การลงชื่อเพียงครั้งเดียว (SSO) ช่วยให้ผู้ใช้ลงชื่อเข้าใช้แอประบบคลาวด์ขององค์กรทั้งหมดได้โดยใช้ข้อมูลเข้าสู่ระบบบัญชี Google ที่มีการจัดการ Google มี SSO ที่รวมไว้แล้วล่วงหน้าในแอประบบคลาวด์ยอดนิยมกว่า 200 รายการ
ทำตามขั้นตอนต่อไปนี้เพื่อตั้งค่า SSO ที่ใช้ SAML กับแอปที่กำหนดเองซึ่งไม่ได้รวมไว้แล้วล่วงหน้า
ตั้งค่าแอป SAML ที่กำหนดเองของคุณ
ขั้นตอนที่ 1: เพิ่มแอป SAML ที่กำหนดเอง
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
- คลิกเพิ่มแอปเพิ่มแอป SAML ที่กำหนดเอง
ป้อนชื่อแอป จากนั้นอัปโหลดไอคอนสำหรับแอปของคุณ (ไม่บังคับ) ซึ่งไอคอนแอปจะปรากฏในรายการของแอปบนเว็บและอุปกรณ์เคลื่อนที่ ในหน้าการตั้งค่าแอป และในตัวเปิดแอป หากคุณไม่ได้อัปโหลดไอคอนไว้ ระบบจะสร้างไอคอนจะขึ้นโดยใช้ตัวอักษร 2 ตัวแรกของชื่อแอป - คลิกต่อไป
- รับข้อมูลการติดตั้งที่ผู้ให้บริการต้องการในหน้ารายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google โดยใช้ตัวเลือกใดตัวเลือกหนึ่งต่อไปนี้
- ดาวน์โหลดข้อมูลเมตาของ IDP
- คัดลอก SSO URL และรหัสเอนทิตี แล้วดาวน์โหลดใบรับรอง (หรือลายนิ้วมือ SHA-256 หากจำเป็น)
- (ไม่บังคับ) หากต้องการป้อนข้อมูลลงในหน้าการกำหนดค่า SSO ที่เหมาะสม ให้ลงชื่อเข้าใช้ผู้ให้บริการในแท็บเบราว์เซอร์หรือหน้าต่างแยกต่างหาก และป้อนข้อมูลที่คัดลอกในขั้นตอนที่ 5 จากนั้นกลับไปที่คอนโซลผู้ดูแลระบบ
- คลิกต่อไป
- ติดต่อผู้ให้บริการสำหรับค่าในช่องเหล่านี้ ในหน้าต่างรายละเอียดผู้ให้บริการ ให้ป้อนข้อมูลดังนี้
- ACS URL - URL บริการลูกค้าเกี่ยวกับการยืนยันของผู้ให้บริการจะได้รับการตอบกลับ SAML โดยต้องขึ้นต้นด้วย https://
- รหัสเอนทิตี - ชื่อที่ไม่ซ้ำกันทั่วโลก
- URL เริ่มต้น - (ไม่บังคับ) ใช้เพื่อตั้งค่าพารามิเตอร์ RelayState ในคำขอ SAML ซึ่งอาจเป็น URL ที่จะเปลี่ยนเส้นทางหลังจากการตรวจสอบสิทธิ์
- (ไม่บังคับ) หากต้องการระบุว่าผู้ให้บริการกำหนดให้ต้องลงชื่อในการตอบกลับการตรวจสอบสิทธิ์ SAML ทั้งหมด ให้เลือกช่องการตอบกลับที่ลงชื่อ หากไม่ได้เลือก (ค่าเริ่มต้น) ระบบจะลงชื่อเฉพาะการยืนยันภายในการตอบกลับเท่านั้น
- (ไม่บังคับ) ตั้งค่ารูปแบบรหัสชื่อและค่ารหัสชื่อสำหรับแอป SAML ที่กำหนดเองของคุณ โดยรหัสชื่อเริ่มต้นคืออีเมลหลัก
เคล็ดลับ: อ่านบทความเรื่องการตั้งค่าในแคตตาล็อกแอป SAML เพื่อดูการแมปรหัสชื่อที่ต้องใช้สำหรับแอปในแคตตาล็อก คุณสามารถสร้างแอตทริบิวต์ที่กำหนดเองในคอนโซลผู้ดูแลระบบหรือผ่าน Google Admin SDK API แล้วแมปไปยังแอตทริบิวต์ดังกล่าวได้ - คลิกต่อไป
- หากจำเป็น ให้คลิกเพิ่มการแมปเพื่อแมปแอตทริบิวต์ผู้ใช้ตามข้อกำหนดของผู้ให้บริการ
หมายเหตุ: คุณจะกำหนดแอตทริบิวต์สำหรับแอปทั้งหมดได้สูงสุด 1,500 รายการ เนื่องจากแต่ละแอปจะมีแอตทริบิวต์เริ่มต้นอยู่แล้วหนึ่งรายการ จำนวนที่มีจึงจะนับรวมแอตทริบิวต์เริ่มต้นและแอตทริบิวต์ที่กำหนดเองที่คุณเพิ่มด้วย- คลิกเมนูเลือกช่องในส่วนแอตทริบิวต์ Google Directory เพื่อเลือกชื่อช่อง แอตทริบิวต์ไดเรกทอรีของ Google บางรายการอาจไม่มีอยู่ในรายการแบบเลื่อนลง หากไม่มีแอตทริบิวต์ที่ต้องการแมป (เช่น อีเมลของผู้จัดการ) คุณอาจเพิ่มแอตทริบิวต์นั้นเป็นแอตทริบิวต์ที่กำหนดเอง ซึ่งจะทำให้เลือกแอตทริบิวต์ดังกล่าวได้ที่นี่
