คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
การใช้ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) จะช่วยให้ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชันระบบคลาวด์ในองค์กรด้วยข้อมูลเข้าสู่ระบบ Google Cloud ของตนเองได้
ตั้งค่า SSO ผ่าน SAML สำหรับ Amazon Business
ขั้นตอนการตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) ผ่าน SAML สำหรับแอปพลิเคชัน Amazon Business มีดังนี้
ขั้นตอนที่ 1: ดาวน์โหลดข้อมูลผู้ให้บริการข้อมูลประจำตัว (IdP) ของ Google-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
แอป
แอปในเว็บและบนอุปกรณ์เคลื่อนที่
-
คลิกเพิ่มแอป
- ป้อน Amazon Business ในช่องค้นหา
- ในผลการค้นหา ให้วางเมาส์เหนือแอป SAML Amazon Business แล้วคลิกเลือก
- ดาวน์โหลดไฟล์ข้อมูลเมตาของ IDP ในหน้ารายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google
- เปิดคอนโซลผู้ดูแลระบบค้างไว้เนื่องจากคุณจะมาดำเนินการต่อในวิซาร์ดการกำหนดค่าหลังทำขั้นตอนถัดไปในแอปพลิเคชัน Amazon Business เรียบร้อยแล้ว
คุณต้องมีบัญชี Amazon Business ที่ถูกต้องสำหรับงานนี้
- ลงชื่อเข้าใช้บัญชี Amazon Business ที่ amazon.com
- คลิกชื่อบัญชีที่ด้านขวาบน แล้วเลือก Your Account จากเมนูแบบเลื่อนลง
- บนหน้าโปรไฟล์บัญชี ให้คลิก Amazon Business settings
- (ไม่บังคับ) ในส่วน System integrations ให้คลิก Domain verification จากนั้นทำตามขั้นตอนเพื่อเพิ่มและยืนยันโดเมน Google Workspace ของคุณ
- ในส่วน System integrations ให้เลือก Single Sign-On (SSO)
- สำหรับ IDP Selected ให้คลิก Change แล้วยืนยัน
- จากรายการ Change IDP Selection ให้เลือก Google gSuite แล้วคลิก Reset Configuration
- สำหรับ Default Group ให้เลือกกลุ่มค่าเริ่มต้น และสำหรับ Default Buying Role ให้เลือกบทบาท แล้วคลิก Next
- ค้นหาและอัปโหลดไฟล์ XML ข้อมูลเมตาของ Google IdP ที่ดาวน์โหลดไว้ในขั้นตอนที่ 1 ข้างต้น ระบบจะแยกวิเคราะห์ Entity ID, IssuerURL, Signing certificate และ HTTP-Redirect URL จากไฟล์ XML โดยอัตโนมัติ
- คลิก Next
- ในหน้า Attribute Mapping ให้แมปแอตทริบิวต์ Amazon กับค่า SAML AttributeName ดังนี้
ข้อมูลใน Amazon SAML AttributeName อีเมล email First Name firstName นามสกุล lastName - คลิก Next
- ในส่วน Amazon connection data ให้คัดลอก SSO URL ซึ่งต้องใช้เมื่อกําหนดค่าฝั่ง Google ในคอนโซลผู้ดูแลระบบในขั้นตอนที่ 3 ด้านล่างเสร็จแล้ว
- กลับไปที่แท็บเบราว์เซอร์ที่เปิดคอนโซลผู้ดูแลระบบไว้
- ในหน้ารายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google ให้คลิกต่อไป
- ในหน้ารายละเอียดของผู้ให้บริการ ให้แทนที่ ACS URL ด้วย URL ของ SSO ที่คัดลอกมาจากการตั้งค่า SSO ของ Amazon Business ในตอนท้ายของขั้นตอนที่ 2 ด้านบน
- อัปเดตรหัสเอนทิตีสำหรับภูมิภาค เช่น สำหรับอเมริกาเหนือ ให้ใช้ https://www.amazon.com หรือใช้ https://www.amazon.jp สำหรับญี่ปุ่น และสำหรับยุโรป ให้ใช้ https://www.amazon.de
- คลิกต่อไป
- คลิกเมนูเลือกช่องในหน้าการแมปแอตทริบิวต์ แล้วแมปแอตทริบิวต์ไดเรกทอรีของ Google ต่อไปนี้กับแอตทริบิวต์ของ Amazon Business ที่ตรงกัน โปรดทราบว่า firstName, lastName และ email เป็นแอตทริบิวต์ที่จำเป็น
