การลงชื่อเพียงครั้งเดียว (SSO) ช่วยให้ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชันระบบคลาวด์ขององค์กรทั้งหมดได้โดยใช้ข้อมูลรับรองบัญชี Google ที่มีการจัดการ Google จะให้บริการ SSO ที่รวมไว้แล้วพร้อมกับแอปพลิเคชันระบบคลาวด์ยอดนิยมมากกว่า 200 รายการ
หากต้องการตั้งค่า SSO แบบ SAML ด้วยแอปพลิเคชันที่กำหนดเองซึ่งไม่ได้อยู่ในแคตตาล็อกที่รวมไว้แล้ว ให้ทำตามขั้นตอนด้านล่าง
ตั้งค่าแอป SAML ที่กำหนดเองของคุณ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่แอป
แอปในเว็บและอุปกรณ์เคลื่อนที่
- คลิกเพิ่ม
ที่ด้านขวาล่าง
- คลิกตั้งค่าแอปที่กำหนดเองของคุณ
หน้าต่างข้อมูล Google IDP จะเปิดขึ้นและ URL ของ SSO และระบบจะสร้างช่องรหัสเอนทิตี ขึ้นโดยอัตโนมัติ - ดูข้อมูลการตั้งค่าที่ผู้ให้บริการจำเป็นต้องใช้โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้
- คัดลอก URL ของ SSO และรหัสเอนทิตี แล้วดาวน์โหลดใบรับรอง
- ดาวน์โหลดข้อมูลเมตาของ IdP
- (ไม่บังคับ) ในแท็บเบราว์เซอร์หรือหน้าต่างแยก ให้ลงชื่อเข้าใช้ผู้ให้บริการและป้อนข้อมูลที่คัดลอกในขั้นตอนที่ 5 ลงในหน้าการกำหนดค่า SSO ที่เหมาะสม จากนั้นกลับไปที่คอนโซลผู้ดูแลระบบ
- คลิกถัดไป
- ใส่ชื่อแอปพลิเคชันและรายละเอียดในหน้าต่างข้อมูลพื้นฐาน
- (ไม่บังคับ) อัปโหลดไฟล์ PNG หรือ GIF เพื่อใช้เป็นไอคอนสำหรับแอปที่กำหนดเอง โดยรูปภาพไอคอนควรเป็นสี่เหลี่ยมจัตุรัสขนาด 256 พิกเซล
- คลิกถัดไป
- ในหน้าต่างรายละเอียดผู้ให้บริการ ให้ป้อน URL ของ ACS, รหัสเอนทิตี และ URL เริ่มต้น (หากจำเป็น) สำหรับแอปที่กำหนดเอง โดยค่าทั้งหมดนี้จะมาจากผู้ให้บริการ
- (ไม่บังคับ) เลือกช่องการตอบกลับที่ลงชื่อ หากผู้ให้บริการกำหนดให้ต้องลงชื่อการตอบกลับการตรวจสอบสิทธิ์ SAML ทั้งหมด หากไม่ได้เลือก (ค่าเริ่มต้น) ระบบจะลงชื่อเฉพาะการยืนยันภายในการตอบกลับเท่านั้น
- รหัสชื่อเริ่มต้นคืออีเมลหลัก ระบบไม่รองรับการป้อนหลายค่า
เคล็ดลับ: อ่านบทความเรื่องการตั้งค่าในแคตตาล็อกแอป SAML เพื่อดูการแมปรหัสชื่อที่ต้องใช้สำหรับแอปในแคตตาล็อก หรือสร้างแอตทริบิวต์ที่กำหนดเองในคอนโซลผู้ดูแลระบบหรือผ่าน API ของ Google Admin SDK แล้วแมปไปยังแอตทริบิวต์ดังกล่าว หากจำเป็น โดยต้องสร้างแอตทริบิวต์ที่กำหนดเองก่อนการตั้งค่าแอป SAML
- คลิกถัดไป
- (ไม่บังคับ) คลิกเพิ่มการจับคู่ใหม่แล้วกรอกชื่อใหม่ของแอตทริบิวต์ที่ต้องการจับคู่
หมายเหตุ: คุณจะกำหนดแอตทริบิวต์สำหรับแอปทั้งหมดได้สูงสุด 1500 รายการ เนื่องจากแต่ละแอปจะมีแอตทริบิวต์เริ่มต้นอยู่แล้วหนึ่งรายการ โดยจำนวนแอตทริบิวต์ทั้งหมดจะนับรวมแอตทริบิวต์เริ่มต้นและแอตทริบิวต์ที่กำหนดเองด้วย
- เลือกหมวดหมู่และแอตทริบิวต์ของผู้ใช้ในรายการแบบเลื่อนลงเพื่อจับคู่แอตทริบิวต์จากโปรไฟล์ Google
