Menyiapkan SSO untuk organisasi Anda

Anda dapat menyiapkan SSO dengan Google sebagai penyedia layanan melalui beberapa cara, bergantung pada kebutuhan organisasi. Profil SSO, yang berisi setelan bagi IdP, memberi Anda fleksibilitas untuk menerapkan setelan SSO yang berbeda ke berbagai pengguna di organisasi.

Google Workspace mendukung protokol SSO berbasis SAML dan OIDC:

Jika semua pengguna Anda akan login melalui satu IdP, menggunakan SAML:

  1. Ikuti langkah-langkah di bawah pada bagian Mengonfigurasi profil SSO untuk organisasi Anda.
  2. Jika Anda ingin mengecualikan beberapa pengguna agar tidak menggunakan SSO (dan meminta mereka login ke Google secara langsung), ikuti langkah-langkah dalam Menentukan pengguna mana yang harus menggunakan SSO, yang memberi Anda opsi untuk menetapkan 'Tidak ada' Profil SSO. 

Jika Anda menggunakan beberapa IdP untuk pengguna, atau menggunakan OIDC:

Langkah-langkah yang Anda ikuti bergantung pada protokol yang digunakan oleh IdP Anda (SAML atau OIDC):

Jika pengguna menggunakan URL layanan khusus domain untuk mengakses layanan Google (misalnya, https://mail.google.com/a/example.com), Anda juga dapat mengelola cara URL berfungsi dengan SSO.

Sebelum memulai

Untuk menyiapkan profil SSO SAML, Anda memerlukan beberapa konfigurasi dasar dari tim dukungan atau dokumentasi IdP:

  • URL halaman login Konfigurasi ini juga dikenal sebagai URL SSO atau Endpoint SAML 2.0 (HTTP). Halaman ini merupakan tempat pengguna login ke IdP Anda.
  • URL halaman logout Tempat pengguna diarahkan setelah keluar dari aplikasi atau layanan Google.
  • Sertifikat X.509 sertifikat PEM dari IdP Anda. Untuk informasi selengkapnya terkait sertifikat X.509, lihat Kunci SAML dan sertifikat verifikasi.
  • URL ubah sandi Halaman tempat pengguna SSO dapat mengubah sandi mereka (bukan mengubah sandi mereka dengan Google).

Mengonfigurasi profil SSO untuk organisasi

Gunakan opsi ini jika semua pengguna yang menggunakan SSO akan menggunakan satu IdP. 

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan IdP pihak ketiga.
  3. Pada Profil SSO pihak ketiga untuk organisasi Anda, klik Tambahkan profil SSO.
  4. Centang kotak Siapkan SSO dengan penyedia identitas pihak ketiga.

Isi informasi berikut untuk IdP Anda:

  • Masukkan URL halaman login dan URL halaman logout untuk IdP Anda.

    Catatan: Semua URL harus dimasukkan dan menggunakan HTTPS, misalnya https://sso.example.com.

  • Klik Upload certificate, lalu temukan dan upload sertifikat X.509 yang diberikan oleh IdP Anda. Untuk mengetahui informasi terkait cara membuat sertifikat, lihat Kunci SAML dan sertifikat verifikasi.
  • Pilih apakah akan menggunakan penerbit khusus domain dalam permintaan SAML dari Google.

    Jika Anda memiliki beberapa domain yang menggunakan SSO dengan IdP, gunakan penerbit khusus domain untuk mengidentifikasi domain yang benar yang mengeluarkan permintaan SAML.

    • Dicentang  Google mengirimkan penerbit khusus untuk domain Anda: google.com/a/example.com (dengan example.com adalah nama domain Google Workspace utama Anda)
    • Tidak dicentang Google mengirimkan penerbit standar dalam permintaan SAML: google.com
  • (Opsional) Untuk menerapkan SSO ke sekumpulan pengguna dalam rentang alamat IP tertentu, masukkan network mask. Untuk mengetahui informasi selengkapnya, lihat Hasil pemetaan jaringan.

