Как настроить систему единого входа для организации

Вы можете настроить систему единого входа (SSO), используя Google в качестве поставщика услуг, разными способами в зависимости от потребностей организации. С помощью профилей SSO, которые содержат параметры поставщика идентификационной информации, можно применять разные настройки к разным пользователям в организации.

Google Workspace поддерживает протоколы на основе SAML и OIDC.

Если все сотрудники будут входить с использованием одного поставщика идентификационной информации и протокола на основе SAML:

1. Следуйте инструкциям в разделе Как настроить профиль системы единого входа для организации.
2. Если вы хотите запретить некоторым сотрудникам использовать систему единого входа (чтобы они входили напрямую в Google), следуйте инструкциям в разделе Как включить систему единого входа для отдельных пользователей, где описана возможность назначить для профиля SSO значение "Нет".

Если вы используете для сотрудников несколько поставщиков идентификационной информации или протокол на основе OIDC

Необходимые действия зависят от протокола, используемого поставщиком идентификационной информации (SAML или OIDC):

• SAML
  1. Следуйте инструкциям в разделе Как создать профиль SSO для каждого из поставщиков идентификационной информации.
  2. Решите, для каких пользователей нужно включить систему единого входа.
• OIDC
  1. Убедитесь, что вы подготовили клиент Azure AD организации к использованию OIDC:
     • Для клиента Azure AD должно быть подтверждено право собственности на домен.
     • У конечных пользователей должны быть лицензии Microsoft 365.
  2. Выполните действия в разделе Как включить систему единого входа для отдельных пользователей, чтобы назначить заранее настроенный профиль OIDC отдельным организационным подразделениям или группам.

     Примечание. Интерфейс командной строки Google Cloud сейчас не поддерживает повторную аутентификацию с использованием OIDC.

• Если в организационном подразделении, например в дочернем подразделении, есть пользователи, которым не нужна система единого входа, вы также можете отключить ее для них с помощью назначений.

Если ваши сотрудники для входа в сервисы Google используют URL сервисов, относящиеся к домену, например https://mail.google.com/a/example.com, можно управлять взаимодействием этих URL с системой единого входа.

Подготовка

Чтобы настроить профиль SSO на базе SAML, вам понадобятся сведения о конфигурации, которые можно узнать в службе поддержки поставщика идентификационной информации или в документации:

• URL страницы входа. Также называется URL системы единого входа или конечной точкой SAML 2.0 (HTTP). На этой странице пользователи входят в систему поставщика идентификационной информации.
• URL страницы выхода. На нее перенаправляется пользователь после выхода из приложения или сервиса Google.
• Сертификат. Сертификат X.509 PEM от поставщика идентификационной информации. Более подробные сведения о сертификатах X.509 можно найти в статье Создание и загрузка ключа и проверочного сертификата SAML.
• URL для изменения пароля. Страница, на которой пользователи системы единого входа могут изменить пароль (вместо того чтобы указывать новый пароль для аккаунта Google).

Как настроить профиль системы единого входа для организации

Рекомендуем выбрать этот вариант, если у всех сотрудников, использующих систему единого входа, будет один поставщик идентификационной информации.

1. Войдите в консоль администратора Google.

   Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню БезопасностьАутентификацияСистема единого входа со сторонним поставщиком идентификационной информации.
3. В разделе Профиль SSO стороннего поставщика для вашей организации выберите Добавить профиль системы единого входа.
4. Установите флажок Настроить систему единого входа со сторонним поставщиком идентификационной информации.

Укажите следующую информацию поставщика идентификационной информации:

• Введите URL страницы входа и URL страницы выхода.

  Примечание. Необходимо указать оба адреса, и в них должен использоваться протокол HTTPS. Пример: https://sso.example.com.

• Нажмите Загрузить сертификат, найдите и загрузите сертификат X.509, предоставленный поставщиком идентификационной информации. Информация о создании сертификата приведена в статье Создание и загрузка ключа и проверочного сертификата SAML.
• Выберите, использовать ли в запросе SAML от Google издателя, связанного с доменом.

