设置您自己的自定义 SAML 应用

使用基于 SAML 的单点登录

通过单点登录 (SSO),用户可以使用受管理 Google 帐号的凭据登录他们的所有企业云应用。Google 提供与超过 200 种常用云应用预先集成的单点登录 (SSO) 服务。

对于不在预先集成应用目录中的自定义云应用,如要设置基于 SAML 的单点登录,请按照以下步骤操作。

设置您自己的自定义 SAML 应用

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到应用 接着点击 SAML 应用
  3. 点击右下角的“添加”图标
  4. 点击设置自己的自定义应用
    系统会打开 Google IdP 信息窗口,并自动填充 SSO 网址和实体 ID字段。
  5. 使用下列任一方法获取服务提供商需要的设置信息:
    • 复制 SSO 网址和实体 ID,并下载证书。
    • 下载 IdP 元数据。
  6. (可选)在单独的浏览器标签页或窗口中登录您的服务提供商网站,并将您在第 5 步复制的信息输入到对应的单点登录配置页面,然后返回到管理控制台。
  7. 点击下一步
  8. 基本应用信息窗口,添加应用名称和说明。
  9. (可选)上传一个 PNG 或 GIF 文件,作为自定义应用的图标。
  10. 点击下一步
  11. 服务提供商详情页面上,为您的自定义应用输入 ACS 网址、实体 ID 和启动网址(如有需要)。这些值均由相应服务提供商提供。
  12. (可选)如果您的服务提供商要求签署整个 SAML 身份验证响应,请选中已签署响应复选框。如果复选框未选中(默认情况),系统仅会签署响应断言。
  13. 点击下一步
  14. (可选)点击添加新映射,并为您想要映射的属性输入新的名称。

    注意:对于所有应用,您最多只能指定 500 个属性。每个应用都有一个默认属性,因此默认属性数量加上您添加的自定义属性数量就是属性总数。

  15. 在下拉列表中,选择类别和用户属性,以映射 Google 配置文件中的属性。
    注意:您无法将员工 ID用于属性映射。
  16. 点击完成

为您的新 SAML 应用启用 SSO

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到应用 接着点击 SAML 应用
  3. 选择新的 SAML 应用。
  4. 点击灰色框右上角的修改服务
    左侧会显示顶级单位和所有单位部门。

  5. 如果要为单位中所有人启用或停用某项服务,请点击对所有人启用对所有人停用,然后点击保存

  6. 如果仅为单位部门中的用户启用或停用某项服务,请执行以下步骤:

    1. 在左侧,选择单位部门。
    2. 选择开启关闭
    3. 即使上级单位部门已开启或关闭该服务也无妨,要保持该服务的开启或关闭状态,请点击覆盖
    4. 如果单位的服务状态已经是已替换,请从下列选项中选择一项:
      • 继承:恢复为与上级单位相同的设置。
      • 保存:保存新设置(即使上级单位的设置发生变化)。

    详细了解 组织结构

  7. 如果要为单位部门内或一组特定用户启用某项服务,请选择一个访问权限群组。有关详情,请参阅对群组启用服务
  8. 请确保您的用户用于登录 SAML 应用的电子邮件地址与他们用于登录您的 Google 网域的电子邮件地址一致。
更改通常会在几分钟内生效,但最长可能需要 24 小时。有关详情,请参阅更改如何在 Google 服务中生效。  

验证您的 Google 服务和新 SAML 应用之间的 SSO:

  1. 打开新 SAML 应用的单点登录网址。系统应该会自动将您重定向至 Google 登录页面。
  2. 输入您的登录凭据。

    您的登录凭据通过身份验证后,系统会自动将您重定向回您的新 SAML 应用。

配置预先集成的云应用

Google 为超过 200 种云应用提供预先集成的单点登录服务。如要配置预先集成的云应用,请按以下步骤操作:

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到应用 接着点击 SAML 应用
  3. 点击右下角的加号 (+) 图标。

    系统会打开一个窗口,列出所有预先集成的云应用。

  4. 选择一个预先集成的云应用,然后按向导中的步骤为应用配置单点登录。
该内容对您有帮助吗?
您有什么改进建议?