Menyiapkan Single Sign-On (SSO) untuk akun Google Apps

Dalam domain dengan Single Sign-On (SSO) yang aktif tanpa network mask, Google kini mewajibkan pengguna super untuk masuk dengan nama pengguna dan sandi Google Apps mereka, serta mengalihkan pengguna yang bukan pengguna super ke laman masuk SSO mereka.

SSO tersedia untuk Google Apps for Work, Education, dan Government. SSO memungkinkan pengguna untuk mengakses semua Google Apps mereka—termasuk administrator yang masuk ke Konsol admin—dengan sekali masuk untuk semua layanan. Jika pengguna mencoba untuk masuk ke Konsol admin atau layanan Google lain ketika SSO diaktifkan, mereka dialihkan ke laman masuk SSO.

Kami menyediakan API SSO berbasis Security Assertion Markup Language (SAML) yang dapat Anda gunakan untuk melakukan integrasi ke dalam Lightweight Directory Access Protocol (LDAP) Anda, atau sistem SSO lainnya. LDAP adalah sebuah protokol jaringan untuk melakukan kueri dan perubahan terhadap layanan direktori yang berjalan melalui TCP/IP.

Untuk menggunakan SSO, Anda harus membuat kumpulan kunci publik dan pribadi serta sertifikat X.509 yang berisi kunci publik. Kunci publik dan sertifikat harus dibuat dengan algoritme RSA atau DSA dan didaftarkan ke Google. Untuk mendaftar, unggah kunci dan sertifikat melalui Konsol admin Google Anda.

Menyiapkan SSO dan mengunggah kunci serta sertifikat verifikasi
  1. Masuk ke Google Admin console
  2. Klik Keamanan > Setelan lanjutan. Ada di mana? 
  3. Centang kotak Siapkan SSO dengan penyedia identitas pihak ketiga.
  4. Masukkan URL yang tepat untuk menyiapkan Penyedia Identitas (IdP) pihak ketiga.
  5. Unggah sertifikat verifikasi.

    File sertifikat harus berisi kunci publik sehingga Google dapat memverifikasi permintaan masuk.

  6. Jika perlu, centang kotak Gunakan penerbit khusus domain untuk mengaktifkan penerbit khusus domain. Jika Anda mengaktifkan fitur ini, Google mengirimkan penerbit yang khusus untuk domain Anda, google.com/a/ your_domain.com, di mana your_domain.com diganti dengan nama domain Anda sebenarnya.

    Jika Anda tidak mencentang kotak untuk mengaktifkan penerbit khusus domain ketika mengatur SSO, Google mengirimkan penerbit standar, google.com, dalam permintaan SAML.

  7. Klik Simpan Perubahan.

Semua URL harus menggunakan HTTPS, misalnya https://sso.domain.com.

Untuk informasi lebih lanjut, lihat Layanan SSO SAML untuk Google Apps .

Bagaimana cara membuat kunci dan sertifikat untuk SSO Google Apps?

Cara Anda membuat kunci dan sertifikat sering kali bergantung pada platform pengembangan dan preferensi bahasa pemrograman Anda. Untuk membuat pasangan kunci publik dan pribadi, Anda dapat menggunakan OpenSSL, alat Pembuatan Sertifikat dan alat Pvk2pfx di .NET, Keytool di Java, dan Java Cryptography Architecture. Untuk detailnya, lihat Membuat Kunci dan Sertifikat untuk SSO Google Apps.

Bagaimana cara kerja sertifikat verifikasi?

File sertifikat harus berupa sertifikat format X.509 dengan kunci publik tersemat. Kunci publik harus dibuat dengan algoritma DSA atau RSA. Kunci ini digunakan untuk memverifikasi respon SAML yang Anda kirim ke Google—yaitu, apakah pernyataan SSO benar-benar datang dari Anda? Hal ini juga memastikan pernyataan SSO tidak dimodifikasi selama transmisi.