  Если несколько ваших доменов используют систему единого входа с одним поставщиком идентификационной информации, с помощью издателя, связанного с доменом, укажите домен, который выдает запрос SAML.

  • Флажок установлен. Система Google будет указывать поставщика, связанного с доменом: google.com/a/example.com (где example.com – это ваше основное доменное имя Google Workspace).
  • Флажок снят. Система Google будет отправлять стандартное название издателя в запросе SAML: google.com.
• Если нужно применить систему единого входа к набору пользователей в определенных диапазонах IP-адресов, укажите маску сети. Более подробную информацию можно найти в статье Результаты связывания аккаунтов в системах.

  Примечание. Вы также можете настроить частичное использование SSO, назначив профиль SSO отдельным организационным подразделениям или группам.

• Укажите URL для изменения пароля у поставщика идентификационной информации. Для сброса пароля пользователи будут переходить по этому адресу, а не на страницу изменения пароля Google.

  Примечание. Если вы укажете здесь URL, пользователи будут перенаправлены на эту страницу даже в том случае, если вы не включите SSO для организации.

Как отключить систему единого входа для всех пользователей

Чтобы отключить стороннюю аутентификацию для всех пользователей, не меняя настройки профиля SSO для организационных подразделений и групп, отключите профиль SSO стороннего поставщика:

1. Снимите флажок Настроить систему единого входа со сторонним поставщиком идентификационной информации.
2. Нажмите Сохранить.

Как создать профиль SSO SAML

Чтобы создать профиль сторонней системы единого входа, следуйте приведенным ниже инструкциям. Вы можете создать до 1000 таких профилей в организации.

1. Войдите в консоль администратора Google.

   Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню БезопасностьАутентификацияСистема единого входа со сторонним поставщиком идентификационной информации.
3. В разделе Профили сторонней системы единого входа нажмите Добавить профиль SAML.
4. Введите название профиля.
5. Укажите URL страницы входа и другие сведения, полученные от поставщика идентификационной информации.
6. Укажите URL для изменения пароля у поставщика идентификационной информации. Для сброса пароля пользователи будут переходить по этому адресу, а не на страницу изменения пароля Google.
7. Нажмите Загрузить сертификат, затем найдите и загрузите файл сертификата. Информация о создании сертификата приведена в статье Создание и загрузка ключа и проверочного сертификата SAML.
8. Нажмите Сохранить.
9. В разделе Сведения о поставщике услуг скопируйте и сохраните идентификатор объекта и URL ACS. Вам понадобятся эти значения для настройки системы единого входа Google в панели управления администратора у поставщика идентификационной информации.
10. (Необязательно) Если ваш поставщик идентификационной информации поддерживает шифрование утверждений, вы можете сгенерировать сертификат и поделиться им с поставщиком идентификационной информации, чтобы включить шифрование. В каждом профиле системы единого входа на базе SAML может быть до двух сертификатов поставщика услуг.
    1. Выберите раздел Сведения о поставщике услуг, чтобы перейти в режим редактирования.
    2. В разделе Сертификат поставщика услуг нажмите Создать сертификат. Сертификат появится после того, как вы его сохраните.
    3. Нажмите Сохранить. Будут показаны название сертификата, срок его действия и содержимое.
    4. Используйте кнопки над сертификатом, чтобы скопировать его содержимое или скачать в виде файла, а затем поделитесь сертификатом с поставщиком идентификационной информации.
    5. Если вам нужно изменить сертификат, вернитесь к разделу "Сведения о поставщике услуг" и нажмите Создать ещё один сертификат, а затем поделитесь новым сертификатом с поставщиком идентификационной информации. Убедившись, что поставщик использует новый сертификат, вы можете удалить предыдущий.

Как включить систему единого входа для отдельных пользователей

Включите систему единого входа для организационного подразделения или группы, назначив профиль SSO и связанного с ним поставщика идентификационной информации. Если нужно отключить систему единого входа, назначьте для профиля SSO значение "Нет". Вы можете применить смешанные правила использования SSO в пределах организационного подразделения или группы, например включить ее для всего организационного подразделения, а затем отключить для отдельных дочерних подразделений.

