有了單一登入 (SSO) 服務,使用者就可以直接存取許多應用程式,不必分別為每個應用程式輸入使用者名稱和密碼。安全宣告標記語言 (SAML) 是一種 XML 標準,可讓安全的網域互相交換使用者的驗證與授權資料。
服務供應商和識別資訊提供者的角色
當代管的使用者嘗試存取安全的內容時,合作夥伴公司可以運用 Google 提供的 SAML 式 SSO 服務,授予對方權限並驗證身分。Google 是以線上「服務供應商」的身分提供 Google 日曆和 Gmail 等服務;Google 合作夥伴則是以「識別資訊提供者」的身分管理使用者名稱、密碼等資訊。當使用者利用 Google 代管的網頁應用程式時,這些合作夥伴就會運用這些資訊協助識別、驗證及授權使用者。
您可以利用許多開放原始碼和商用識別資訊提供者,在 Google 服務中實作單一登入。
SAML 驗證憑證
如要透過第三方 IdP 設定單一登入 (SSO) 服務 (將 Google 設為服務供應商),您必須上傳一或多個驗證憑證。憑證包含公開金鑰,可驗證 IdP 的登入作業。
- 如果您正在設定貴機構的第三方單一登入 (SSO) 設定檔,請上傳一個驗證憑證。
- 如果您要建立新的 SAML 單一登入 (SSO) 設定檔,可以上傳兩個憑證,以便輪替使用。
您通常會從 IdP 取得這些憑證。不過,您也可以自行產生憑證。
相關規定
- 憑證必須是 PEM 或 DER 格式的 X.509 憑證,且須內嵌公開金鑰。
- 公開金鑰必須由 DSA 或 RSA 演算法產生。
- 憑證中的公開金鑰必須與用於簽署 SAML 回應的私密金鑰相符。