Penting untuk mencocokkan kunci publik yang tersemat dalam sertifikat X.509 dengan kunci pribadi yang Anda gunakan untuk menandai respons SAML.

Saat ini kami tidak mendukung praktik terbaik untuk administrator tanpa sertifikat, namun sertifikat X509 dapat dibuat menggunakan perintah openssl. Untuk detailnya, lihat Membuat Kunci dan Sertifikat untuk SSO Google Apps.

Bagaimana cara kerja penerbit—elemen entitas ID dalam permintaan SAML?

Penerbit dimasukkan dalam permintaan SAML kepada IdP (Penyedia Identitas). Anda dapat memilih apakah ingin menyertakan penerbit standar atau khusus domain. Ketika beberapa domain menggunakan SSO dengan agregator IdP yang sama, penerbit tertentu dapat diuraikan oleh agregator IdP untuk mengidentifikasi nama domain yang benar untuk permintaan SAML. Jika Anda tidak mencentang kotak untuk mengaktifkan penerbit khusus domain, Google akan mengirim penerbit standar google.com dalam permintaan SAML. Jika Anda mencentang kotak untuk mengaktifkan fitur ini, Google akan mengirim penerbit khusus ke domain Anda, google.com/a/your_domain.com, dengan domain_anda.com diganti dengan nama domain Anda sebenarnya.

Bagaimana cara kerja network mask?

Network mask adalah alamat IP yang dilambangkan menggunakan notasi CIDR (Classless Inter-Domain Routing). CIDR menentukan berapa banyak bit dari alamat IP yang disertakan. Google menggunakan network mask untuk menentukan IP atau rentang IP mana yang akan dihadirkan dengan fitur SSO. Di domain tanpa network mask, Anda harus menambahkan pengguna yang bukan pengguna super ke Penyedia Identitas (IdP).

Penting bagi setiap network mask untuk menggunakan format yang tepat. Dalam contoh IPv6 berikut, garis miring (/) dan angka setelahnya melambangkan CIDR tersebut. 96 bit terakhir diabaikan, dan semua IP dalam jangkauan jaringan terpengaruh.

  • 2001:db8::/32

Dalam contoh IPv4 ini, 8 bit terakhir (angka nol) diabaikan, dan semua IP yang berada di kisaran 64.233.187.0–64.233.187.255 akan terpengaruh.

  • 64.233.187.0/24

Catatan:

Saat network mask diaktifkan, semua pengguna dan pengguna super tidak dialihkan ke SSO mereka dari laman masuk Google (accounts.google.com).

Bagaimana pengaruh pengaktifan SSO terhadap cara pengguna masuk?

Laman masuk untuk Konsol admin adalah admin.google.com (yang mengalihkan ke accounts.google.com), sedangkan laman masuk untuk masing-masing layanan Google adalah service.google.com/a/your_domain.com. Bila Anda mengonfigurasi SSO untuk domain Anda, perilaku laman tersebut bergantung pada apakah pengguna yang masuk memiliki hak pengguna super, dan apakah domain memiliki network mask.

Di domain dengan SSO aktiftanpa network mask:

  • Ketika pengguna super mencoba masuk ke accounts.google.com, mereka diminta memasukkan alamat email Google Apps lengkap mereka (termasuk nama pengguna dan domain) beserta sandi, dan dialihkan ke konsol Admin setelah mereka masuk. Google tidak mengalihkan mereka ke server SSO.
  • Ketika pengguna tanpa hak pengguna super mencoba masuk di accounts.google.com, mereka dialihkan ke laman masuk SSO.
  • Ketika pengguna tanpa hak pengguna super, seperti administrator yang didelegasikan mencoba masuk ke admin.google.com, Google mengalihkan mereka ke server SSO setelah mereka masuk dengan detail akun Google Apps mereka.
  • Ketika pengguna (dengan atau tanpa hak pengguna super) mencoba untuk masuk ke service.google.com/a/your_domain.com, Google mengalihkan mereka ke laman masuk SSO.

