ChromeOS 裝置支援安全宣告標記語言 (SAML) 的單一登入 (SSO) 機制,讓使用者可以透過與組織內部其他服務相同的驗證機制來登入裝置。使用者的密碼可以保留在機構的識別資訊提供者 (IdP) 內。登入流程非常類似在瀏覽器中透過 SAML 單一登入 (SSO) 登入 Google Workspace 帳戶。不過,由於使用者登入的是裝置,所以還須注意一些事項。
詳情請參閱透過第三方識別資訊提供者為受管理 Google 帳戶設定單一登入服務。
必要條件
- 搭載 36 以上版本的 ChromeOS 裝置
- 已為 Google Workspace 的 SAML 單一登入 (SSO) 設定網域
- SAML 使用 HTTPS 網址 (而非 HTTP 網址)
- 為裝置取得 ChromeOS 授權
步驟 1:設定單一登入 (SSO)
如果您尚未透過第三方識別資訊提供者為受管理 Google 帳戶設定單一登入服務,請先進行此設定。
步驟 2:測試單一登入 (SSO)
在您所擁有的測試網域上設定及測試 SAML SSO。如果沒有測試網域,請讓少數幾位使用者幫忙測試這項功能。只要建立測試群組,並只為其中的使用者啟用 SSO 功能即可。對少數使用者測試完 SAML 單一登入 (SSO) 後,即可針對機構中大約 5% 的使用者推出這項功能。
-
-
在管理控制台中,依序點選「選單」圖示
「裝置」
「Chrome」
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示
「Chrome 瀏覽器」
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「安全性」。
- 點選 [Single sign-on] (單一登入)。
- 選取「為 Chrome 裝置啟用 SAML 式單一登入服務」。
- 按一下「儲存」。
(選用) 步驟 3:啟用 SAML 單一登入 (SSO) Cookie
如要讓單一登入使用者之後可在裝置上登入同一個 IdP 所支援的內部網站和雲端服務,請啟用 SAML 單一登入 (SSO) Cookie。
-
-
在管理控制台中,依序點選「選單」圖示
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「登入設定」。
- 按一下「單一登入 Cookie 行為」。
- 選取「允許在登入過程中將 SAML SSO Cookie 傳輸至使用者工作階段」。詳情請參閱「設定 ChromeOS 裝置政策」。
- 按一下「儲存」。
(選用) 步驟 4:讓本機 ChromeOS 和 SAML 單一登入 (SSO) 密碼保持同步
您可以選擇將 ChromeOS 裝置的本機密碼與使用者的 SAML 單一登入 (SSO) 密碼進行同步處理。
根據預設,每次使用者進行線上登入時,本機密碼就會更新。您可以使用 SAML 單一登入服務的登入頻率或 SAML 單一登入解鎖頻率設定,指定使用者必須進行線上登入的頻率。不過,有些使用者可能在必須再次進行線上登入之前,就已經變更 SAML 單一登入 (SSO) 密碼。如果出現這種情況,使用者可以繼續使用原本的本機 ChromeOS 密碼,直到下次進行線上登入為止。
如要讓本機 ChromeOS 密碼與 SAML 單一登入 (SSO) 密碼保持同步,您可在 SAML 單一登入 (SSO) 密碼變更後,隨即強制使用者進行線上登入。這樣一來,使用者就會幾乎立即更新 ChromeOS 密碼。
- 您可以使用下列任何一種方式,在使用者密碼變更時通知 Google:
- IdP 整合:舉例來說,如果您使用的是 Okta,則可以使用 Okta 工作流程。詳情請參閱 GitHub 文件。
-
Microsoft Entra ID 整合:Change Password Notifier (CPN for Microsoft Entra ID) 會在 Microsoft Entra ID 密碼變更時通知 Google。詳情請參閱「使用Change Password Notifier for Microsoft Entra ID 同步處理 ChromeOS 密碼」。
- AD 整合:Active Directory 的變更密碼通知器 (CPN for AD) 會在 Microsoft AD 密碼變更時通知 Google。詳情請參閱「透過 Active Directory 的變更密碼通知器同步處理 ChromeOS 密碼」。
- API 整合:將您的 IdP 與裝置權杖 API 整合。您可以前往這裡取得 Chrome 裝置權杖 API。詳情請參閱「為雲端專案啟用 API 套件」。
- 調整相關設定;
- SAML 單一登入密碼同步處理流程:選擇您只要在登入畫面強制進行線上登入,還是要在登入畫面和螢幕鎖定畫面都強制進行。詳情請參閱「為使用者或瀏覽器設定 Chrome 政策」。
- SAML 單一登入密碼同步處理:選取「觸發驗證流程,藉此與單一登入 (SSO) 服務供應商同步處理密碼」。詳情請參閱「為使用者或瀏覽器設定 Chrome 政策」。
(選用) 步驟 5:通知使用者密碼即將變更
您可以確保使用者收到 ChromeOS 裝置密碼即將變更的通知。
Microsoft Entra ID 目前不支援密碼到期通知。
注意:建議您在步驟 4:讓本機 ChromeOS 和 SAML 單一登入 (SSO) 密碼保持同步或步驟 5:通知使用者密碼即將變更中擇一執行,不要兩者都執行。
如要通知使用者密碼即將變更;
- 在 Google 管理控制台中,透過第三方識別資訊提供者為受管理 Google 帳戶設定單一登入服務。
- 為 SAML 單一登入 (SSO) 提供者設定密碼有效期限的 SAML 宣告。請參閱下方範例。
- 使用管理控制台調整相關設定。
- SAML 單一登入服務的登入頻率:輸入小於密碼有效期限的值。ChromeOS 只會在線上登入時更新其宣告。詳情請參閱「為使用者或瀏覽器設定 Chrome 政策」。
- SAML 單一登入密碼同步處理:選取「觸發驗證流程,藉此與單一登入 (SSO) 服務供應商同步處理密碼」。指定提前通知使用者的天數。您可以輸入介於 0 至 90 天之間的值。如果留空,系統會使用預設值 0,這樣使用者就不會提前收到通知,而是在逾期時才會得知密碼已失效。詳情請參閱「為使用者或瀏覽器設定 Chrome 政策」。
AttributeStatement 範例
這個例子當中;
- 屬性名稱包含 passwordexpirationtimestamp:進行驗證的使用者密碼逾期時的時間戳記。如果留空,代表密碼永遠不會逾期;如果時間早於現在,代表密碼已經過期。如有需要,您可以改用 passwordmodifiedtimestamp。
- 屬性值為 NTFS 檔案時間:從 1601 年 1 月 1 日 (世界標準時間) 起,以 100 奈秒為單位的計數。如有需要,您也可以改為設定 Unix 時間或 ISO 8601 日期和時間格式,但不接受其他格式。
<AttributeStatement>
<Attribute
Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
<AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>
(選用) 步驟 6:啟用 SAML 單一登入 (SSO) IdP 重新導向
如要讓單一登入使用者不必先輸入自己的電子郵件地址就能直接前往 SAML IdP 頁面,請啟用 SAML 單一登入 (SSO) IdP 重新導向設定。
-
-
在管理控制台中,依序點選「選單」圖示
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「登入設定」。
- 點選「單一登入 IdP 重新導向」。
- 選取「允許使用者直接前往 SAML 單一登入 (SSO) IdP 頁面」。詳情請參閱「設定 ChromeOS 裝置政策」。
- 按一下「儲存」。
(選用) 步驟 7:使用者名稱傳遞
您可以將使用者名稱從 Google Identity 自動傳送給第三方 IdP,如此一來,使用者就無需重複輸入使用者名稱。
事前準備
- 這項功能僅適用於允許在 SAML 查詢內傳遞使用者名稱的 IdP。詳情請參閱「在 SAML IdP 登入頁面中自動填入使用者名稱」。
- 如果您完成了步驟 7,將使用者一律重新導向至第三方識別資訊提供者 (第三方 IdP),則只有重新驗證流程才能使用使用者名稱傳遞功能。詳情請參閱 SAML 單一登入服務的登入頻率或 SAML 單一登入解鎖頻率設定。
-
-
在管理控制台中,依序點選「選單」圖示
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「登入設定」。
- 按一下「在 SAML IdP 登入頁面中自動填入使用者名稱」。
- 輸入網址參數名稱。
- 按一下「儲存」。
(選用) 步驟 8:控管登入畫面和螢幕鎖定畫面上的內容
如要將 SAML 或 OpenID Connect 的單一登入功能用於使用者驗證,或是在使用者工作階段外透過網頁認證入口設定網路連線,您可以使用 DeviceAuthenticationURLBlocklist 和 DeviceAuthenticationURLAllowlist 政策,封鎖或允許使用者登入和螢幕鎖定的網址。
詳情請參閱「在登入/螢幕鎖定畫面上封鎖網址」和「在登入/螢幕鎖定畫面上封鎖網址的例外狀況」。
-
-
在管理控制台中,依序點選「選單」圖示
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「登入設定」。
- 按一下「在登入/螢幕鎖定畫面上封鎖網址」。
- 指定要在登入畫面和螢幕鎖定畫面封鎖的網址。
- 按一下「儲存」。
- 按一下「在登入/螢幕鎖定畫面上封鎖網址的例外狀況」。
- 指定要在登入畫面和螢幕鎖定畫面允許的網址。
- 點按「儲存」。
步驟 9:為裝置推出 SAML 單一登入 (SSO) 功能
對機構中 5% 的使用者測試完裝置上的 SAML 單一登入 (SSO) 後,即可為其他群組啟用同一個政策,針對所有使用者推出這項功能。如果您遇到任何問題,請與 Google Cloud 支援團隊聯絡。
透過 SAML 單一登入服務登入 ChromeOS 裝置
當您為機構設定好裝置的 SAML 單一登入 (SSO) 之後,使用者就會在登入裝置時看到以下步驟。
必要條件
- 您必須已完成上述所有步驟。
登入順序:
請指示初次登入裝置的使用者按照下列步驟操作。注意:請務必先進行測試,再為機構部署這項功能。
- 在 ChromeOS 裝置的登入頁面中輸入您的使用者名稱 (完整的電子郵件地址)。這個步驟不需要輸入密碼。
- 系統會將您導向貴機構的 SAML SSO 頁面。請在 SAML 供應商登入頁面輸入您的 SAML 憑證。
- 當系統提示時,請重新輸入密碼以完成登入程序。只有在識別資訊提供者尚未實作憑證傳遞 API 的情況下,才需要執行這個步驟。如要離線存取及解鎖裝置,這就會是必要步驟。
- 成功登入後,即會啟動您的工作階段並開啟瀏覽器。您下次登入時,就只需在裝置開機的時候輸入一次密碼。如果遇到問題,請與您的 IT 管理員聯絡。
常見問題
我能否使用 Windows 整合式驗證 (WIA),讓使用者得以登入瀏覽器型應用程式和內部網路,而不必手動輸入使用者名稱和密碼?
不行。我們不再於 Active Directory 同盟服務 (AD FS) 中支援 WIA。詳情請參閱「使用 Active Directory 管理 Chrome 作業系統裝置」。
透過 SAML 提供者登入後,系統提示我必須重新輸入密碼,這是正常現象嗎?
是,如要離線存取及解鎖您的 ChromeOS 裝置,這就會是必要步驟。如果您想取消這個確認步驟,可以實作我們提供給 SAML 廠商的 API。
如果使用者在其他裝置上變更了個人密碼,如何確保裝置可同步獲得更新,而能夠使用這組新密碼解鎖?
建議您使用 Directory API 提供的簡單更新方式,以在密碼變更時通知驗證伺服器。請在「要求內文」中輸入密碼值。若未使用 API,伺服器就要等到下次線上登入流程,才會偵測到密碼變更。根據預設,即使沒有變更密碼,裝置也會每 14 天就強制使用者進行線上登入。如要改變這個週期,請在管理控制台中依序前往「裝置」
我的密碼含有特殊字元,這樣的密碼有效嗎?
系統僅支援 ASCII 可列印字元。
畫面上顯示:「糟糕,您無法登入。由於設定使用的網址不安全,導致登入失敗。請與您的管理員聯絡或再試一次」。該怎麼辦?
如有員工回報這個錯誤訊息,表示 SAML IdP 嘗試使用 HTTP 網址,而系統僅支援 HTTPS 網址。請注意,整個登入流程只能透過 HTTPS 進行。所以如果初始登入表單採用 HTTPS,但您的 IdP 在後續過程中被重新導向至 HTTP 網址,就會收到這則錯誤訊息。如果在您修正錯誤後,使用者依然收到錯誤訊息,請與 Google Cloud 支援團隊聯絡。
我是 IT 管理員,為什麼我沒有被重新導向至我的 SAML 身分識別提供者?
這是正常的。當設定過程中發生問題時,我們希望管理員仍可登入帳戶並排解問題。
單一登入 (SSO) 是否支援傳輸層安全標準 (TLS) 和安全資料傳輸層 (SSL) 內容篩選器?
是,請按照「在 ChromeOS 裝置上設定 TLS (或 SSL) 檢查功能」中的說明進行設定。除了允許「設定主機名稱允許清單」中所列出的網域,您也必須允許單一登入 (SSO) 識別資訊提供者的網域和 www.google.com。
SSO 如何搭配攝影機權限運作?
如要代表您的單一登入 (SSO) 使用者允許第三方軟體直接存取裝置的攝影機,您可以啟用單一登入攝影機權限。
依序前往「裝置」
詳情請參閱「設定 ChromeOS 裝置政策」。
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。