    Catatan: Anda juga dapat menyiapkan SSO parsial dengan menetapkan profil SSO ke unit organisasi atau grup tertentu.

  • Masukkan URL ubah sandi untuk IdP Anda. Pengguna akan membuka URL ini (bukan halaman ubah sandi Google) untuk mereset sandi mereka.

    Catatan: Jika Anda memasukkan URL di sini, pengguna akan diarahkan ke halaman ini meskipun jika Anda tidak mengaktifkan SSO untuk organisasi.

Menonaktifkan SSO untuk semua pengguna

Jika Anda perlu menonaktifkan autentikasi pihak ketiga untuk semua pengguna tanpa mengubah penetapan profil SSO untuk OU atau grup, Anda dapat menonaktifkan profil SSO pihak ketiga:

  1. Hapus centang Siapkan SSO dengan penyedia identitas pihak ketiga.
  2. Klik Simpan.

Membuat profil SSO SAML

Ikuti langkah-langkah berikut untuk membuat profil SSO pihak ketiga. Anda dapat membuat hingga 1.000 profil di organisasi Anda.

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan IdP pihak ketiga.
  3. Pada bagian Profil SSO pihak ketiga, klik Tambahkan profil SAML.
  4. Masukkan nama untuk profil.
  5. Isi URL halaman login dan informasi lain yang diperoleh dari IdP Anda.
  6. Masukkan URL ubah sandi untuk IdP Anda. Pengguna akan membuka URL ini (bukan halaman ubah sandi Google) untuk mereset sandi mereka.
  7. Klik Upload sertifikat, lalu cari dan upload file sertifikat. Untuk mengetahui informasi terkait cara membuat sertifikat, lihat Kunci SAML dan sertifikat verifikasi.
  8. Klik Simpan.
  9. Pada bagian Detail SP, salin dan simpan ID Entitas serta URL ACS. Anda memerlukan nilai ini untuk mengonfigurasi SSO dengan Google di panel kontrol admin IdP.
  10. (Opsional) Jika IdP mendukung enkripsi pernyataan, Anda dapat membuat dan membagikan sertifikat kepada IdP untuk mengaktifkan enkripsi. Setiap profil SSO SAML dapat memiliki hingga 2 sertifikat SP.
    1. Klik bagian Detail SP untuk menggunakan mode edit.
    2. Pada bagian Sertifikat SP, klik Buat sertifikat. (Sertifikat akan ditampilkan setelah Anda menyimpannya.)
    3. Klik Simpan. Nama, tanggal habis masa berlaku, dan konten sertifikat akan ditampilkan.
    4. Gunakan tombol di atas sertifikat untuk menyalin konten sertifikat atau mendownloadnya sebagai file, lalu bagikan sertifikat tersebut kepada IdP Anda. 
    5. (Opsional) Jika Anda perlu mengganti sertifikat, kembali ke Detail SP, lalu klik Buat sertifikat lain, lalu bagikan sertifikat baru tersebut kepada IdP. Setelah yakin bahwa IdP menggunakan sertifikat baru, Anda dapat menghapus sertifikat asli.

Menentukan pengguna yang harus menggunakan SSO

Aktifkan SSO untuk OU atau grup dengan menetapkan profil SSO dan IdP terkait. Atau, nonaktifkan SSO dengan menetapkan 'Tidak Ada' untuk profil SSO. Anda juga dapat menerapkan kebijakan SSO campuran di dalam OU atau grup, misalnya mengaktifkan SSO untuk OU secara keseluruhan, lalu menonaktifkannya untuk sub-OU. 

