當您需要為 Chrome 應用程式設定安全宣告標記語言 (SAML) 單一登入 (SSO) 時,可以使用 SAML SSO for Chrome Apps 擴充功能來進行。
使用者可以透過在貴機構其他地方使用的同一種驗證機制來登入 Chrome 應用程式,而他們的密碼可以保留在機構的識別資訊提供者 (IdP) 系統中。
注意事項
- SAML 單一登入 (SSO) 是一種聯合驗證,必須對服務的後端進行設定。SSO 會自動支援使用者透過 Chrome 瀏覽器造訪的 SAML 應用程式,但不支援使用者從 Chrome 線上應用程式商店安裝的 Chrome 應用程式 (例如 Citrix Receiver 或 Cisco AnyConnect)。
- SAML SSO for Chrome Apps 擴充功能只會將 Cookie 分給許可網域中加入許可清單的應用程式。
- 加入許可清單中的應用程式必須是您完全信任的應用程式 (不會洩漏使用者的資料)。請務必提供同意表單給使用者,因為您可全權代表使用者將權限授予特定應用程式,一旦透過政策授予權限,系統就不會向使用者顯示任何同意表單。
- Cookie 存取權受到主要篩選條件 (網域) 和次要篩選條件 (Cookie 的名稱、路徑和安全屬性) 限制。除了網域篩選條件以外,還會一併套用這些次要參數。如果是未提供網域的項目,則不會傳回任何 Cookie。如果許可清單沒有任何內容,則會執行預設行為,也就是一律封鎖傳入的要求,並且不分發任何 Cookie。
步驟 1:為您的應用程式設定 SAML SSO
- 按照 SAML 供應商的相關說明文件為各家服務正確設定聯合驗證。
- 為 Chromebook 設定 SAML SSO 以確認設定是否順利完成。
- 使用 SAML 登入 Chromebook,然後透過 Chrome 瀏覽器前往 SAML 供應商的登入網頁。請勿透過 Chrome 應用程式登入。
如果使用者已自動登入,您就必須同時為 Google 和供應商的後端設定 SAML。
步驟 2:取得許可網域清單
您可以使用 Cookie API Test Extension 手動檢查 SAML 供應商在 ChromeOS 中設定的 Cookie,並整理一份許可網域清單。這是來自 Chrome API 範例的線上版擴充功能,您也可以向識別資訊管理員索取清單。
- 安裝 Cookie API Test Extension。
- 登入帳戶並直接檢查 Chrome 瀏覽器的 Cookie 儲存庫 (不要造訪其他網站)。
您也可以下載 ZIP 檔案,然後透過 chrome://extensions 手動安裝。
步驟 3:建立設定檔
為許可網域建立設定檔。完整對應架構位於擴充功能的 schema.json 檔案中。
設定範例如下:
{
"allowlist": {
"Value": [
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1"
},
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1",
"name": "Secondary Cookie Name",
"secure": true
},
{
"appId": "eeeeefffffgggggghhhhhhh",
"domain": "domain1",
"path": "secondary.path"
}
]
}
}
步驟 4:部署 SAML SSO for Chrome Apps 擴充功能
- 您可以前往對應的應用程式管理網址,為機構中的使用者自動安裝 SAML SSO for Chrome Apps 擴充功能。如要瞭解如何強制安裝特定應用程式,請參閱自動安裝應用程式和擴充功能。
- 上傳您在步驟 3 儲存的設定檔。如要瞭解為應用程式和擴充功能安裝自訂政策的相關資訊,請參閱擴充功能政策。
回報問題
如果您對 SAML SSO for Chrome Apps 擴充功能有任何問題或功能要求,可以在 GitHub 存放區中提出。