通知

Duet AI 現已更名為 Google Workspace 專用 Gemini。瞭解詳情

設定您專屬的自訂 SAML 應用程式

使用 SAML 式單一登入 (SSO)

單一登入 (SSO) 服務可讓使用者透過受管理 Google 帳戶憑證登入所有企業雲端應用程式。Google 針對超過 200 款熱門雲端應用程式提供了預先整合的單一登入 (SSO) 服務。

請執行下列步驟,使用不在預先整合目錄中的自訂應用程式設定 SAML 式單一登入 (SSO)。

設定您專屬的自訂 SAML 應用程式

全部展開  |  全部收合

步驟 1:新增自訂 SAML 應用程式

  

  1. 登入您的 Google 管理控制台

    使用具備超級管理員權限的帳戶 (結尾不是 @gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「應用程式」接下來「網頁和行動應用程式」
  3. 依序按一下「新增應用程式」下一步「新增自訂 SAML 應用程式」
    輸入應用程式命名,並視需要上傳應用程式圖示。應用程式圖示會顯示在網頁版和行動版應用程式清單、應用程式設定頁面,以及應用程式啟動器中。如果您未上傳圖示,系統會使用應用程式名稱的前兩個字母建立圖示。
  4. 按一下 [繼續]
  5. 在「Google 識別資訊提供者詳細資料」頁面上,透過下列其中一種做法,取得服務供應商所需的設定資訊:
    1. 下載 IdP 中繼資料
    2. 複製單一登入 (SSO) 網址實體 ID,然後下載憑證 (或視需要下載 SHA-256 指紋)。
  6. (選用) 如要在適當的單一登入 (SSO) 設定頁面中輸入資訊,請在另一個瀏覽器分頁或視窗中登入您的服務供應商,接著輸入在步驟 5 複製的資訊,然後返回管理控制台。
  7. 按一下 [繼續]
  8. 請向服務供應商洽詢這些欄位值。在「服務供應商詳細資訊」視窗中輸入下列資訊:
    1. ACS 網址:服務供應商的宣告客戶服務網址,用來接收 SAML 回應。網址開頭必須是 https://
    2. 實體 ID:全域專屬名稱。
    3. 起始網址:(選用) 用於在 SAML 要求中設定 RelayState 參數,可以是驗證完成後的重新導向網址。
  9. (選用) 如要指出您的服務供應商需要簽署整個 SAML 驗證回應,請勾選「已簽署的回應」方塊。如果取消勾選這個方塊 (預設狀態),則系統只會對回應中的宣告進行簽署。
  10. (選用) 為自訂 SAML 應用程式設定「名稱 ID」格式和「名稱 ID」值。預設的「名稱 ID」是主要電子郵件地址。
    提示:請參閱 SAML 應用程式目錄中的設定文章,瞭解目錄中的應用程式所需要的名稱 ID 對應。您也可以透過管理控制台Google Admin SDK API 建立自訂屬性,並將名稱 ID 對應至這些屬性。
  11. 按一下 [繼續]
  12. 如有需要,請按一下「新增對應」,根據服務供應商的要求對應使用者屬性。
    注意:在所有應用程式上,您最多可以定義 1500 個屬性。每個應用程式皆有一個預設屬性,因此預設屬性加上所有您新增的自訂屬性數量,即為屬性總數。
    1. 在「Google 目錄屬性」部分,按一下「選取欄位」選單,然後選擇欄位名稱。下拉式清單不會列出部分 Google 目錄屬性。如果您想對應的屬性 (例如管理員的電子郵件) 不在清單中,可以將該屬性新增為自訂屬性以供選取。
    2. 在「應用程式屬性」部分,輸入與自訂 SAML 應用程式對應的屬性。
  13. (選用) 如要輸入與這個應用程式相關的群組名稱:
    1. 在「群組成員 (選用)」部分,按一下「搜尋群組」,輸入一或多個群組名稱字母,然後選取群組名稱。
    2. 視需要新增其他群組 (最多 75 個群組)。
    3. 在「應用程式屬性」部分,輸入服務供應商對應的群組屬性名稱。

    無論輸入多少個群組名稱,SAML 回應都只會包含使用者所屬的群組 (直接或間接)。詳情請參閱「關於群組成員對應」。

  14. 按一下「完成」
步驟 2:開啟 SAML 應用程式
  1. 登入您的 Google 管理控制台

    使用具備超級管理員權限的帳戶 (結尾不是 @gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「應用程式」接下來「網頁和行動應用程式」
  3. 選取 SAML 應用程式。
  4.  按一下 [使用者存取權]
  5. 如要為貴機構中的所有使用者開啟或關閉服務,請按一下「為所有人啟用」或「為所有人關閉」,接著再點選「儲存」

  6. (選用) 如何為機構單位開啟或關閉服務:
    1. 在左側選取機構單位。
    2. 選取「開啟」或「關閉」即可變更服務狀態。
    3. 選擇下列其中一項設定:
      • 如果服務狀態已設為「已沿用」,而您想要保留更新後的設定 (即使上層設定發生變更,仍要套用更新的設定),請按一下「覆寫」
      • 如果服務狀態設為「已覆寫」,按一下「沿用」 即可還原成與上層機構相同的設定;或按一下「儲存」 即可保留新設定 (即使上層設定發生變更亦然)。
        注意:進一步瞭解機構架構
  7. 如要為一組屬於相同或不同機構單位的使用者開啟服務,請選取存取權群組。詳情請參閱為群組開啟服務
  8. 請確認使用者用於登入 SAML 應用程式的電子郵件地址與用於登入您 Google 網域的地址相符。

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

步驟 3:確認單一登入 (SSO) 服務能與您的自訂應用程式搭配運作

您可以測試識別資訊提供者啟動 (IdP) 和服務供應商啟動 (SP) 的單一登入 (SSO) 服務。

IdP 啟動的單一登入 (SSO) 服務

  1. 登入您的 Google 管理控制台

    使用具備超級管理員權限的帳戶 (結尾不是 @gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「應用程式」接下來「網頁和行動應用程式」
  3. 選取自訂 SAML 應用程式。
  4. 按一下左上方的 [測試 SAML 登入]。 

    應用程式應該會在另一個分頁中開啟,如果沒有,請根據系統顯示的 SAML 應用程式錯誤訊息,視情況更新 IdP 和 SP 設定,然後重新測試 SAML 登入功能。

SP 啟動的單一登入 (SSO) 服務

  1. 開啟新 SAML 應用程式的 SSO 網址,系統應該會自動將您重新導向 Google 登入頁面。
  2. 輸入您的使用者名稱和密碼。

    您的登入憑證通過驗證後,系統會將您重新導向回新 SAML 應用程式。

相關主題

這對您有幫助嗎?

我們應如何改進呢?
true
立即開始 14 天免費試用

享盡公司專用電子郵件帳戶、線上儲存空間、共用日曆、視訊會議等好處。立即開始免費試用 G Suite

搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單
1241371394341747780
true
搜尋說明中心
true
true
true
true
true
73010
false
false