ตั้งค่าแอป SAML ที่กำหนดเองของคุณ

ใช้ SSO แบบ SAML

การลงชื่อเพียงครั้งเดียว (SSO) ช่วยให้ผู้ใช้ลงชื่อเข้าใช้แอประบบคลาวด์ขององค์กรทั้งหมดได้โดยใช้ข้อมูลเข้าสู่ระบบบัญชี Google ที่มีการจัดการ Google มี SSO ที่รวมไว้แล้วล่วงหน้าในแอประบบคลาวด์ยอดนิยมกว่า 200 รายการ

ทำตามขั้นตอนต่อไปนี้เพื่อตั้งค่า SSO ที่ใช้ SAML กับแอปที่กำหนดเองซึ่งไม่ได้รวมไว้แล้วล่วงหน้า

ตั้งค่าแอป SAML ที่กำหนดเองของคุณ

ขยายทั้งหมด | ยุบทั้งหมด

ขั้นตอนที่ 1: เพิ่มแอป SAML ที่กำหนดเอง

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
คลิกเพิ่มแอปเพิ่มแอป SAML ที่กำหนดเอง
ป้อนชื่อแอป จากนั้นอัปโหลดไอคอนสำหรับแอปของคุณ (ไม่บังคับ) ซึ่งไอคอนแอปจะปรากฏในรายการของแอปบนเว็บและอุปกรณ์เคลื่อนที่ ในหน้าการตั้งค่าแอป และในตัวเปิดแอป หากคุณไม่ได้อัปโหลดไอคอนไว้ ระบบจะสร้างไอคอนจะขึ้นโดยใช้ตัวอักษร 2 ตัวแรกของชื่อแอป
คลิกต่อไป
รับข้อมูลการติดตั้งที่ผู้ให้บริการต้องการในหน้ารายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google โดยใช้ตัวเลือกใดตัวเลือกหนึ่งต่อไปนี้
1. ดาวน์โหลดข้อมูลเมตาของ IDP
2. คัดลอก SSO URL และรหัสเอนทิตี แล้วดาวน์โหลดใบรับรอง (หรือลายนิ้วมือ SHA-256 หากจำเป็น)
(ไม่บังคับ) หากต้องการป้อนข้อมูลลงในหน้าการกำหนดค่า SSO ที่เหมาะสม ให้ลงชื่อเข้าใช้ผู้ให้บริการในแท็บเบราว์เซอร์หรือหน้าต่างแยกต่างหาก และป้อนข้อมูลที่คัดลอกในขั้นตอนที่ 5 จากนั้นกลับไปที่คอนโซลผู้ดูแลระบบ
คลิกต่อไป
ติดต่อผู้ให้บริการสำหรับค่าในช่องเหล่านี้ ในหน้าต่างรายละเอียดผู้ให้บริการ ให้ป้อนข้อมูลดังนี้
1. ACS URL - URL บริการลูกค้าเกี่ยวกับการยืนยันของผู้ให้บริการจะได้รับการตอบกลับ SAML โดยต้องขึ้นต้นด้วย https://
2. รหัสเอนทิตี - ชื่อที่ไม่ซ้ำกันทั่วโลก
3. URL เริ่มต้น - (ไม่บังคับ) ใช้เพื่อตั้งค่าพารามิเตอร์ RelayState ในคำขอ SAML ซึ่งอาจเป็น URL ที่จะเปลี่ยนเส้นทางหลังจากการตรวจสอบสิทธิ์
(ไม่บังคับ) หากต้องการระบุว่าผู้ให้บริการกำหนดให้ต้องลงชื่อในการตอบกลับการตรวจสอบสิทธิ์ SAML ทั้งหมด ให้เลือกช่องการตอบกลับที่ลงชื่อ หากไม่ได้เลือก (ค่าเริ่มต้น) ระบบจะลงชื่อเฉพาะการยืนยันภายในการตอบกลับเท่านั้น
(ไม่บังคับ) ตั้งค่ารูปแบบรหัสชื่อและค่ารหัสชื่อสำหรับแอป SAML ที่กำหนดเองของคุณ โดยรหัสชื่อเริ่มต้นคืออีเมลหลัก
เคล็ดลับ: อ่านบทความเรื่องการตั้งค่าในแคตตาล็อกแอป SAML เพื่อดูการแมปรหัสชื่อที่ต้องใช้สำหรับแอปในแคตตาล็อก คุณสามารถสร้างแอตทริบิวต์ที่กำหนดเองในคอนโซลผู้ดูแลระบบหรือผ่าน Google Admin SDK API แล้วแมปไปยังแอตทริบิวต์ดังกล่าวได้
คลิกต่อไป
หากจำเป็น ให้คลิกเพิ่มการแมปเพื่อแมปแอตทริบิวต์ผู้ใช้ตามข้อกำหนดของผู้ให้บริการ
หมายเหตุ: คุณจะกำหนดแอตทริบิวต์สำหรับแอปทั้งหมดได้สูงสุด 1,500 รายการ เนื่องจากแต่ละแอปจะมีแอตทริบิวต์เริ่มต้นอยู่แล้วหนึ่งรายการ จำนวนที่มีจึงจะนับรวมแอตทริบิวต์เริ่มต้นและแอตทริบิวต์ที่กำหนดเองที่คุณเพิ่มด้วย
1. คลิกเมนูเลือกช่องในส่วนแอตทริบิวต์ Google Directory เพื่อเลือกชื่อช่อง แอตทริบิวต์ไดเรกทอรีของ Google บางรายการอาจไม่มีอยู่ในรายการแบบเลื่อนลง หากไม่มีแอตทริบิวต์ที่ต้องการแมป (เช่น อีเมลของผู้จัดการ) คุณอาจเพิ่มแอตทริบิวต์นั้นเป็นแอตทริบิวต์ที่กำหนดเอง ซึ่งจะทำให้เลือกแอตทริบิวต์ดังกล่าวได้ที่นี่
2. ป้อนแอตทริบิวต์ที่สอดคล้องกันสำหรับแอป SAML ที่กำหนดเองของคุณในส่วนการแมปแอตทริบิวต์
(ไม่บังคับ) หากต้องการป้อนชื่อกลุ่มที่เกี่ยวข้องกับแอปนี้ ให้ทำดังนี้
1. สำหรับการเป็นสมาชิกกลุ่ม (ไม่บังคับ) ให้คลิกค้นหากลุ่ม แล้วป้อนตัวอักษรของชื่อกลุ่มอย่างน้อย 1 ตัว จากนั้นเลือกชื่อกลุ่ม
2. เพิ่มกลุ่มอีกตามต้องการ (สูงสุด 75 กลุ่ม)
3. ป้อนชื่อแอตทริบิวต์กลุ่มที่เกี่ยวข้องของผู้ให้บริการสำหรับแอตทริบิวต์แอป
ไม่ว่าคุณจะป้อนชื่อกลุ่มกี่รายการก็ตาม คำตอบของ SAML จะรวมเฉพาะกลุ่มที่ผู้ใช้เป็นสมาชิกอยู่เท่านั้น (ทั้งโดยตรงหรือโดยอ้อม) โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเกี่ยวกับการเชื่อมโยงการเป็นสมาชิกกลุ่ม
คลิกเสร็จสิ้น