- ป้อนแอตทริบิวต์ที่สอดคล้องกันสำหรับแอป SAML ที่กำหนดเองของคุณในส่วนการแมปแอตทริบิวต์
-
(ไม่บังคับ) หากต้องการป้อนชื่อกลุ่มที่เกี่ยวข้องกับแอปนี้ ให้ทำดังนี้
- สำหรับการเป็นสมาชิกกลุ่ม (ไม่บังคับ) ให้คลิกค้นหากลุ่ม แล้วป้อนตัวอักษรของชื่อกลุ่มอย่างน้อย 1 ตัว จากนั้นเลือกชื่อกลุ่ม
- เพิ่มกลุ่มอีกตามต้องการ (สูงสุด 75 กลุ่ม)
- ป้อนชื่อแอตทริบิวต์กลุ่มที่เกี่ยวข้องของผู้ให้บริการสำหรับแอตทริบิวต์แอป
ไม่ว่าคุณจะป้อนชื่อกลุ่มกี่รายการก็ตาม คำตอบของ SAML จะรวมเฉพาะกลุ่มที่ผู้ใช้เป็นสมาชิกอยู่เท่านั้น (ทั้งโดยตรงหรือโดยอ้อม) โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเกี่ยวกับการเชื่อมโยงการเป็นสมาชิกกลุ่ม
- คลิกเสร็จสิ้น
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
- เลือกแอป SAML
-
คลิกสิทธิ์การเข้าถึงของผู้ใช้
-
หากต้องการเปิดหรือปิดบริการให้ทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก
-
(ไม่บังคับ) วิธีเปิดหรือปิดบริการสำหรับหน่วยขององค์กร
- เลือกหน่วยขององค์กรทางด้านซ้าย
- หากต้องการเปลี่ยนสถานะบริการ ให้เลือกเปิดหรือปิด
- เลือกการตั้งค่าแบบใดแบบหนึ่งต่อไปนี้
- หากตั้งค่าสถานะบริการเป็นรับค่า และคุณต้องการคงการตั้งค่าที่อัปเดตแล้วไว้ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป ให้คลิกลบล้าง
- หากตั้งค่าสถานะบริการเป็นลบล้าง ให้คลิกรับค่าเพื่อเปลี่ยนกลับเป็นการตั้งค่าเดียวกันกับระดับบนสุด หรือคลิกบันทึกเพื่อคงการตั้งค่าใหม่ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป
หมายเหตุ: ดูข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างองค์กร
-
หากต้องการเปิดบริการให้กับกลุ่มผู้ใช้ในหน่วยขององค์กร ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อเปิดบริการให้กับกลุ่ม
- ตรวจสอบว่าอีเมลที่ผู้ใช้ลงชื่อเข้าใช้แอป SAML ตรงกับอีเมลที่ลงชื่อเข้าใช้โดเมน Google ของคุณ
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
คุณสามารถทดสอบได้ทั้ง SSO จากผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP)
โหมดที่ใช้ IdP
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
- เลือกแอป SAML ที่กำหนดเอง
- คลิกทดสอบการเข้าสู่ระบบผ่าน SAML ที่ด้านซ้ายบน
ระบบจะเปิดแอปขึ้นมาในแท็บใหม่ หากไม่มีแท็บใหม่เปิดขึ้นมา ให้นำข้อมูลที่ได้จากข้อความแสดงข้อผิดพลาดของแอป SAML ที่ระบบแจ้งไปอัปเดตการตั้งค่า IdP และ SP ให้เหมาะสม จากนั้นจึงทดสอบการเข้าสู่ระบบ SAML อีกครั้ง
โหมดที่ใช้ SP
- เปิด URL สำหรับ SSO ของแอป SAML ใหม่ แล้วระบบจะเปลี่ยนเส้นทางคุณไปยังหน้าลงชื่อเข้าใช้ของ Google โดยอัตโนมัติ
- ป้อนชื่อผู้ใช้และรหัสผ่าน
หลังจากตรวจสอบสิทธิ์ข้อมูลการลงชื่อเข้าใช้แล้ว ระบบจะพาคุณกลับไปที่แอป SAML ใหม่