หมายเหตุ: คุณจะใช้รหัสพนักงานในการจับคู่แอตทริบิวต์ไม่ได้ - คลิกเสร็จสิ้น
เปิดใช้แอป SAML
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่แอป
แอปในเว็บและอุปกรณ์เคลื่อนที่
- เลือกแอป SAML
-
คลิกสิทธิ์การเข้าถึงของผู้ใช้
-
หากต้องการเปิดหรือปิดบริการให้กับทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก
-
วิธีการเปิดหรือปิดบริการให้กับผู้ใช้ในหน่วยขององค์กรเท่านั้น
- เลือกหน่วยขององค์กรทางด้านซ้าย
- เลือกเปิดหรือปิด
- หากต้องการเปิดหรือปิดใช้บริการ แม้ว่าระบบจะเปิดหรือปิดใช้บริการอยู่สำหรับหน่วยขององค์กรระดับบนสุด ให้คลิกลบล้าง
- หากสถานะขององค์กรถูกลบล้างแล้ว ให้เลือกตัวเลือกดังนี้
- รับค่า เปลี่ยนไปใช้การตั้งค่าเดียวกับองค์กรระดับบนสุด
- บันทึก บันทึกการตั้งค่าใหม่ (แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะมีการเปลี่ยนแปลง)
ดูข้อมูลเพิ่มเติมเกี่ยวกับ โครงสร้างองค์กร
-
หากต้องการเปิดบริการให้กับกลุ่มผู้ใช้ในหน่วยขององค์กร ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อเปิดบริการให้กับกลุ่ม
- ตรวจสอบว่าอีเมลที่ผู้ใช้ลงชื่อเข้าใช้แอป SAML ตรงกับอีเมลที่ลงชื่อเข้าใช้โดเมน Google ของคุณ
ยืนยันว่า SSO ใช้งานกับแอปที่กําหนดเองได้
คุณทดสอบได้ทั้ง SSO ที่ใช้ผู้ให้บริการข้อมูลประจำตัว (IdP) และ SSO ที่ใช้ (ในกรณีที่แอปรองรับ) ผู้ให้บริการ (SP) ได้
โหมดที่ใช้ IdP
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่แอป
แอปในเว็บและอุปกรณ์เคลื่อนที่
- เลือกแอป SAML ที่กำหนดเอง
- คลิกทดสอบการเข้าสู่ระบบผ่าน SAML ที่ด้านซ้ายบน
ระบบจะเปิดแอปขึ้นมาในแท็บใหม่ หากไม่มีแท็บใหม่เปิดขึ้นมา ให้นำข้อมูลที่ได้จากข้อความแสดงข้อผิดพลาดของ SAML ที่ระบบแจ้งไปอัปเดตการตั้งค่า IdP และ SP ให้เหมาะสม จากนั้นจึงทดสอบการเข้าสู่ระบบ SAML อีกครั้ง
โหมดที่ใช้ SP
- เปิด URL สำหรับ SSO ของแอป SAML ใหม่ แล้วระบบจะเปลี่ยนเส้นทางคุณไปยังหน้าลงชื่อเข้าใช้ของ Google โดยอัตโนมัติ
- กรอกชื่อผู้ใช้และรหัสผ่าน
หลังจากตรวจสอบสิทธิ์ข้อมูลเข้าสู่ระบบของคุณแล้ว ระบบจะเปลี่ยนเส้นทางคุณกลับไปยังแอป SAML ใหม่โดยอัตโนมัติ
กำหนดค่าแอปพลิเคชันระบบคลาวด์ที่รวมไว้แล้วล่วงหน้า
Google จะให้บริการ SSO ที่รวมไว้แล้วล่วงหน้าสำหรับแอปพลิเคชันระบบคลาวด์มากกว่า 200 รายการ วิธีกำหนดค่าแอปพลิเคชันที่รวมไว้แล้วล่วงหน้ามีดังนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่แอป
แอปในเว็บและอุปกรณ์เคลื่อนที่
- คลิกไอคอนบวก (+) ที่มุมล่าง
ระบบจะเปิดหน้าต่างแสดงรายชื่อของแอปพลิเคชันระบบคลาวด์ที่รวมไว้แล้ว
- เลือกแอปพลิเคชันระบบคลาวด์ที่รวมไว้แล้วล่วงหน้าและทำตามขั้นตอนในวิซาร์ดเพื่อกำหนดค่า SSO สำหรับแอป