คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
การใช้ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) จะช่วยให้ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชันระบบคลาวด์ขององค์กรด้วยข้อมูลเข้าสู่ระบบ Google Cloud ของตนเองได้
ตั้งค่า SSO ผ่านทาง SAML สำหรับ SAP Cloud Platform Identity Authentication
ต่อไปนี้คือวิธีการตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) ผ่าน SAML สำหรับแอปพลิเคชัน SAP Cloud Platform Identity Authentication
ขั้นตอนที่ 1: ตั้งค่า SAP Cloud Platform Identity Authentication เป็นผู้ให้บริการ (SP) SAML 2.0-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยการตรวจสอบสิทธิ์SSO ด้วยแอปพลิเคชัน SAML
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
- คลิกปุ่มดาวน์โหลดเพื่อดาวน์โหลดข้อมูลเมตาของ Google IdP และใบรับรอง X.509
- คัดลอก URL ของ SSO และรหัสเอนทิตี (รหัสผู้ออก)
- ในแท็บเบราเซอร์ใหม่ ให้ลงชื่อเข้าใช้บัญชีผู้เช่า SAP ที่ใช้งานจริง
- ไปที่ https://your-domain.accounts.ondemand.com/admin/
- ไปที่ Identity Providers > Corporate Identity Providers
- คลิก +Plus เพื่อเพิ่มผู้ให้บริการข้อมูลประจำตัวของ Google
- ไปที่ SAML 2.0 Configuration
- อัปโหลดข้อมูลเมตาของ Google IdP และใบรับรอง X.509 ที่ต้องใช้ตั้งค่า SSO ซึ่งคุณดาวน์โหลดมาในข้อ 3
- บันทึกการเปลี่ยนแปลง
- ไปที่ Applications & Resources > Tenant Settings > SAML 2.0 Configuration
- คัดลอก URL ของ ACS และดาวน์โหลดข้อมูลเมตาของผู้เช่า SAP
- ลงชื่อเข้าใช้ SAP Cloud Platform โดยใช้บัญชีของคุณ
- ไปที่ Security > Trust
- ภายใต้แท็บ Local Service Provider ให้เปลี่ยนเป็นโหมดแก้ไข
- เปลี่ยน Configuration Type เป็น Custom
- คลิก Save
- คลิก Get Metadata เพื่อดาวน์โหลดข้อมูลเมตาของบัญชี SAP Cloud Platform Identity Authentication
- ไปที่แท็บ Application Identity Provider
- คลิก Add Trusted Identity Provider
- อัปโหลดข้อมูลเมตาของผู้เช่า SAP ที่ดาวน์โหลดไว้ในขั้นตอนที่ 13
- ไปที่บัญชีผู้เช่า https://โดเมนของคุณ.accounts.ondemand.com/admin/#/applications/
- คลิกปุ่ม Add เพื่อลงทะเบียนแอปพลิเคชัน
- ไปที่ Authenticating Identity Provider แล้วตรวจสอบว่าเลือก Google เป็น IdP แล้ว
- ไปที่ SAML 2.0 Configuration
- อัปโหลดข้อมูลเมตาของบัญชี SAP Cloud Platform Identity Authentication ที่คุณดาวน์โหลดมาในข้อ 19
- ทำให้แอปพลิเคชันของคุณใช้งานได้ใน SAP Cloud เรียนรู้เพิ่มเติม
- ดำเนินการต่อในหัวข้อถัดไปเพื่อตั้งค่า Google เป็นผู้ให้บริการข้อมูลประจำตัว SAML
- กลับไปที่แท็บเบราว์เซอร์ที่เปิดคอนโซลผู้ดูแลระบบไว้
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
-
คลิกเพิ่มแอปค้นหาแอป
- ป้อน SAP Cloud Platform Identity Authentication ในช่องค้นหา
- ในผลการค้นหา ให้วางเมาส์เหนือแอป SAP Cloud Platform Identity Authentication SAML แล้วคลิกเลือก
- ในหน้ารายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google ให้คลิกต่อไป
- ในส่วน รายละเอียดผู้ให้บริการ ให้ใส่ URL ต่อไปนี้ลงในช่อง รหัสเอนทิตี, ACS URL:
ACS URL: https://your-domain.accounts.ondemand.com/saml2/idp/acs/your-domain.accounts.ondemand.com
Entity ID: https://your-domain.accounts.ondemand.com
- ยกเลิกการทำเครื่องหมายการตอบกลับที่ลงชื่อ
ถ้าไม่ได้เลือกช่องทำเครื่องหมายการตอบกลับที่ลงชื่อ จะมีการลงชื่อเฉพาะข้อความรับรอง เมื่อเลือกช่องทำเครื่องหมายการตอบกลับที่ลงชื่อ จะมีการลงชื่อการตอบกลับทั้งหมด - คลิกต่อไป
- (Optional) On the Attribute Mapping page, map Google directory attributes to corresponding application attributes:
- Click Add Mapping.