1. Нажмите Управление профилями SSO.
2. Если вы впервые настраиваете профиль, нажмите "Начать". В противном случае нажмите Управлять.
3. Слева выберите нужное организационное подразделение или группу.
   • Если профиль SSO, который вы хотите назначить организационному подразделению или группе, отличается от профиля, назначенного всему домену, появится предупреждение о том, что вы собираетесь переопределить настройки.
   • Профиль SSO нельзя назначить отдельным пользователям. На странице "Пользователи" вы можете посмотреть настройки, заданные для интересующих вас пользователей.
4. Нажмите Назначение профиля SSO для выбранного организационного подразделения или группы:
   • Чтобы не использовать систему единого входа в организационном подразделении или группе, выберите Нет. Пользователи из выбранного вами организационного подразделения или группы будут входить в сервисы с учетными данными Google.
   • Чтобы назначить другого поставщика идентификационной информации организационному подразделению или группе, нажмите Другой профиль системы единого входа, а затем выберите профиль SSO из раскрывающегося списка.
5. (Только профили SSO SAML) После выбора профиля SAML выберите параметр входа для пользователей, которые переходят непосредственно к сервисам Google, не выполняя вначале вход в систему стороннего поставщика идентификационной информации профиля SSO. Можно запросить у пользователя его пользовательское имя, а затем перенаправить его к поставщику идентификационной информации или же запросить обязательный ввод имени пользователя и пароля Google. 

   Примечание. Если выбрать обязательный ввод имени и пароля пользователя Google, настройка URL для изменения пароля для этого профиля SSO SAML будет игнорироваться (для доступа к ней нажмите "Профиль системы единого входа > Сведения о поставщике идентификационной информации"). Благодаря этому пользователи смогут менять свои пароли Google, когда это потребуется.

6. Если вы используете профиль системы единого входа Microsoft (OIDC), введите пароль аккаунта Microsoft и нажмите Войти, чтобы проверить конфигурацию системы единого входа Microsoft.

   Если вы администратор организации Azure AD, вы можете принять запрос доступа от имени организации – конечные пользователи не будут получать запрос доступа OAuth.

7. Нажмите Сохранить.
8. Назначьте профили SSO другим организационным подразделениям и группам при необходимости.

После того как вы закроете карточку Управление профилями SSO, вы увидите обновленные назначения для организационных подразделений и групп в разделе Управление профилями SSO.

Как удалить назначение из списка назначений профиля SSO

1. Нажмите на название группы или организационного подразделения, чтобы открыть настройки назначений профиля.
2. Замените существующее назначение на назначение родительского организационного подразделения:
   • Для назначений организационного подразделения – нажмите Наследовать.
   • Для назначений группы – нажмите Сбросить настройки.  
   • Для назначений корневого организационного подразделения установите назначение Нет (или Использовать профиль SSO стороннего поставщика, назначенный организации), если хотите использовать для организации профиль SSO стороннего поставщика.

Как настроить URL сервисов, относящиеся к домену

С помощью параметра URL сервисов, относящиеся к домену можно управлять тем, что происходит после входа пользователя с помощью URL сервисов, например https://mail.google.com/a/example.com. Возможны два варианта:

• Перенаправлять пользователей на страницу входа стороннего поставщика идентификационной информации. Выберите этот вариант, чтобы всегда перенаправлять этих пользователей к стороннему поставщику идентификационной информации, выбранному в раскрывающемся списке профилей SSO. Можно выбрать профиль SSO организации или профиль стороннего поставщика (если вы добавили его).

  Важно! Не выбирайте этот вариант, если в организации есть подразделения или группы, которые не используют систему единого входа. Сотрудники, для которых не включена система единого входа, будут автоматически перенаправлены к поставщику идентификационной информации и не смогут войти.

• Требовать от пользователей сначала вводить имя пользователя на странице входа Google. Если выбран этот вариант, пользователи, переходящие по относящимся к домену URL сервисов, сначала перенаправляются на страницу входа Google. Пользователи, для которых включена система единого входа, перенаправляются на страницу входа поставщика идентификационной информации.

Статьи по теме

Как работает система единого входа

Устранение неполадок системы единого входа