Di domain dengan SSO aktif dengan network mask:

  • Ketika pengguna (dengan atau tanpa hak pengguna super) mencoba masuk ke accounts.google.com, mereka diminta memasukkan alamat email lengkap mereka (termasuk nama pengguna dan domain) beserta sandi, dan dibawa langsung ke konsol Admin setelah masuk. Google tidak mengalihkan mereka ke server SSO, terlepas dari network mask.
  • Ketika pengguna (dengan atau tanpa hak pengguna super) dalam network mask mencoba untuk masuk ke service.google.com/a/your_domain.com, mereka dialihkan ke laman masuk SSO.
  • Ketika pengguna (dengan atau tanpa hak pengguna super) di luar network mask mencoba untuk masuk ke service.google.com/a/your_domain.com, Google tidak mengalihkan mereka ke laman masuk SSO.
Bagaimana pengaruh URL perubahan sandi terhadap perubahan sandi?

Jika Anda menentukan URL di dalam opsi URL ubah sandi, semua pengguna, selain administrator super, yang mencoba mengubah sandi mereka di https://myaccount.google.com/ akan dialihkan ke URL yang Anda tentukan. Setelan ini akan berlaku meskipun Anda tidak mengaktifkan SSO. Selain itu, network mask tidak berlaku.

Bagaimana pengaruh SSO terhadap pengguna super?
  • SSO tidak berpengaruh terhadap pengguna super yang mencoba masuk ke domain yang diaktifkan SSO-nya melalui admin.google.com.
    Setelah mengaktifkan SSO untuk domain, memasukkan alamat email pengguna super tidak akan menimbulkan permintaan untuk memasukkan nama pengguna dan sandi melainkan akan mengalihkan ke laman masuk yang ditentukan dalam konsol admin.
  • Ketika pengguna super masuk ke klien sinkronisasi Google Drive, mereka tidak akan melewati SSO.
  • Ketika pengguna super mencoba masuk ke domain yang diaktifkan SSO-nya (dengan atau tanpa network mask) melalui admin.google.com, mereka harus memasukkan alamat email lengkap akun administrator Google mereka dan sandi Google terkait (bukan nama pengguna dan sandi SSO mereka), lalu mengeklik Masuk untuk langsung mengakses Konsol admin. Google tidak mengalihkan mereka ke laman masuk SSO. Hal ini berlaku untuk upaya masuk dari browser, aplikasi seluler (seperti aplikasi Drive dan Gmail iOS), alur aktivasi akun Android, dan sebagainya.
  • Ketika pengguna super mencoba untuk masuk ke layanan Google lain di service.google.com/a/your_domain.com, Google mengalihkan mereka ke laman masuk SSO hanya jika mereka masuk dari dalam network mask domain mereka. Jika mereka berada di luar network mask domain mereka, atau jika domain mereka tidak memiliki network mask, Google akan meminta nama pengguna dan sandi Google mereka.
  • Klien seperti Gmail untuk iOS, Drive untuk iOS, Chrome Browser Sync, penyiapan Android, dll. menggunakan autentikasi Google. Jika mencoba masuk dengan klien ini, Anda akan diminta untuk memasukkan alamat email lengkap akun Google Apps Anda (termasuk nama pengguna dan domain) dan langsung masuk ke aplikasi setelah Anda masuk. Google tidak mengalihkan Anda ke laman masuk SSO, terlepas dari network mask.
Bagaimana cara menyiapkan SSO di perangkat Chrome? Saya memiliki pertanyaan yang tidak diulas di atas.

Untuk menyelesaikan masalah umum, lihat Memecahkan Masalah Single Sign-On. Juga ada sejumlah produk komersial dan integrator sistem yang menyediakan produk dan layanan profesional SSO. Telusuri Google Apps Marketplace untuk menemukanGoogle for Work mitra dan pihak ketiga lain yang menyediakan bantuan untuk SSO.

Apakah artikel ini membantu?