แอตทริบิวต์ไดเรกทอรีของ Google แอตทริบิวต์ของ Amazon Business Basic Information > Primary Email email Basic Information > First Name firstName Basic Information > Last Name lastName - (ไม่บังคับ) คลิกเพิ่มการแมปเพื่อเพิ่มการแมปเพิ่มเติมตามต้องการ
-
(ไม่บังคับ) หากต้องการป้อนชื่อกลุ่มที่เกี่ยวข้องกับแอปนี้ ให้ทำดังนี้
- สำหรับการเป็นสมาชิกกลุ่ม (ไม่บังคับ) ให้คลิกค้นหากลุ่ม แล้วป้อนตัวอักษรของชื่อกลุ่มอย่างน้อย 1 ตัว จากนั้นเลือกชื่อกลุ่ม
- เพิ่มกลุ่มอีกตามต้องการ (สูงสุด 75 กลุ่ม)
- ป้อนชื่อแอตทริบิวต์กลุ่มที่เกี่ยวข้องของผู้ให้บริการสำหรับแอตทริบิวต์แอป
ไม่ว่าคุณจะป้อนชื่อกลุ่มกี่รายการก็ตาม คำตอบของ SAML จะรวมเฉพาะกลุ่มที่ผู้ใช้เป็นสมาชิกอยู่เท่านั้น (ทั้งโดยตรงหรือโดยอ้อม) โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเกี่ยวกับการเชื่อมโยงการเป็นสมาชิกกลุ่ม
- คลิกเสร็จสิ้น
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
- เลือก Amazon Business
-
คลิกสิทธิ์การเข้าถึงของผู้ใช้
-
หากต้องการเปิดหรือปิดบริการให้ทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก
-
(ไม่บังคับ) วิธีเปิดหรือปิดบริการสำหรับหน่วยขององค์กร
- เลือกหน่วยขององค์กรทางด้านซ้าย
- หากต้องการเปลี่ยนสถานะบริการ ให้เลือกเปิดหรือปิด
- เลือกการตั้งค่าแบบใดแบบหนึ่งต่อไปนี้
- หากตั้งค่าสถานะบริการเป็นรับค่า และคุณต้องการคงการตั้งค่าที่อัปเดตแล้วไว้ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป ให้คลิกลบล้าง
- หากตั้งค่าสถานะบริการเป็นลบล้าง ให้คลิกรับค่าเพื่อเปลี่ยนกลับเป็นการตั้งค่าเดียวกันกับระดับบนสุด หรือคลิกบันทึกเพื่อคงการตั้งค่าใหม่ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป
หมายเหตุ: ดูข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างองค์กร
-
หากต้องการเปิดบริการให้กับกลุ่มผู้ใช้ในหน่วยขององค์กร ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อเปิดบริการให้กับกลุ่ม
Amazon Business รองรับ SSO ทั้งจากผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP) โปรดทำตามขั้นตอนต่อไปนี้เพื่อยืนยัน SSO ได้ทั้ง 2 โหมด
โหมดที่ใช้ IdP
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
- เลือก Amazon Business
- คลิกทดสอบการเข้าสู่ระบบผ่าน SAML ด้านซ้ายบน
ระบบจะเปิด Amazon Business ขึ้นมาในแท็บใหม่ หากไม่มีแท็บใหม่เปิดขึ้นมา ให้นำข้อมูลที่ได้จากข้อความแสดงข้อผิดพลาดของ SAML ที่ระบบแจ้งไปอัปเดตการตั้งค่า IdP และ SP ให้เหมาะสม จากนั้นจึงทดสอบการเข้าสู่ระบบ SAML อีกครั้ง
โหมดที่ใช้ SP
- ใน Amazon ให้ไปที่หน้า SSO Connection Details
- ในส่วน Status ให้คลิก Start Testing
- คลิก Test หน้าต่างเบราว์เซอร์ใหม่จะเปิดขึ้นซึ่งจะเปลี่ยนเส้นทางคุณไปยัง Google เพื่อการตรวจสอบสิทธิ์
- ลงชื่อเข้าใช้ในฐานะผู้ใช้ Google ที่มีสิทธิ์เข้าถึงบัญชี Amazon Business
- ตรวจสอบรายการต่อไปนี้
- บัญชีผู้ใช้ลงชื่อเข้าใช้ Amazon Business สำเร็จแล้ว
- URL ที่เริ่มต้นโดย SP และ URL ที่เริ่มต้นโดย IdP จะแสดงในหน้า SSO Connection Details
- คลิก Activate เมื่อคุณพร้อมให้ผู้ใช้ใช้ URL ที่เริ่มต้นโดย SP ได้
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง