Уведомление

На смену Duet AI приходит Gemini для Google Workspace. Подробнее…

Как настроить SAML-приложение

Использование системы единого входа на базе SAML

Система единого входа позволяет входить в корпоративные облачные приложения, указывая учетные данные управляемого аккаунта Google. Google предоставляет предварительно интегрированную систему единого входа для более чем 200 популярных облачных приложений.

Для остальных приложений вы можете самостоятельно настроить систему единого входа на базе SAML. Для этого следуйте приведенным ниже инструкциям.

Как настроить SAML-приложение

Развернуть все  |  Свернуть все

Шаг 1. Добавьте пользовательское SAML-приложение

  

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Приложенияа затемМобильные и веб-приложения.
  3. Нажмите Добавить приложение>Добавить пользовательское SAML-приложение.
    Введите название приложения. Вы также можете загрузить значок, и он появится в списке веб- и мобильных приложений, на странице настроек приложений и на панели запуска приложений. Если значок не загружать, он будет создан автоматически из первых двух букв названия приложения.
  4. Нажмите Продолжить.
  5. На странице Сведения о поставщике идентификационной информации Google найдите информацию о настройке, необходимую поставщику услуг, одним из способов:
    1. Скачайте метаданные поставщика идентификационной информации.
    2. Скопируйте URL системы единого входа и идентификатор объекта и скачайте сертификат (или, если требуется, отпечаток SHA-256).
  6. При необходимости в отдельном окне или вкладке браузера войдите на сайт поставщика услуг и введите на странице настройки системы единого входа данные, скопированные на шаге 5. Затем вернитесь в консоль администратора.
  7. Нажмите Продолжить.
  8. Значения этих полей можно узнать у поставщика услуг. В окне Сведения о поставщике услуг заполните следующие поля:
    1. URL ACS. URL Assertion Control Service поставщика услуг получает ответ SAML, который должен начинаться с https://.
    2. Идентификатор объекта. Глобально уникальное название.
    3. URL стартовой страницы (необязательно). Настраивает параметр RelayState в запросе SAML. На этот URL может выполняться переадресация после аутентификации.
  9. Если вашему поставщику услуг требуется подпись всего ответа при аутентификации SAML, установите флажок "Подписанный ответ". Если этот флажок снят (это значение по умолчанию), подписывается только утверждение в ответе.
  10. Вы можете указать формат и значение параметра Идентификатор названия для пользовательского SAML-приложения. В поле Идентификатор названия по умолчанию указывается основной адрес электронной почты.
    Совет. Сопоставления идентификаторов названий, необходимых для SAML-приложений, можно найти в статьях по настройке в нашем каталоге. Вы также можете создать настраиваемые атрибуты в консоли администратора или при помощи Google Admin SDK API и выполнить сопоставление с ними.
  11. Нажмите Продолжить.
  12. Если необходимо, нажмите Добавить сопоставление, чтобы сопоставить атрибуты пользователей в зависимости от требований поставщика услуг.
    Примечание. Максимальное число атрибутов, которое можно задать для приложений, составляет 1500. Приложения имеют по одному атрибуту по умолчанию, которые также учитываются при расчете количества атрибутов.
    1. В разделе Атрибуты каталога Google выберите поле. В раскрывающемся списке доступны не все атрибуты каталога Google. Если атрибут, который вы хотите сопоставить (например, Адрес эл. почты руководителя), недоступен, вы можете добавить его в виде настраиваемого атрибута.
    2. В разделе Атрибуты приложений введите соответствующий атрибут для SAML-приложения.
  13. Если нужно указать названия групп для этого приложения:
    1. В разделе Участие в группах (необязательно) нажмите Поиск групп, введите одну или несколько начальных букв названия группы и выберите нужное.
    2. При необходимости добавьте группы (не более 75).
    3. В разделе Атрибут приложения укажите название соответствующего атрибута группы поставщика услуг.

    Сколько бы групп ни указал администратор, в ответ SAML будет включена информация только о тех группах, участником которых пользователь прямо или косвенно является. Подробнее о сопоставлении информации об участии в группах

  14. Нажмите Готово.
Шаг 2. Включите SAML-приложение
  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Приложенияа затемМобильные и веб-приложения.
  3. Выберите SAML-приложение.
  4.  Нажмите Доступ пользователей.

  5. Чтобы включить или отключить сервис для всех пользователей в организации, нажмите Включено для всех или Отключено для всех, а затем выберите Сохранить.

  6. При необходимости включите или выключите сервис для организационного подразделения:
    1. В левой части страницы выберите организационное подразделение.
    2. Для статуса сервиса выберите значение Вкл. или Выкл.
    3. Выберите один из вариантов:
      • Если для статуса сервиса установлено значение Унаследовано и вы хотите, чтобы настройка продолжала действовать при изменении параметров родительской организации, нажмите Переопределить.
      • Если установлено значение Переопределено, нажмите Наследовать, чтобы применить настройки родительской организации, или Сохранить, чтобы использовать новое значение параметра (даже если настройки родительской организации изменятся).
        Подробнее о структуре организации
  7. Чтобы включить сервис для определенных пользователей, входящих в одно или разные организационные подразделения, выберите группу доступа. Подробнее о том, как включить сервис для группы
  8. Убедитесь, что для входа в SAML-приложение используются те же адреса электронной почты, что и для входа в домен Google.

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Шаг 3. Убедитесь, что система единого входа работает с вашим приложением

Вы можете проверить как систему единого входа, инициируемую поставщиком идентификационной информации, так и систему, инициируемую поставщиком услуг.

При инициализации со стороны поставщика идентификационной информации

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Приложенияа затемМобильные и веб-приложения.
  3. Выберите SAML-приложение. 
  4. В левом верхнем углу экрана нажмите Проверить вход через SAML.

    Приложение должно открыться в новой вкладке. Если этого не произойдет, измените настройки поставщика идентификационной информации и поставщика услуг на основе сведений в сообщениях об ошибках SAML-приложений, а затем проверьте вход через SAML ещё раз.

При инициализации со стороны поставщика услуг

  1. Откройте URL системы единого входа для вашего нового SAML-приложения. Вы будете автоматически перенаправлены на страницу входа в аккаунт Google.
  2. Введите имя пользователя и пароль.

    После проверки учетных данных вы будете перенаправлены в SAML-приложение.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
10041449224540704617
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false