- Click the Select field menu and select a Google directory attribute.
- Enter the corresponding application attribute under App attributes.
- (ไม่บังคับ) หากต้องการป้อนชื่อกลุ่มที่เกี่ยวข้องกับแอปนี้ ให้ทำดังนี้
- สำหรับการเป็นสมาชิกกลุ่ม (ไม่บังคับ) ให้คลิกค้นหากลุ่ม แล้วป้อนตัวอักษรของชื่อกลุ่มอย่างน้อย 1 ตัว จากนั้นเลือกชื่อกลุ่ม
- เพิ่มกลุ่มอีกตามต้องการ (สูงสุด 75 กลุ่ม)
- ป้อนชื่อแอตทริบิวต์กลุ่มที่เกี่ยวข้องของผู้ให้บริการสำหรับแอตทริบิวต์แอป
ไม่ว่าคุณจะป้อนชื่อกลุ่มกี่รายการก็ตาม คำตอบของ SAML จะรวมเฉพาะกลุ่มที่ผู้ใช้เป็นสมาชิกอยู่เท่านั้น (ทั้งโดยตรงหรือโดยอ้อม) โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเกี่ยวกับการเชื่อมโยงการเป็นสมาชิกกลุ่ม
- คลิกเสร็จสิ้นในหน้าการแมปแอตทริบิวต์
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
- เลือก SAP Cloud Platform Identity Authentication
-
คลิกสิทธิ์การเข้าถึงของผู้ใช้
-
หากต้องการเปิดหรือปิดบริการให้ทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก
-
(ไม่บังคับ) วิธีเปิดหรือปิดบริการสำหรับหน่วยขององค์กร
- เลือกหน่วยขององค์กรทางด้านซ้าย
- หากต้องการเปลี่ยนสถานะบริการ ให้เลือกเปิดหรือปิด
- เลือกการตั้งค่าแบบใดแบบหนึ่งต่อไปนี้
- หากตั้งค่าสถานะบริการเป็นรับค่า และคุณต้องการคงการตั้งค่าที่อัปเดตแล้วไว้ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป ให้คลิกลบล้าง
- หากตั้งค่าสถานะบริการเป็นลบล้าง ให้คลิกรับค่าเพื่อเปลี่ยนกลับเป็นการตั้งค่าเดียวกันกับระดับบนสุด หรือคลิกบันทึกเพื่อคงการตั้งค่าใหม่ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป
หมายเหตุ: ดูข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างองค์กร
-
หากต้องการเปิดบริการให้กับกลุ่มผู้ใช้ในหน่วยขององค์กร ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อเปิดบริการให้กับกลุ่ม
- ตรวจสอบว่ารหัสอีเมลของบัญชีผู้ใช้ SAP Cloud Platform Identity Authentication ตรงกับในโดเมน Google
SAP Cloud Platform Identity Authentication รองรับ SSO ทั้งในโหมดที่ใช้ผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP) โปรดทำตามขั้นตอนต่อไปนี้เพื่อยืนยัน SSO ได้ทั้ง 2 โหมด
โหมดที่ใช้ IdP
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
- เลือก SAP Cloud Platform Identity Authentication
- คลิกทดสอบการเข้าสู่ระบบผ่าน SAML ด้านซ้ายบน
ระบบจะเปิด SAP Cloud Platform Identity Authentication ขึ้นมาในแท็บใหม่ หากไม่มีแท็บใหม่เปิดขึ้นมา ให้นำข้อมูลที่ได้จากข้อความแสดงข้อผิดพลาดของ SAML ที่ระบบแจ้งไปอัปเดตการตั้งค่า IdP และ SP ให้เหมาะสม จากนั้นจึงทดสอบการเข้าสู่ระบบ SAML อีกครั้ง
โหมดที่ใช้ SP
- เริ่มต้นแอปพลิเคชันโดยใช้ URL ที่ได้มาหลังจากทำให้แอปพลิเคชันใช้งานได้ใน SAP Cloud
- ป้อนข้อมูลลงชื่อเข้าใช้
- หลังจากตรวจสอบสิทธิ์ของข้อมูลลงชื่อเข้าใช้แล้ว ระบบจะนำคุณกลับไปที่แอปพลิเคชันโดยอัตโนมัติ
ในฐานะผู้ดูแลระบบขั้นสูง คุณสามารถจัดสรรผู้ใช้ในแอปพลิเคชัน SAP Cloud Platform Identity Authentication โดยอัตโนมัติได้
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง