Single sign-on (SSO) memungkinkan pengguna login ke semua aplikasi cloud perusahaan menggunakan kredensial Akun Google terkelola milik mereka. Google menawarkan SSO praintegrasi dengan lebih dari 200 aplikasi cloud populer.
Lakukan langkah-langkah berikut untuk menyiapkan SSO berbasis SAML dengan aplikasi kustom yang tidak ada dalam katalog praintegrasi.
Menyiapkan aplikasi SAML kustom Anda sendiri
Langkah 1: Tambahkan aplikasi SAML kustom-
Login ke Konsol Google Admin.
Login menggunakan akun yang memiliki hak istimewa administrator super (yang tidak diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu AplikasiAplikasi seluler dan web.
- Klik Tambahkan AplikasiTambahkan aplikasi SAML kustom.
Masukkan aplikasi nama dan upload ikon untuk aplikasi Anda (opsional). Ikon aplikasi muncul di daftar Aplikasi web dan seluler, di halaman setelan aplikasi, dan di peluncur aplikasi. Jika Anda tidak mengupload ikon, ikon akan dibuat menggunakan dua huruf pertama dari nama aplikasi. - Klik Lanjutkan.
- Di halaman Detail Penyedia Identitas Google, dapatkan informasi penyiapan yang dibutuhkan penyedia layanan menggunakan salah satu opsi berikut:
- Download Metadata IDP.
- Salin URL SSO dan ID Entitas, lalu download Sertifikat (atau sidik jari SHA-256, jika diperlukan).
- (Opsional) Untuk memasukkan informasi ke halaman konfigurasi SSO yang sesuai, di tab atau jendela browser terpisah, login ke penyedia layanan dan masukkan informasi yang Anda salin pada Langkah 5, lalu kembali ke konsol Admin.
- Klik Lanjutkan.
- Hubungi penyedia layanan Anda untuk mengetahui nilai kolom ini. Di jendela Detail Penyedia Layanan, masukkan:
- URL ACS—URL Assertion Consumer Service penyedia layanan menerima respons SAML. URL harus diawali dengan https://.
- ID Entitas—Nama unik global.
- URL Mulai—(Opsional) Tindakan ini menetapkan parameter RelayState di Permintaan SAML, yang dapat berupa URL yang menjadi tujuan pengalihan setelah autentikasi.
- (Opsional) Untuk menunjukkan bahwa penyedia layanan Anda mewajibkan seluruh respons autentikasi SAML ditandatangani, centang kotak Respons yang Ditandatangani. Jika tidak dicentang (default), hanya pernyataan dalam respons yang akan ditandatangani.
- (Opsional) Setel format Name ID dan nilai Name ID untuk aplikasi SAML kustom. Name ID default adalah email utama.
Tips: Periksa artikel penyiapan dalam katalog aplikasi SAML kami untuk mengetahui pemetaan Name ID apa pun yang diperlukan untuk aplikasi dalam katalog. Jika perlu, Anda juga dapat membuat atribut khusus, di konsol Admin atau melalui API Google Admin SDK, dan memetakan ke atribut tersebut. - Klik Lanjutkan.
- Jika perlu, klik Tambahkan pemetaan untuk memetakan atribut pengguna berdasarkan persyaratan penyedia layanan.
Catatan: Anda dapat menentukan maksimum 10.000 atribut untuk semua aplikasi. Karena setiap aplikasi memiliki satu atribut default, jumlahnya mencakup atribut default serta atribut khusus apa pun yang Anda tambahkan.- Di bagian Atribut Direktori Google, klik menu Pilih kolom untuk memilih nama kolom. Tidak semua atribut direktori Google tersedia di menu drop-down. Jika atribut yang ingin dipetakan (misalnya, email Pengelola) tidak tersedia, Anda dapat menambahkan atribut tersebut sebagai atribut khusus agar tersedia di sini untuk dipilih.
- Di bagian Atribut aplikasi, masukkan atribut yang sesuai untuk aplikasi SAML kustom Anda.
-
(Opsional) Guna memasukkan nama grup yang relevan untuk aplikasi ini:
- Untuk Keanggotaan grup (opsional), klik Telusuri grup, masukkan satu atau beberapa huruf dari nama grup, lalu pilih nama grup.
- Tambahkan grup lainnya sesuai kebutuhan (maksimum 75 grup).
- Untuk Atribut aplikasi, masukkan nama atribut kelompok dari penyedia layanan yang sesuai.
Terlepas dari jumlah nama grup yang Anda masukkan, respons SAML hanya menyertakan grup tempat pengguna bergabung (secara langsung atau tidak langsung). Untuk mengetahui informasi selengkapnya, buka Tentang pemetaan keanggotaan grup.
- Klik Selesai.
-
Login ke Konsol Google Admin.
Login menggunakan akun yang memiliki hak istimewa administrator super (yang tidak diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu AplikasiAplikasi seluler dan web.
- Pilih aplikasi SAML.
-
Klik Akses pengguna.
-
Untuk mengaktifkan atau menonaktifkan layanan bagi semua orang di organisasi, klik Aktif untuk semua orang atau Nonaktif untuk semua orang, lalu klik Simpan.
-
(Opsional) Untuk mengaktifkan atau menonaktifkan layanan bagi unit organisasi:
- Di sebelah kiri, pilih unit organisasi.
- Untuk mengubah status Layanan, pilih Aktif atau Nonaktif.
- Pilih salah satu:
- Jika status Layanan ditetapkan ke Diwariskan dan Anda ingin mempertahankan setelan yang telah diperbarui meskipun setelan induknya berubah, klik Ganti.
- Jika status Layanan ditetapkan ke Diganti, klik Warisi untuk kembali ke setelan yang sama dengan induknya, atau klik Simpan untuk menyimpan setelan baru meskipun setelan induknya berubah.
Catatan: Pelajari struktur organisasi lebih lanjut.
-
Untuk mengaktifkan layanan bagi sekumpulan pengguna di seluruh atau di dalam unit organisasi, pilih grup akses. Untuk mengetahui detailnya, buka mengaktifkan layanan untuk grup.
- Pastikan alamat email yang digunakan pengguna untuk login ke aplikasi SAML cocok dengan alamat email yang mereka gunakan untuk login ke domain Google Anda.
Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut
Anda dapat menguji SSO yang dimulai Penyedia Identitas (IdP) dan SSO yang dimulai penyedia layanan (SP).
Dimulai IdP
-
Login ke Konsol Google Admin.
Login menggunakan akun yang memiliki hak istimewa administrator super (yang tidak diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu AplikasiAplikasi seluler dan web.
- Pilih aplikasi SAML kustom.
- Di kiri atas, klik Uji login SAML.
Aplikasi Anda akan terbuka di tab terpisah. Jika tidak, gunakan informasi di pesan error aplikasi SAML yang dihasilkan untuk memperbarui setelan IdP dan SP sesuai kebutuhan, lalu uji ulang login SAML.
Dimulai SP
- Buka URL SSO untuk aplikasi SAML Anda yang baru. Anda akan otomatis dialihkan ke halaman login dengan Google.
- Masukkan nama pengguna dan sandi Anda.
Setelah kredensial login Anda diautentikasi, Anda akan dialihkan kembali ke aplikasi SAML baru secara otomatis.