Konfigurowanie własnej aplikacji SAML

Używanie logowania jednokrotnego opartego na SAML

Dzięki logowaniu jednokrotnemu (SSO) użytkownicy mogą uzyskać dostęp do wszystkich firmowych aplikacji internetowych, logując się tylko raz przy użyciu danych zarządzanego konta Google. Google oferuje wstępnie zintegrowane logowanie jednokrotne (SSO) dla ponad 200 popularnych aplikacji internetowych.

Aby skonfigurować logowanie jednokrotne przez SAML w aplikacji niestandardowej, która nie znajduje się w katalogu wstępnych integracji, wykonaj te czynności.

Konfigurowanie własnej aplikacji SAML

Rozwiń wszystko  |  Zwiń wszystko

Krok 1. Dodaj własną aplikację SAML
  1. Zaloguj się w: konsoli administracyjnej Google.

    Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Aplikacje a potem Aplikacje internetowe i mobilne.
  3. Kliknij Dodaj aplikację a potem Dodaj własną aplikację SAML.
    Wpisz nazwę aplikacji i opcjonalnie prześlij ikonę aplikacji. Ikona aplikacji pojawia się na liście aplikacji internetowych i mobilnych, na stronie ustawień aplikacji i w Menu z aplikacjami. Jeśli nie prześlesz ikony, zostanie ona utworzona na podstawie pierwszych 2 liter nazwy aplikacji.
  4. Kliknij Dalej.
  5. Na stronie Informacje o dostawcy tożsamości Google uzyskaj dane konfiguracyjne wymagane przez dostawcę usług, korzystając z jednego z tych sposobów:
    1. Pobierz metadane dostawcy tożsamości.
    2. Skopiuj wartości z pól Adres URL logowania jednokrotnego oraz Identyfikator jednostki i pobierz certyfikat (lub w razie potrzeby odcisk cyfrowy SHA-256).
  6. (Opcjonalnie) Aby wpisać informacje na odpowiedniej stronie konfiguracji logowania jednokrotnego, na oddzielnej karcie lub w oddzielnym oknie przeglądarki zaloguj u dostawcy usług i wpisz informacje skopiowane w kroku 5, a następnie wróć do konsoli administracyjnej.
  7. Kliknij Dalej.
  8. Aby poznać wartości tych pól, skontaktuj się z dostawcą usług. W oknie Szczegóły usługodawcy wpisz:
    1. Adres URL usługi ACS – adres URL usługi konsumenta potwierdzenia pobiera odpowiedź SAML. Musi zaczynać się od https://.
    2. Identyfikator jednostki – unikatowa nazwa globalna.
    3. URL początkowy – (opcjonalny) ustawia parametr RelayState w żądaniu SAML, które może być adresem URL do przekierowania po uwierzytelnieniu.
  9. (Opcjonalnie) Aby wskazać, że dostawca usług wymaga podpisania całej odpowiedzi uwierzytelniania SAML, zaznacz pole Podpisana odpowiedź. Jeśli ta opcja nie jest zaznaczona (ustawienie domyślne), podpisywane jest tylko potwierdzenie w odpowiedzi.
  10. (Opcjonalnie) Ustaw format Identyfikatora nazwy i wartość Identyfikatora nazwy dla własnej aplikacji SAML. Domyślną wartością w polu Identyfikator nazwy jest główny adres e-mail.
    Wskazówka: mapowania identyfikatorów nazw wymagane przez aplikacje w katalogu można znaleźć w artykułach na temat konfiguracji w Katalogu aplikacji SAML. Można też utworzyć (w konsoli administracyjnej lub za pomocą interfejsów API pakietu Google Admin SDK) atrybuty niestandardowe i użyć ich do mapowania.
  11. Kliknij Dalej.
  12. W razie potrzeby kliknij Dodaj mapowanie, aby zmapować atrybuty użytkownika zgodnie z wymaganiami dostawcy usług.
    Uwaga: możesz zdefiniować maksymalnie 10 tys. atrybutów we wszystkich aplikacjach. Każda aplikacja ma 1 atrybut domyślny, który jest wliczany do tego limitu.
    1. W sekcji Atrybuty katalogu Google kliknij menu Wybierz pole i wybierz nazwę pola. Nie wszystkie atrybuty katalogu Google są dostępne na liście. Jeśli atrybut, który chcesz zmapować (np. adres e-mail menedżera), jest niedostępny, możesz dodać go jako atrybut niestandardowy, dzięki czemu będzie on tutaj dostępny do wyboru.
    2. W sekcji Atrybuty aplikacji wpisz odpowiedni atrybut własnej aplikacji SAML.
  13. (Opcjonalnie) Aby wpisać nazwy grup odpowiednie dla tej aplikacji:
    1. W polu Członkostwo w grupie (opcjonalne) kliknij Wyszukaj grupę, wpisz co najmniej jedną literę nazwy grupy i wybierz nazwę grupy.
    2. W razie potrzeby dodaj kolejne grupy (maksymalnie 75 grup).
    3. W polu Atrybut aplikacji wpisz nazwę atrybutu grup odpowiedniego usługodawcy.

