設定服務供應商單一登入 (SSO)

本文說明如何針對 Google Workspace 和受管理 Google 帳戶,透過第三方識別資訊提供者設定 SSO。(如要將 Google 設為識別資訊提供者,請參閱 SAML 式聯合單一登入 (SSO))。

設定單一登入 (SSO)

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中前往 [安全性]
  3. 點選 [透過第三方 IdP 設定單一登入服務 (SSO)]
  4. 按一下 [新增 SSO 設定檔]
  5. 勾選 [透過第三方識別資訊提供者設定 SSO] 方塊。
  6. 為您的第三方 IdP 提供下列網址:
    • 登入頁面網址:便於使用者登入您系統和 Google Workspace 的網頁。
    • 登出網頁網址:系統將登出使用者重新導向的網頁。

注意:您必須使用 HTTPS 輸入所有網址,例如 https://sso.domain.com

關於發行者

「發行者」或「實體 ID」是提出 SAML 要求的服務供應商。

您可以選擇要加入「標準」發行者,還是「網域特定」發行者。當多個網域透過相同 IdP 使用單一登入 (SSO) 時,IdP 可剖析特定發行者,以便識別 SAML 要求的正確網域名稱。

注意:

  • 如果您未勾選 [使用網域特定發行者],Google 會在 SAML 要求中傳送標準發行者:

    google.com
     
  • 如果您勾選 [使用網域特定發行者],Google 則會傳送您網域所屬的發行者 (<您的網域>.com 會帶入實際的 Google Workspace 主網域名稱):

    google.com/a/<您的網域>.com

關於宣告客戶服務

宣告客戶服務網址 (或 ACS 網址) 用於通知 IdP,將登入的已驗證使用者重新導向至哪個網址。ACS 網址格式如下:

https://www.google.com/a/domain.com/acs

注意:如果貴機構限制存取 www.google.com,請與貴機構的支援團隊聯絡,取得替代 ACS 網址,並提及「設定服務供應商單一登入 (SSO)」這篇文章。

關於名稱 ID

SAML 回應中提供的名稱 ID 必須包含用於識別 Google Workspace 使用者的專屬 ID。名稱 ID 格式如下列之一所示:

  • 電子郵件地址 (建議)
  • 使用者名稱:如果提供的使用者名稱不含網域字尾,則會自動對應至主網域。如果目標使用者位於次要網域,則必須提供使用者的電子郵件地址。

注意:系統不支援使用別名。

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題

true
立即開始 14 天免費試用

享盡公司專用電子郵件帳戶、線上儲存空間、共用日曆、視訊會議等好處。立即開始免費試用 G Suite

搜尋
清除搜尋內容
關閉搜尋框
Google 應用程式
主選單
搜尋說明中心
true
73010
false