  1. Klik Kelola penetapan profil SSO.
  2. Jika ini pertama kalinya Anda menetapkan profil SSO, klik Mulai. Jika sudah pernah menetapkannya, klik Kelola.
  3. Di sebelah kiri, pilih unit organisasi atau grup tempat Anda akan menetapkan profil SSO.
    • Jika penetapan profil SSO untuk OU atau grup berbeda dengan penetapan profil di seluruh domain, peringatan penggantian akan muncul saat Anda memilih OU atau grup tersebut.
    • Anda tidak dapat menetapkan profil SSO per pengguna. Tampilan Pengguna memungkinkan Anda memeriksa setelan untuk pengguna tertentu.
  4. Pilih Penetapan profil SSO untuk OU atau grup yang dipilih:
    • Untuk mengecualikan OU atau grup dari SSO, pilih Tidak ada. Pengguna di OU atau grup akan login dengan Google secara langsung.
    • Untuk menetapkan IdP lain ke OU atau grup, pilih Profil SSO lainnya, lalu pilih profil SSO dari menu dropdown.
  5. (Khusus profil SSO SAML) Setelah memilih profil SAML, pilih opsi login bagi pengguna yang langsung membuka layanan Google tanpa login terlebih dahulu ke IdP pihak ketiga profil SSO. Anda dapat meminta nama pengguna Google mereka, lalu mengalihkan mereka ke IdP, atau mewajibkan pengguna memasukkan nama pengguna dan sandi Google mereka. 

    Catatan: Jika Anda memilih untuk mewajibkan pengguna memasukkan nama pengguna dan sandi Google mereka, setelan Ubah URL sandi untuk profil SSO SAML ini (tersedia di Profil SSO > detail IDP) diabaikan. Hal ini memastikan bahwa pengguna dapat mengubah sandi Google mereka sesuai kebutuhan.

  6. (Khusus profil SSO Microsoft OIDC) Masukkan sandi akun Microsoft Anda, lalu klik Sign in untuk memverifikasi konfigurasi SSO Microsoft Anda.

    Jika Anda adalah admin organisasi Azure AD, Anda memiliki opsi untuk menyetujui izin atas nama organisasi. Artinya, pengguna akhir tidak akan diminta untuk memberikan izin OAuth.

  7. Klik Simpan.
  8. Tetapkan profil SSO ke OU atau grup lain sesuai kebutuhan.

Setelah menutup kartu Kelola penetapan profil SSO, Anda akan melihat penetapan yang diperbarui untuk OU dan grup di bagian Kelola penetapan profil SSO

Menghapus tugas dari daftar penetapan profil SSO

  1. Klik nama grup atau unit organisasi untuk membuka setelan penetapan profilnya.
  2. Ganti setelan tugas yang ada dengan setelan unit organisasi induk:
    • Untuk penetapan unit organisasi—klik Wariskan.
    • Untuk penetapan grup—klik Batalkan penetapan.  
    • Untuk penetapan OU root, tetapkan penetapan ke Tidak ada (atau profil SSO pihak ketiga organisasi) jika Anda ingin menggunakan profil SSO Pihak Ketiga untuk organisasi Anda.

Mengelola URL layanan khusus domain

Setelan URL layanan khusus domain memungkinkan Anda mengontrol apa yang akan terjadi saat pengguna login menggunakan URL layanan seperti https://mail.google.com/example.com. Ada dua opsi:

  • Mengalihkan pengguna ke IdP pihak ketiga. Pilih opsi ini untuk selalu mengarahkan pengguna tersebut ke IdP pihak ketiga yang Anda pilih di menu drop-down profil SSO. Profil ini dapat berupa profil SSO untuk organisasi Anda, atau profil pihak ketiga lainnya (jika Anda telah menambahkannya).

    Penting: Jika Anda memiliki unit organisasi atau grup yang tidak menggunakan SSO, jangan pilih setelan ini. Pengguna non-SSO Anda akan otomatis dirutekan ke IdP dan tidak dapat login.

  • Wajibkan pengguna untuk memasukkan nama pengguna mereka di halaman login Google. Dengan opsi ini, pengguna yang memasukkan URL khusus domain akan dikirim terlebih dahulu ke halaman login Google. Jika pengguna merupakan pengguna SSO, mereka akan dialihkan ke halaman login IdP.

Lihat juga

Login dengan SSO

Memecahkan masalah SSO

Apakah ini membantu?

Bagaimana cara meningkatkannya?
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
16114592197197199145
true
Pusat Bantuan Penelusuran
true
true
true
false
false