О системе единого входа (SSO)

Когда вы настроите систему единого входа, пользователи смогут входить в сервисы сторонних поставщиков идентификационной информации, чтобы иметь доступ к приложениям Google без дополнительной проверки. При этом действуют следующие ограничения:

• Даже если пользователи уже вошли в сервис стороннего поставщика идентификационной информации, в качестве дополнительной меры безопасности Google будет иногда запрашивать подтверждение личности. Дополнительные сведения и информацию о том, как отключить процесс подтверждения, можно найти в статье "Как работает безопасный вход на базе SAML".
• Вы можете настроить дополнительную двухэтапную аутентификацию для пользователей с доступом к сервисам Google. Как правило, если система единого входа включена, двухэтапная аутентификация не выполняется. Узнать больше об этом можно в разделе "Использование дополнительной аутентификации с системой единого входа".

На рисунке 1 представлен процесс входа в Gmail с помощью партнерской системы единого входа на базе SAML. Под рисунком вы найдете нумерованный список с подробным описанием каждого этапа.

Важно! Перед началом процесса партнер должен предоставить Google ссылку на свою систему единого входа, а также открытый ключ, с помощью которого Google сможет проверять ответы SAML.

Рисунок 1. Процесс входа в приложение Google с помощью партнерской системы единого входа на базе SAML.

На рисунке представлены следующие этапы входа:

1. Пользователь пытается перейти к приложению Google, например Gmail, Календарю и т. д.
2. Google генерирует запрос аутентификации по стандарту SAML. Он шифруется и встраивается в URL партнерской системы единого входа. Вместе с ним встраивается параметр RelayState, содержащий зашифрованный URL приложения Google, к которому пытается перейти пользователь. Этот параметр является скрытым идентификатором, который возвращается в браузер без изменений и без проверок.
3. Google отправляет браузеру URL переадресации, содержащий зашифрованный SAML-запрос, который будет передан партнерской SSO.
4. Браузер перенаправляет пользователя по URL системы единого входа.
5. Партнер расшифровывает SAML-запрос и находит ссылку на сервис Assertion Consumer Service компании Google (ACS) и целевой URL (параметр RelayState).
6. Затем партнер проводит аутентификацию пользователя, запрашивая пароль или выполняя поиск файлов cookie сеанса.
7. Партнер генерирует SAML-ответ, содержащий имя пользователя, прошедшего аутентификацию. В соответствии со спецификацией SAML 2.0, ответ подписывается открытым и закрытым ключом DSA или RSA, принадлежащим партнеру.
8. Партнер шифрует SAML-ответ и параметр RelayState, а затем отправляет данные обратно в браузер. Партнер предоставляет механизм, с помощью которого браузер передает данные в ACS Google. Это может быть как форма с SAML-ответом и целевым URL, которую пользователь отправляет в Google, нажимая кнопку, так и код JavaScript, который отправляет форму в Google.
9. Браузер отправляет ответ по URL ACS. ACS проверяет SAML-ответ с помощью открытого ключа партнера. Если проверка проходит успешно, ACS переадресует пользователя на целевой URL.
10. Пользователь выполнил вход в приложение Google.