О системе единого входа (SSO)

Система единого входа (SSO) позволяет пользователям входить во множество облачных приложений с помощью одного набора учетных данных. Workspace (и Google Cloud Platform) поддерживает SSO сторонних поставщиков идентификационной информации (IdP).

Workspace поддерживает протоколы SSO на основе SAML и OIDC. SSO на основе SAML поддерживает любого поставщика идентификационной информации. В настоящее время OIDC поддерживает только Microsoft Entra ID.

Чтобы использовать SSO, настройте профили SSO, а затем назначьте их группам пользователей или организационным подразделениям. Это позволит поддерживать несколько поставщиков идентификационной информации и тестировать конфигурации SSO. Рекомендуем использовать именно такой вариант SSO. Также доступен устаревший профиль SSO для организаций (только SAML).

Система SSO также доступна на устройствах Chrome. Подробная информация приведена в статье Как настроить систему единого входа на базе SAML для устройств с ChromeOS.

Дополнительная проверка после SSO

Когда вы настроите систему единого входа, пользователи смогут входить в сервисы сторонних поставщиков идентификационной информации, чтобы иметь доступ к приложениям Google без дополнительной проверки. При этом действуют следующие ограничения:

  • Даже если пользователи уже вошли в сервис стороннего поставщика идентификационной информации, в качестве дополнительной меры безопасности Google будет иногда запрашивать подтверждение личности. Дополнительные сведения и информацию о том, как отключить процесс подтверждения, можно найти в статье "Как работает безопасный вход на базе SAML".
  • Вы можете настроить дополнительную двухэтапную аутентификацию для пользователей с доступом к сервисам Google. Как правило, если система единого входа включена, двухэтапная аутентификация не выполняется. Узнать больше об этом можно в разделе "Использование дополнительной аутентификации с системой единого входа".
Принцип работы партнерской системы единого входа на базе SAML

На рисунке 1 представлен процесс входа в Gmail с помощью партнерской системы единого входа на базе SAML. Под рисунком вы найдете нумерованный список с подробным описанием каждого этапа.

Важно! Перед началом процесса партнер должен предоставить Google ссылку на свою систему единого входа, а также открытый ключ, с помощью которого Google сможет проверять ответы SAML.

Рисунок 1. Процесс входа в приложение Google с помощью партнерской системы единого входа на базе SAML.

На рисунке представлены следующие этапы входа:

  1. Пользователь пытается перейти к приложению Google, например Gmail, Календарю и т. д.
  2. Google генерирует запрос аутентификации по стандарту SAML. Он шифруется и встраивается в URL партнерской системы единого входа. Вместе с ним встраивается параметр RelayState, содержащий зашифрованный URL приложения Google, к которому пытается перейти пользователь. Этот параметр является скрытым идентификатором, который возвращается в браузер без изменений и без проверок.
  3. Google отправляет браузеру URL переадресации, содержащий зашифрованный SAML-запрос, который будет передан партнерской SSO.
  4. Браузер перенаправляет пользователя по URL системы единого входа.
  5. Партнер расшифровывает SAML-запрос и находит ссылку на сервис Assertion Consumer Service компании Google (ACS) и целевой URL (параметр RelayState).
  6. Затем партнер проводит аутентификацию пользователя, запрашивая пароль или выполняя поиск файлов cookie сеанса.
  7. Партнер генерирует SAML-ответ, содержащий имя пользователя, прошедшего аутентификацию. В соответствии со спецификацией SAML 2.0, ответ подписывается открытым и закрытым ключом DSA или RSA, принадлежащим партнеру.
  8. Партнер шифрует SAML-ответ и параметр RelayState, а затем отправляет данные обратно в браузер. Партнер предоставляет механизм, с помощью которого браузер передает данные в ACS Google. Это может быть как форма с SAML-ответом и целевым URL, которую пользователь отправляет в Google, нажимая кнопку, так и код JavaScript, который отправляет форму в Google.
  9. Браузер отправляет ответ по URL ACS. ACS проверяет SAML-ответ с помощью открытого ключа партнера. Если проверка проходит успешно, ACS переадресует пользователя на целевой URL.
  10. Пользователь выполнил вход в приложение Google.

Как синхронизировать аккаунты пользователей между системами поставщика идентификационной информации и Google

Чтобы упростить управление жизненным циклом пользователей, в большинстве организаций, в которых используется SSO, также выполняется синхронизация данных каталога пользователей, размещенных у поставщика идентификационной информации, с системами Google. Если настроена синхронизация, новые (или удаленные) пользователи на стороне поставщика идентификационной информации автоматически добавляются или удаляются как пользователи Workspace. Google Directory Sync поддерживает Active Directory и Entra ID. Большинство поставщиков идентификационной информации поддерживают синхронизацию с Google. Инструкции по настройке вы найдете в документации поставщика.

SSO и Secure LDAP

Для функции Secure LDAP требуется пароль Google – она несовместима с SSO.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
1067192533099810725
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false