ขั้นตอนที่ 2: เปิดแอป SAML

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
เลือกแอป SAML
คลิกสิทธิ์การเข้าถึงของผู้ใช้
หากต้องการเปิดหรือปิดบริการให้ทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก
(ไม่บังคับ) วิธีเปิดหรือปิดบริการสำหรับหน่วยขององค์กร
1. เลือกหน่วยขององค์กรทางด้านซ้าย
2. หากต้องการเปลี่ยนสถานะบริการ ให้เลือกเปิดหรือปิด
3. เลือกการตั้งค่าแบบใดแบบหนึ่งต่อไปนี้
  - หากตั้งค่าสถานะบริการเป็นรับค่า และคุณต้องการคงการตั้งค่าที่อัปเดตแล้วไว้ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป ให้คลิกลบล้าง
  - หากตั้งค่าสถานะบริการเป็นลบล้าง ให้คลิกรับค่าเพื่อเปลี่ยนกลับเป็นการตั้งค่าเดียวกันกับระดับบนสุด หรือคลิกบันทึกเพื่อคงการตั้งค่าใหม่ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป
    หมายเหตุ: ดูข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างองค์กร
หากต้องการเปิดบริการให้กับกลุ่มผู้ใช้ในหน่วยขององค์กร ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อเปิดบริการให้กับกลุ่ม
ตรวจสอบว่าอีเมลที่ผู้ใช้ลงชื่อเข้าใช้แอป SAML ตรงกับอีเมลที่ลงชื่อเข้าใช้โดเมน Google ของคุณ

การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

ขั้นตอนที่ 3: ยืนยันว่า SSO ทำงานร่วมกับแอปที่กำหนดเองได้

คุณสามารถทดสอบได้ทั้ง SSO จากผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP)

โหมดที่ใช้ IdP

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
เลือกแอป SAML ที่กำหนดเอง
คลิกทดสอบการเข้าสู่ระบบผ่าน SAML ที่ด้านซ้ายบน
ระบบจะเปิดแอปขึ้นมาในแท็บใหม่ หากไม่มีแท็บใหม่เปิดขึ้นมา ให้นำข้อมูลที่ได้จากข้อความแสดงข้อผิดพลาดของแอป SAML ที่ระบบแจ้งไปอัปเดตการตั้งค่า IdP และ SP ให้เหมาะสม จากนั้นจึงทดสอบการเข้าสู่ระบบ SAML อีกครั้ง

โหมดที่ใช้ SP

เปิด URL สำหรับ SSO ของแอป SAML ใหม่ แล้วระบบจะเปลี่ยนเส้นทางคุณไปยังหน้าลงชื่อเข้าใช้ของ Google โดยอัตโนมัติ
ป้อนชื่อผู้ใช้และรหัสผ่าน
หลังจากตรวจสอบสิทธิ์ข้อมูลการลงชื่อเข้าใช้แล้ว ระบบจะพาคุณกลับไปที่แอป SAML ใหม่

หัวข้อที่เกี่ยวข้อง

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร

ตั้งค่าแอป SAML ที่กำหนดเองของคุณ