为 Chrome 设备配置 SAML 单点登录

如果 Chrome 设备支持安全断言标记语言 (SAML) 单点登录 (SSO),用户就可以通过在单位中其他地方使用的同一身份验证机制登录 Chrome 设备。用户密码可以保留在您单位的身份提供商 (IdP) 网站。登录方式与在浏览器中通过 G Suite 的 SAML SSO 功能登录 G Suite 帐号十分类似。不过,由于用户是要登录设备,因此还需注意一些其他事项。

要求

  • Chrome 设备运行的是 36 或更高版本的 Chrome 操作系统
  • 相应网域已针对 G Suite 的 SAML SSO 功能进行配置
  • SAML 网址使用的是 HTTPS(而不是 HTTP)
  • 您设备的 Chrome 许可

第 1 步:

如果您还没有为 G Suite 帐号设置 SSO,请进行设置。

第 2 步:

在您拥有的测试网域上设置和测试 SAML SSO。如果您没有测试网域,则可让少量用户测试此功能。为此,您可以组建一个测试群组并仅为该群组中的用户启用 SSO。在让少量用户测试完此功能后,您便可向大约 5% 的用户推广此功能。

  1. 在 Google 管理控制台中,依次点击设备管理 > Chrome 管理 > 用户设置
  2. 从“单点登录”下方的下拉菜单中选择为 Chrome 设备启用基于 SAML 的单点登录
  3. 点击保存更改

第 3 步(可选):

要让单点登录用户在登录其 Chrome 设备后即可登录依靠相同身份提供商的内部网站和云服务,您可以启用 SAML 单点登录 Cookie。

请前往设备管理 > Chrome 管理 > 设备设置 > 单点登录 Cookie 行为详细了解此设置

第 4 步(可选):

要让单点登录用户不必先输入自己的电子邮件地址,就可以直接前往 SAML IdP 页面,您可以启用 SAML SSO IdP 重定向功能。

请前往设备管理 > Chrome 管理 > 设备设置 > 单点登录 IdP 重定向详细了解此设置

第 5 步:

让您单位中 5% 的用户在 Chrome 设备上测试 SAML SSO 后,您就可以为其他群组启用同一政策,向所有人推行这项服务。如果遇到问题,请联系 Google Cloud支持

配置完成后,用户就需要按以下步骤登录 Chrome 设备。

通过 SAML 单点登录服务登录 Chrome 设备

在 Chrome 设备上为贵单位配置 SAML SSO 后,用户将需要按以下步骤登录 Chrome 设备。

要求

登录顺序:

当用户首次登录 Chrome 设备时,引导他们执行以下操作。注意:您必须先进行测试,再为全单位推行这项服务。

  1. 在 Chrome 设备登录页面上输入您的用户名(完整的电子邮件地址)。此步骤无需密码。
  2. 系统会将您转到单位的 SAML SSO 页面。在 SAML 提供商登录页面输入您的 SAML 凭据。
  3. 根据系统提示重新输入密码,然后完成登录。仅当身份提供商未实施 Credentials Passing API 的情况下,您才需要执行此步骤。只有这样,用户才能离线访问您的 Chrome 设备并为其解锁。
  4. 成功登录后,系统就会启动您的会话并打开浏览器。下次登录时,您只需在启动 Chrome 设备时输入一次密码即可。如果您遇到问题,请与 IT 管理员联系。

常见问题解答

通过 SAML 提供商登录后,系统提示我重新输入密码。这种情况正常吗?

正常。因为只有这样,用户才能离线访问您的 Chrome 设备并为其解锁。我们提供了一个 API,SAML 供应商实施该 API 后便可省去此确认步骤。

如果用户在其他设备上更改了自己的密码,如何确保 Chrome 设备能够更新为使用新密码解锁?

我们建议您使用 Directory API 提供的简单更新方式。当密码发生变化时,此 API 就会通知身份验证服务器。请在请求正文中输入密码值。如果您未使用此 API,系统就要等到下一次在线登录流程,才能检测到密码更改。默认情况下,即使密码未更改,Chrome 设备也会强制用户每 14 天进行一次在线登录。要在管理控制台中更改此期限,您可以依次点击设备管理 > Chrome 管理 > 用户设置 > 单点登录在线登录频率

我的密码包含特殊字符,该密码能正常使用吗?

我们仅支持 ASCII 码中的可打印字符

我看到屏幕上显示“糟糕!您无法登录,因为登录流程被配置为使用不安全的网址。请与您的管理员联系或重试”。我该怎么办?

如果您的员工报告此错误消息,则表示 SAML IdP 正在尝试使用 HTTP 网址(但系统仅支持 HTTPS 网址)。整个登录流程必须仅使用 HTTPS,这一点非常重要。因此,即使初始登录表单采用 HTTPS 协议,如果您在后续流程中将 IdP 重定向至某个 HTTP 网址,也会收到此错误消息。如果您已修正此错误,但用户仍然收到错误消息,请联系 Google Cloud支持

我是一名 IT 管理员,为什么系统没有将我重定向至我的 SAML 身份提供商?

这是设计所致。如果设置过程中出现问题,我们还是希望管理员能够登录并排查问题。

单点登录能否与 TLS 和 SSL 内容过滤器搭配使用?

可以。请按照这些说明在 Chrome 设备上设置 TLS(或 SSL)检查。除了设置主机名白名单中记录的已列入白名单的网域之外,您还需要将 SSO 身份提供商网域和 www.google.com 列入白名单。

如何授权通过 SSO 登录的软件使用相机?

如要代表单点登录用户授权第三方软件直接使用设备相机,您可以启用单点登录相机权限。

请前往设备管理 > Chrome 管理 > 设备设置 > 单点登录相机权限白名单详细了解此设置

启用此设置即表示管理员将代表用户授予第三方访问用户相机的权限。管理员应确保为用户提供适当的同意书,因为通过此政策授予相机访问权限后,系统将不会向最终用户显示任何同意书。

 

 

该内容对您有帮助吗?
您有什么改进建议?