在 2022 年 6 月之前,Cloud Identity 专业版用户可使用密码受保管的应用。此功能已于 2022 年 9 月 21 日开始逐步停用,到 2023 年 6 月 21 日将完全停用。了解详情
对于通过 SAML 使用联合身份验证机制的应用,Google Workspace 支持使用单点登录。尽管很多应用都支持 SAML 标准,但还有数以千计的应用不支持联合身份验证,且要求使用凭据进行登录。
作为管理员,您可以使用“密码受保管的应用”服务来管理对以下应用的访问权限:部分不支持联合身份验证的应用,以及用户信息中心中可供用户使用的应用。“密码受保管的应用”服务会保存应用的登录凭据集,并通过群组关联将这些凭据集分配给用户。如果用户通过群组获得访问这类应用的权限,那么他们可以通过用户信息中心登录相应应用,或直接在该应用中登录。用户可以通过 Chrome 或 Firefox 扩展程序/插件使用此功能。
在向“密码受保管的应用”服务添加应用时,您可以在应用库中搜索和选择基于网络的应用,也可以添加自定义应用。借助“密码受保管的应用”,您可以安全地管理用户名和密码,并同时让您组织中的用户只需点击一下,即可快速访问他们已在使用的所有应用。
在为您的组织配置密码受保管的应用前,我们建议您先在 Google 管理控制台中专为密码受保管的应用设置新的群组结构。设置新的群组结构有助于避免影响管理控制台中的其他工作流程和设置,并且可改善用户信息中心中密码受保管的应用的访问体验。
为密码受保管的应用设置新的群组结构时,请按以下步骤操作:
- 为您添加到“密码受保管的应用”服务中的每个应用创建至少一个访问权限群组。这些群组将成为为用户设置群组分配的容器。有关使用群组控制访问权限的详情和说明,请参阅创建群组的方法。
- 向访问权限群组添加用户(或其他群组)。
例如,您可以按以下方式设置群组结构(其中 pva 代表密码受保管的应用):
| 应用 | 应用群组(保留凭据) | 成员(群组、用户、角色) |
|---|---|---|
| Mixateria | pva_mixateria | 销售团队 |
| pva_twitter | 销售团队、运营 | |
| Slack | pva_slack_pr | 公共关系、市场营销 |
| Slack | pva_slack_legal | 法律顾问 |
将应用添加到“密码受保管的应用”服务中后,您可以通过管理群组成员资格来管理对应用的访问权限。
注意:
- 在某些情况下,用户信息中心中可能会有某个应用的多个实例(也称为多租户应用),且每个应用都有不同的登录网址。例如,您可能为公共关系团队和市场营销团队设置了 Slack 应用的安装,又为法律顾问团队设置了另一种安装(如上文表格所示)。
- 您必须通过管理控制台、Directory API 或 Google Cloud Directory Sync 创建这类群组。在 Google 网上论坛企业版中创建的群组不能作为访问权限群组(管理控制台不会显示群组是否是通过网上论坛企业版创建的)。
- 借助“密码受保管的应用”服务,您可以通过群组关联来管理对应用的访问权限,但无法通过与组织部门的关联来管理。
要在 Google 管理控制台中配置密码受保管的应用,请执行以下操作:
- 将应用添加到“密码受保管的应用”服务中(从现有目录中选择)。
- 添加登录凭据。
- 向用户或群组授予对应用的访问权限。
重要准则:
- 作为管理员,在第三方应用中更改密码后,请务必在 Google 管理控制台中转到应用 > 密码受保管的应用以更新密码。
- 员工离开公司后,管理员可能希望在第三方应用和 Google 管理控制台中,为使用相同凭据的应用更改基础凭据。此外,您可能还希望在相应应用中移除该员工的个人帐号。请在管理控制台中,选择相应应用,然后转到其凭据卡片进行更改。请仅在更改第三方应用的密码后执行此操作。
- 如果应用使用两步验证,且您将该应用添加到密码受保管的应用服务中,则 Chrome 扩展程序会正常运行(也就是说,Chrome 扩展程序会为用户填充帐号的用户名和密码),但系统会在用户尝试访问密码受保管的应用时,提醒用户进行第二重身份验证。
- 借助密码保管功能,您可以控制凭据和应用访问权限。为确保密码不会意外泄露,请确保未为用户启用其他密码管理器应用或保存登录密码的应用。
- 只有 Chrome 和 Firefox 支持密码受保管的应用,用户目前无法通过移动设备使用此服务。
- 与其他密码管理器一样,在使用开发工具(如 Chrome Developers Console)时,用户可以查看登录网站所使用的密码。如果凭据是敏感信息,不能让用户获取,请考虑使用 SAML 身份验证,而不是密码受保管的应用。
要通过密码受保管的应用服务访问应用,您的用户必须为 Chrome 浏览器安装 Cloud Identity 帐号管理器扩展程序(如下文说明)。
或者,如果您使用 Chrome 浏览器云管理,则可以为您的用户安装该扩展程序。有关如何为用户安装此扩展程序的详情,请参阅在管理控制台中管理 Chrome 浏览器扩展程序和和自动安装应用和扩展程序。请注意,必须使用以下扩展程序 ID 来安装此扩展程序:
bepedphhpelcmjancenhicofcbepgmpk
要帮助用户获取密码受保管的应用的访问权限,请让用户按以下步骤操作:
- 登录您的公司帐号而非个人 Gmail 帐号。
- 为 Chrome 浏览器安装 Cloud Identity 帐号管理器扩展程序。转到以下网址:
https://chrome.google.com/webstore/detail/cloud-identity-account-ma/bepedphhpelcmjancenhicofcbepgmpk - 点击添加至 Chrome。
可选:如果您尚未安装 Cloud Identity 帐号管理器扩展程序,且您在用户信息中心点击了某个密码受保管的应用,那么系统就会提示您安装该扩展程序。请在弹出式窗口中点击安装扩展程序。然后,请按照相应步骤添加该扩展程序。
注意:
- 如果您在尝试安装 Cloud Identity 帐号管理器扩展程序时,尚未登录您的 Chrome 个人资料,则系统会提示您先启用同步功能,再继续操作。请务必使用您的公司帐号登录,然后点击关联数据。接下来,请在“启用同步功能”窗口中点击立即启用。
- 安装该扩展程序后,您就可以使用信息中心中的任意密码受保管的应用,只要您的 IT 管理员授予了访问权限。此外,您还可以选择通过访问第三方网站(例如 box.com 或 twitter.com)自动登录密码受保管的应用。
- Firefox 浏览器扩展程序的功能与 Chrome 相同,但不需要与 Firefox 同步个人资料。
- 要了解有关信息中心的其他详细信息,请参阅开始使用 Google Workspace 信息中心。