設定您專屬的自訂 SAML 應用程式

使用 SAML 式單一登入 (SSO)

單一登入 (SSO) 服務可讓使用者透過受管理 Google 帳戶憑證登入所有企業雲端應用程式。Google 針對超過 200 款熱門雲端應用程式提供了預先整合的 SSO 服務。

如果您使用的是「未」納入預先整合目錄的自訂應用程式,請按照下列步驟設定 SAML 式 SSO 服務。

設定您專屬的自訂 SAML 應用程式

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [應用程式] 接下來 [SAML 應用程式]
  3. 按一下右下方的「新增」圖示 ""
  4. 按一下 [設定我的自訂應用程式]
    「Google IdP 資訊」視窗隨即開啟,其中 [SSO 網址] 和 [實體 ID] 欄位會自動填入資訊。
  5. 使用下列任一方法取得服務供應商所需的設定資訊:
    • 複製「SSO 網址」和「實體 ID」,然後下載「憑證」
    • 下載「IDP」中繼資料。
  6. (選用) 在另外的分頁或視窗中登入服務供應商網站,接著在相應的 SSO 設定頁面中輸入您於步驟 5 複製的資訊,完成後再返回管理控制台。
  7. 點選 [下一步]。
  8. 在「基本資訊」視窗中新增應用程式名稱和說明。
  9. (選用) 上傳要做為自訂應用程式圖示的 PNG 或 GIF 檔案。圖片尺寸應為 256 x 256 像素。
  10. 點選 [下一步]。
  11. 在「服務供應商詳細資訊」視窗中,輸入自訂應用程式的「ACS 網址」、「實體 ID」和「起始網址」(如果需要的話)。這些值皆由服務供應商提供。
  12. (選用) 如果服務供應商要求所有 SAML 驗證回應皆須完成簽署,請勾選 [已簽署的回應] 方塊。如果取消勾選這個方塊 (預設狀態),則系統只會對回應中的宣告進行簽署。
  13. 預設的名稱 ID 是主要電子郵件 (不可輸入多個值)。

    提示:請參閱 SAML 應用程式目錄中的設定文章,瞭解目錄中的應用程式所需要的名稱 ID 對應。如有需要,您也可以透過管理控制台Google Admin SDK API 建立自訂屬性,並將名稱 ID 對應至這些屬性。建立自訂屬性的時間點必須在設定 SAML 應用程式之前。

  14. 點選 [下一步]。
  15. (選用) 點選 [新增對應],然後為您要對應的屬性輸入新的名稱。

    注意:在所有應用程式上,您最多可以定義 500 個屬性。每個應用程式皆有一個預設屬性,因此預設屬性加上所有您新增的自訂屬性數量,即為屬性總數。

  16. 在下拉式清單中選取 [類別] 和 [使用者屬性],對應 Google 設定檔中的屬性。
    注意:屬性對應不能使用員工 ID
  17. 按一下 [完成]。

開啟 SAML 應用程式

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [應用程式] 接下來 [SAML 應用程式]
  3. 選取 SAML 應用程式。
  4. 按一下 [使用者存取權]。
  5. 如要為機構中的所有使用者開啟或關閉服務,請按一下 [為所有人啟用] 或 [為所有人關閉],接著再點選 [儲存]

  6. 如何單獨為某個機構單位的使用者開啟或關閉服務:

    1. 在左側選取機構單位。
    2. 選取 [啟用] 或 [關閉]
    3. 如果不想讓這項服務的開關狀態受到上層機構單位的設定影響,請點選 [覆寫]
    4. 如果該機構的狀態為「已覆寫」,請選擇下列其中一個選項:
      • 沿用:還原成與上層機構相同的設定。
      • 儲存:儲存您的新設定 (即使上層設定發生變更,仍會套用新設定)。

    進一步瞭解 機構架構

  7. 如要為一組屬於相同或不同機構單位的使用者開啟服務,請選取存取權群組。詳情請參閱為群組開啟服務
  8. 請確認使用者用於登入 SAML 應用程式的電子郵件地址與用於登入您 Google 網域的地址相符。
變更通常過幾分鐘就會生效,但也可能需要經過 24 小時才會生效。詳情請參閱 Google 服務的變更如何生效。  

確認 SSO 能與您的自訂應用程式搭配運作

如果您的應用程式支援服務供應商 (SP) 啟動的 SSO,您就可以同時測試這類 SSO 和測試識別資訊提供者 (IdP) 啟動的 SSO。

IdP 啟動的 SSO 服務

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [應用程式] 接下來 [SAML 應用程式]
  3. 選取自訂 SAML 應用程式。
  4. 按一下左上方的 [測試 SAML 登入]。 

    應用程式應該會在另一個分頁中開啟,如果沒有,請根據系統顯示的 SAML 錯誤訊息,視情況更新 IdP 和 SP 設定,然後重新測試 SAML 登入功能。

SP 啟動的 SSO 服務

  1. 開啟新 SAML 應用程式的 SSO 網址,系統應該會自動將您重新導向 Google 登入頁面。
  2. 輸入您的使用者名稱和密碼。

    您的登入憑證通過驗證後,系統會自動將您重新導回新的 SAML 應用程式。

設定預先整合的雲端應用程式

Google 針對超過 200 款雲端應用程式提供了預先整合的 SSO 服務。如要設定預先整合的應用程式,請按照下列步驟操作:

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [應用程式] 接下來 [SAML 應用程式]
  3. 點選底部角落的加號 (+) 圖示。

    系統會開啟新視窗,在其中列出預先整合的雲端應用程式。

  4. 選取其中一個預先整合的雲端應用程式,並按照精靈中顯示的步驟操作,即可為應用程式設定 SSO 服務。
這對您有幫助嗎?
我們應如何改進呢?