Com o Logon único (SSO), é possível usar as credenciais da Conta do Google gerenciada para fazer login em todos os apps corporativos na nuvem. O Google oferece SSO pré-integrado com mais de 200 apps na nuvem muito conhecidos.
Siga estas etapas para configurar o SSO baseado em SAML em um app personalizado que não esteja no catálogo pré-integrado.
Instalar seu app SAML personalizado
Etapa 1: adicionar o app SAML personalizado-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
- Clique em Adicionar appAdicionar app SAML personalizado.
Digite o app. e, se quiser, fazer upload de um ícone para o app. O ícone do app aparece na lista de apps da Web e para dispositivos móveis, na página de configurações do app e no Acesso rápido aos apps. Se você não fizer upload de um ícone, ele será criado usando as duas primeiras letras do nome do app. - Clique em Continuar.
- Na página Detalhes do provedor de identidade do Google, acesse as informações de configuração exigidas pelo provedor de serviços usando uma destas opções:
- Faça o download dos Metadados do IDP.
- Copie o URL do SSO e o ID da entidade e faça o download do certificado (ou da impressão digital SHA-256 se necessário).
- (Opcional) Para digitar as informações na página de configuração do SSO, em uma guia ou janela separada do navegador, faça login no provedor de serviços, digite as informações copiadas na Etapa 5 e volte ao Admin Console.
- Clique em Continuar.
- Entre em contato com seu provedor de serviços para receber esses valores de campo. Na janela Detalhes do provedor do serviço, digite o seguinte:
- URL do ACS: o URL do serviço de declaração de consumidor do provedor de serviços recebe a resposta SAML. Ele precisa começar com https://.
- ID da entidade: o nome exclusivo globalmente.
- URL de início: (opcional) define o parâmetro RelayState em uma solicitação SAML, que pode ser um URL para redirecionamento após a autenticação.
- (Opcional) Para indicar que seu provedor de serviços exige que toda a resposta de autenticação SAML seja assinada, marque a caixa Resposta assinada. Se esta opção estiver desmarcada (o padrão), apenas a declaração na resposta será assinada.
- (Opcional) Defina o formato do ID de nome e o valor do ID de nome do app SAML personalizado. O ID de nome padrão é o e-mail principal.
Dica: leia os artigos sobre configuração no nosso catálogo de apps SAML e veja os mapeamentos de ID de nome necessários para os apps no catálogo. Também é possível criar atributos personalizados no Admin Console ou nas APIs do Google Admin SDK e mapear para esses atributos. - Clique em Continuar.
- Se necessário, clique em Adicionar mapeamento para mapear os atributos do usuário com base nos requisitos do provedor de serviços.
Observação: você pode definir no máximo 1.500 atributos para todos os apps. Como cada app tem um atributo padrão, ele será contabilizado com os outros atributos personalizados que você adicionar.- Em Atributos do diretório do Google, clique no menu Selecionar campo e escolha um nome de campo. Nem todos os atributos do diretório do Google estão disponíveis na lista suspensa. Se um atributo que você quer mapear (por exemplo, o e-mail do gerente) não estiver disponível, você pode adicionar esse atributo como um atributo personalizado. Com isso, ele ficará disponível para seleção.
- Em Atributos do app, digite o atributo correspondente do app SAML personalizado.
-
(Opcional) Para inserir nomes de grupos relevantes para este app:
- Em Associação ao grupo (opcional), clique em Pesquisar um grupo, digite uma ou mais letras do nome do grupo e selecione o nome.
- Adicione outros grupos conforme necessário (máximo de 75 grupos).
- Em Atributo do app, digite o nome do atributo de grupo do provedor de serviços correspondente.
Independentemente do total de nomes de grupo informados, a resposta SAML inclui apenas grupos de que o usuário faz parte (direta ou indiretamente). Confira mais informações em Sobre o mapeamento de associações a grupos.
- Clique em Concluir.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
- Selecione o app SAML.
-
Clique em Acesso do usuário.
-
Se você quiser ativar ou desativar um serviço para todos na organização, clique em Ativar para todos ou Desativar para todos, depois clique em Salvar.
-
(Opcional) Se você quiser ativar ou desativar um serviço para uma unidade organizacional:
- Selecione a unidade organizacional à esquerda.
- Para mudar o status do serviço, selecione Ativado ou Desativado.
- Escolha uma opção:
- Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Modificar.
- Caso o status do serviço esteja definido como Modificado, clique em Herdar para usar a configuração mãe ou clique em Salvar para manter a nova configuração mesmo que a configuração mãe seja alterada.
Observação: saiba mais sobre a estrutura organizacional.
-
Para ativar um serviço para um grupos de usuários de uma ou várias unidades organizacionais, selecione um grupo de acesso. Veja mais detalhes em Ativar um serviço para um grupo.
- Verifique se os endereços de e-mail que os usuários utilizam para fazer login no app SAML correspondem aos que eles utilizam para fazer login no domínio do Google.
As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais
É possível testar o SSO iniciado pelo provedor de identidade (IdP) e pelo provedor de serviços (SP).
Iniciado pelo IdP
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
- Selecione o app SAML personalizado.
- No canto superior esquerdo, clique em Testar login SAML.
O app abrirá uma guia separada. Se isso não acontecer, use as informações nas mensagens de erro do app SAML para atualizar as configurações do IdP e do SP conforme necessário e teste o login SAML novamente.
Iniciado pelo SP
- Abra o URL do SSO do novo app SAML. A página de login do Google será aberta.
- Digite seu nome de usuário e a senha.
Depois da autenticação das credenciais de login, você voltará para o novo app SAML.