Powiadomienie

Duet AI to teraz Gemini w Google Workspace. Więcej informacji

Omówienie techniczne logowania jednokrotnego opartego na standardzie SAML

Dzięki logowaniu jednokrotnemu użytkownicy mogą korzystać z wielu aplikacji bez konieczności wpisywania nazwy użytkownika i hasła w każdej z nich. Security Assertion Markup Language (SAML) to standard XML, który pozwala na bezpieczną wymianę danych uwierzytelniania i autoryzacji użytkowników w domenach internetowych.

Role dostawców usług i dostawców tożsamości

Google oferuje usługę logowania jednokrotnego opartą na standardzie SAML, która umożliwia firmom partnerskim autoryzowanie i uwierzytelnianie hostowanych użytkowników próbujących uzyskać dostęp do zabezpieczonych treści. Google pełni rolę dostawcy usług online i oferuje usługi takie jak Kalendarz Google i Gmail. Partnerzy Google to internetowi dostawcy tożsamości kontrolujący nazwy użytkowników, hasła oraz inne informacje używane do identyfikowania, uwierzytelniania i autoryzowania użytkowników aplikacji internetowych hostowanych przez Google.

Wiele rozwiązań dostawcy tożsamości w postaci oprogramowania open source i komercyjnego ułatwia wdrażanie logowania jednokrotnego w Google.

Klienty na komputery nadal wymagają logowania

Pamiętaj, że rozwiązanie logowania jednokrotnego ma zastosowanie tylko do aplikacji internetowych. Możesz umożliwić użytkownikom dostęp do usług Google za pomocą klientów komputerowych. Aby na przykład zapewnić dostęp POP do Gmaila przy użyciu Outlooka, musisz przekazać użytkownikom prawidłowe hasła i zsynchronizować je z wewnętrzną bazą danych użytkowników przy użyciu interfejsu Directory API z pakietu Admin SDK. Podczas synchronizowania haseł warto dowiedzieć się, w jaki sposób użytkownicy są uwierzytelniani przy użyciu adresu URL logowania do administracyjnego panelu sterowania.

Omówienie obsługiwanej przez parnera usługi logowania jednokrotnego opartej na standardzie SAML

Rysunek 1 przedstawia proces logowania się użytkownika w aplikacji Google, takiej jak Gmail, przy użyciu obsługiwanej przez partnera usługi logowania jednokrotnego opartej na standardzie SAML. Szczegółowe wyjaśnienie każdego kroku zawiera lista numerowana pod rysunkiem.

Ważne: przed rozpoczęciem tej procedury partner musi przekazać Google adres URL swojej usługi logowania jednokrotnego oraz klucz publiczny, którego firma Google powinna używać do weryfikowania odpowiedzi SAML.

Rysunek 1 przedstawia proces logowania się w Google przy użyciu usługi logowania jednokrotnego opartej na standardzie SAML.

Ten rysunek przedstawia poniższe kroki.

  1. Użytkownik próbuje połączyć się z aplikacją hostowaną Google, na przykład z Gmailem, Kalendarzem Google lub inną usługą Google.
  2. Google generuje żądanie uwierzytelnienia SAML, które zostaje zakodowane i umieszczone w adresie URL dla usługi logowania jednokrotnego partnera. W adresie URL logowania jednokrotnego jest też umieszczony parametr RelayState zawierający zakodowany URL aplikacji Google, z którą chce się połączyć użytkownik. Parametr RelayState to niejednoznaczny identyfikator, który jest przekazywany z powrotem bez modyfikacji i bez sprawdzania.
  3. Google wysyła przekierowanie do przeglądarki użytkownika. Przekierowanie zawiera zakodowane żądanie uwierzytelnienia SAML, które powinno zostać przekazane do usługi logowania jednokrotnego partnera.
  4. Przeglądarka przekierowuje na adres URL logowania jednokrotnego.
  5. Partner dekoduje żądanie SAML i wyodrębnia URL zarówno dla usługi konsumenta potwierdzenia Google (Assertion Consumer Service, ACS), jak i docelowego URL-a użytkownika (parametr RelayState).
  6. Partner następnie uwierzytelnia użytkownika. Partnerzy mogą uwierzytelniać użytkowników, prosząc o prawidłowe dane logowania lub sprawdzając, czy istnieją prawidłowe pliki cookie sesji.
  7. Partner generuje odpowiedź SAML zawierającą nazwę uwierzytelnionego użytkownika. Zgodnie ze specyfikacją SAML 2.0 ta odpowiedź zostaje cyfrowo podpisana przy użyciu publicznych i prywatnych kluczy DSA/RSA partnera.
  8. Partner koduje odpowiedź SAML i parametr RelayState, a następnie zwraca te informacje do przeglądarki użytkownika. Partner udostępnia mechanizm, dzięki któremu przeglądarka może przekazać te informacje do usługi Google ACS. Partner może na przykład umieścić w formularzu odpowiedź SAML i docelowy adres URL oraz udostępnić przycisk, który użytkownik może kliknąć, aby przesłać formularz do Google. Partner może też umieścić na stronie kod JavaScript, który przesyła formularz do Google.
  9. Przeglądarka wysyła odpowiedź na adres URL usługi ACS. Google ACS weryfikuje odpowiedź SAML przy użyciu klucza publicznego partnera. Jeśli odpowiedź zostanie zweryfikowana, ACS przekierowuje użytkownika do docelowego adresu URL.
  10. Użytkownik jest zalogowany w aplikacji Google.

Powiązane artykuły

Specyfikacje standardu SAML 2.0

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
12381894182743959485
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false