    Bez względu na to, ile nazw grup wpiszesz, odpowiedź SAML będzie zawierać tylko grupy, do których należy użytkownik (bezpośrednio lub pośrednio). Więcej informacji znajdziesz w artykule Mapowanie członkostwa w grupie.

  14. Kliknij Zakończ.
Krok 2. Włącz aplikację SAML
  1. Zaloguj się w: konsoli administracyjnej Google.

    Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Aplikacje a potem Aplikacje internetowe i mobilne.
  3. Wybierz aplikację SAML.
  4. Kliknij Dostęp użytkownika.
  5. Aby włączyć lub wyłączyć usługę dla wszystkich użytkowników w organizacji, kliknij Włączone dla wszystkich lub Wyłączone dla wszystkich, a następnie Zapisz.

  6. (Opcjonalnie) Aby włączyć lub wyłączyć usługę w jednostce organizacyjnej:
    1. Po lewej stronie wybierz jednostkę organizacyjną.
    2. Aby zmienić stan usługi, wybierz Wł. lub Wył.
    3. Wybierz jedną z tych opcji:
      • Jeśli stan usługi to Dziedziczone i chcesz zachować zaktualizowane ustawienie, nawet jeśli ustawienie nadrzędne ulegnie zmianie, kliknij Zastąp.
      • Jeśli stan usługi to Zastąpione, kliknij Odziedzicz, aby przywrócić to samo ustawienie, co jego ustawienie nadrzędne, lub Zapisz, aby zachować nowe nawet wtedy, gdy ustawienie nadrzędne ulegnie zmianie.
        Uwaga: więcej informacji o strukturze organizacyjnej.
  7. Aby włączyć usługę dla grupy użytkowników w jednej jednostce organizacyjnej lub wielu, wybierz grupę dostępu. Szczegółowe informacje znajdziesz w artykule na temat włączania usługi dla grupy.
  8. Upewnij się, że adresy e-mail używane przez użytkowników do logowania się w aplikacji SAML są zgodne z adresami używanymi do logowania się w Twojej domenie Google.

Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

Krok 3. Sprawdź, czy logowanie jednokrotne działa w aplikacji niestandardowej

Możesz przetestować zarówno logowanie jednokrotne inicjowane przez dostawcę tożsamości, jak i przez dostawcę usługi.

Logowanie jednokrotne inicjowane przez dostawcę tożsamości

  1. Zaloguj się w: konsoli administracyjnej Google.

    Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Aplikacje a potem Aplikacje internetowe i mobilne.
  3. Wybierz swoją niestandardową aplikację SAML.
  4. W lewym górnym rogu kliknij Testuj logowanie SAML.

    Aplikacja powinna otworzyć się w osobnej karcie. Jeśli się tak nie stanie, użyj informacji z komunikatów o błędach aplikacji SAML, aby zaktualizować ustawienia dostawcy tożsamości i dostawcy usługi, a następnie ponownie przetestuj logowanie SAML.

Logowanie jednokrotne inicjowane przez dostawcę usługi

  1. Otwórz adres URL logowania jednokrotnego do nowej aplikacji SAML. Powinno nastąpić automatyczne przekierowanie na stronę logowania Google.
  2. Wpisz swoją nazwę użytkownika i hasło.

    Gdy dane logowania zostaną uwierzytelnione, nastąpi przekierowanie z powrotem do nowej aplikacji SAML.

Powiązane artykuły

Czy to było pomocne?

Jak możemy ją poprawić?
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
13309931793499495924
true
Wyszukaj w Centrum pomocy
true
true
true
false
false