ke accounts.google.com, Google meminta mereka alamat email lengkap (termasuk nama pengguna dan domain) beserta sandi, dan membawa mereka langsung ke konsol Admin setelah mereka masuk. Google tidak mengalihkan mereka ke server SSO, terlepas dari network mask.
  • Ketika pengguna (dengan atau tanpa hak pengguna super) dalam network mask mencoba untuk masuk ke <service>.google.com/a/<your_domain>.com, Google mengalihkan mereka ke server SSO.
  • Ketika pengguna (dengan atau tanpa hak pengguna super) di luar network mask mencoba masuk ke <service>.google.com/a/<your_domain>.com, Google tidak mengalihkan mereka ke server SSO.

Di domain yang mendukung SSO tanpa network mask:

  • Ketika pengguna super mencoba masuk ke accounts.google.com, Google meminta alamat email Google lengkap mereka (termasuk nama pengguna dan domain) berserta sandi, serta mengalihkan mereka langsung ke konsol Admin setelah mereka masuk. Google tidak mengalihkan mereka ke server SSO.
  • Ketika pengguna tanpa hak pengguna super mencoba masuk ke accounts.google.com, Google mengalihkan mereka ke server SSO.
  • Ketika pengguna tanpa hak istimewa pengguna super, seperti administrator yang didelegasikan mencoba masuk ke admin.google.com, Google akan mengalihkan mereka ke server SSO setelah mereka memasukkan nama pengguna Google dan mengeklik Masuk.
  • Ketika pengguna (dengan atau tanpa hak pengguna super) mencoba untuk masuk ke <service>.google.com/a/<your_domain>.com, Google mengalihkan mereka ke server SSO.
Bagaimana SSO berpengaruh terhadap pengguna super?

SSO tidak berpengaruh terhadap pengguna super yang mencoba masuk ke domain yang mendukung SSO melalui admin.google.com.

Setelah mengaktifkan SSO untuk domain, sebagai pengganti nama pengguna dan sandi, memasukkan alamat email pengguna super akan mengalihkan ke halaman masuk yang ditentukan dalam konsol admin. Ketika ini terjadi pengguna super tidak dapat masuk hingga 48 jam. Setelah 48 jam, pengguna super akan melewati setelan ini. Hal ini terjadi untuk setiap akun yang memungkinkan SSO.

Ketika administrator super masuk ke klien sinkronisasi Drive, mereka melewati SSO.

Ketika pengguna super mencoba masuk ke domain yang mendukung SSO (dengan atau tanpa network mask) melalui admin.google.com, mereka harus memasukkan alamat email akun administrator Google lengkap mereka dan sandi Google terkait (bukan nama pengguna dan sandi SSO mereka), lalu mengeklik Masuk untuk langsung mengakses konsol Admin. Google tidak mengalihkan mereka ke laman masuk SSO. Hal ini berlaku untuk upaya masuk dari browser, aplikasi seluler (seperti aplikasi Drive dan Gmail iOS), alur aktivasi akun Android, dan sebagainya.

Ketika pengguna super mencoba untuk masuk ke layanan Google lain di <service>.google.com/a/<your_domain>.com, Google mengalihkan mereka ke halaman masuk SSO hanya jika mereka masuk dari dalam jaringan network mask domain mereka. Jika mereka berada di luar network mask domain mereka, atau jika domain mereka tidak memiliki network mask, Google akan meminta nama pengguna dan sandi Google mereka.

Klien seperti Gmail App untuk iOS, Drive App untuk iOS, Chrome Browser Sync, penyiapan Android, dll. menggunakan Google Authentication. Ketika Anda mencoba masuk melalui salah satu klien ini, Google meminta Anda untuk memasukkan alamat email lengkap Google Anda (termasuk nama pengguna dan domain). Anda langsung menuju aplikasi setelah Anda masuk. Google tidak mengalihkan Anda ke server SSO, terlepas dari network mask.

Bagaimana cara menyiapkan SSO pada perangkat Chrome?

Kunjungi SSO SAML untuk Perangkat Chrome untuk mempelajari lebih lanjut.

Saya memiliki pertanyaan yang tidak diulas di atas.

Anda dapat mengunjungi FAQ Sistem Masuk Tunggal untuk menemukan jawaban dari pertanyaan umum atau membaca artikel Sistem Masuk Tunggal. Atau, ada sejumlah produk komersial dan integrator sistem yang menyediakan produk dan layanan profesional SSO. Silakan cari Layanan Profesional di Google Apps Marketplace kami untukGoogle for Work Mitra dan pihak ketiga lainnya yang memberikan bantuan SSO.

Bacalah Memecahkan Masalah Sistem Masuk Tunggal untuk menyelesaikan masalah umum yang dihadapi ketika mengintegrasikan Google Apps dengan SSO.