Menyiapkan SSO

Anda dapat menyiapkan SSO dengan Google sebagai penyedia layanan melalui beberapa cara, bergantung pada kebutuhan organisasi. Google Workspace mendukung protokol SSO berbasis SAML dan OIDC: 

Jika pengguna menggunakan URL layanan khusus domain untuk mengakses layanan Google (misalnya, https://mail.google.com/a/example.com), Anda juga dapat mengelola cara URL berfungsi dengan SSO.

Jika organisasi Anda memerlukan pengalihan SSO bersyarat berdasarkan alamat IP, atau SSO untuk admin super, Anda juga memiliki opsi untuk mengonfigurasi profil SSO lama.

Menyiapkan SSO dengan SAML

Sebelum memulai

Untuk menyiapkan profil SSO SAML, Anda memerlukan beberapa konfigurasi dasar dari tim dukungan atau dokumentasi IdP:

  • URL halaman login Konfigurasi ini juga dikenal sebagai URL SSO atau Endpoint SAML 2.0 (HTTP). Halaman ini merupakan tempat pengguna login ke IdP Anda.
  • URL halaman logout Tempat pengguna diarahkan setelah keluar dari aplikasi atau layanan Google.
  • URL ubah sandi Halaman tempat pengguna SSO dapat mengubah sandi mereka (bukan mengubah sandi mereka dengan Google).
  • Sertifikat X.509 sertifikat PEM dari IdP Anda. Sertifikat berisi kunci publik yang memverifikasi login dari IdP.
Persyaratan sertifikat
  • Sertifikat harus berupa sertifikat X.509 berformat PEM atau DER dengan kunci publik yang tersemat.
  • Kunci publik harus dibuat dengan algoritma RSA atau DSA.
  • Kunci publik dalam sertifikat harus cocok dengan kunci pribadi yang digunakan untuk menandatangani respons SAML.

Anda biasanya akan mendapatkan sertifikat tersebut dari IdP. Namun, Anda juga dapat membuatnya sendiri.

Membuat profil SSO SAML

Ikuti langkah-langkah berikut untuk membuat profil SSO pihak ketiga. Anda dapat membuat hingga 1.000 profil di organisasi Anda.

  1. Login ke Konsol Google Admin dengan akun administrator.

    Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.

  2. Buka Menu lalu Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.

    Memerlukan hak istimewa administrator Setelan keamanan.

  3. Pada bagian Profil SSO pihak ketiga, klik Tambahkan profil SAML.
  4. Masukkan nama untuk profil.
  5. (Opsional) Jika Anda memiliki file metadata XML dari IdP, klik upload XML file untuk memberikan informasi IdP, lalu lanjutkan ke Langkah 8
  6. Isi URL halaman login dan informasi lain yang diperoleh dari IdP Anda.
  7. Masukkan URL ubah sandi untuk IdP Anda. Pengguna akan membuka URL ini (bukan halaman ubah sandi Google) untuk mereset sandi mereka.
  8. Klik Upload sertifikat untuk mengupload file sertifikat.

    Anda dapat mengupload hingga dua sertifikat, sehingga memiliki opsi untuk merotasi sertifikat jika diperlukan.

  9. Klik Simpan.
  10. Pada bagian Detail SP, salin dan simpan ID Entitas serta URL ACS. Anda memerlukan nilai ini untuk mengonfigurasi SSO dengan Google di panel kontrol admin IdP.
  11. (Opsional) Jika IdP mendukung enkripsi pernyataan, Anda dapat membuat dan membagikan sertifikat kepada IdP untuk mengaktifkan enkripsi. Setiap profil SSO SAML dapat memiliki hingga 2 sertifikat SP.
    1. Klik bagian Detail SP untuk menggunakan mode edit.
    2. Pada bagian Sertifikat SP, klik Buat sertifikat. (Sertifikat akan ditampilkan setelah Anda menyimpannya.)
    3. Klik Simpan. Nama, tanggal habis masa berlaku, dan konten sertifikat akan ditampilkan.
    4. Gunakan tombol di atas sertifikat untuk menyalin konten sertifikat atau mendownloadnya sebagai file, lalu bagikan sertifikat tersebut kepada IdP Anda. 
    5. (Opsional) Jika Anda perlu mengganti sertifikat, kembali ke Detail SP, lalu klik Buat sertifikat lain, lalu bagikan sertifikat baru tersebut kepada IdP. Setelah yakin bahwa IdP menggunakan sertifikat baru, Anda dapat menghapus sertifikat asli.

Mengonfigurasi IdP

Untuk mengonfigurasi IdP agar menggunakan profil SSO ini, masukkan informasi dari bagian Detail Penyedia Layanan (SP) profil ke kolom yang sesuai di setelan SSO IdP Anda. URL ACS dan ID Entitas bersifat unik untuk profil ini.

Mengonfigurasi profil SSO lama

Profil SSO lama didukung untuk pengguna yang belum bermigrasi ke profil SSO. Fitur ini hanya mendukung penggunaan dengan satu IdP.

  1. Login ke Konsol Google Admin dengan akun administrator.

    Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.

  2. Buka Menu lalu Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.

    Memerlukan hak istimewa administrator Setelan keamanan.

  3. Pada bagian Profil SSO pihak ketiga, klik Tambahkan profil SAML.
  4. Di bagian bawah halaman Detail IdP, klik Buka setelan profil SSO lama.
  5. Di halaman Profil SSO lama, centang kotak Aktifkan SSO dengan penyedia identitas pihak ketiga.
  6. Isi informasi berikut untuk IdP Anda:
    • Masukkan URL halaman login dan URL halaman logout untuk IdP Anda.

      Catatan: Semua URL harus dimasukkan dan menggunakan HTTPS, misalnya https://sso.example.com.

    • Klik Upload sertifikat, lalu temukan dan upload sertifikat X.509 yang diberikan oleh IdP Anda. Untuk informasi selengkapnya, baca Persyaratan sertifikat.
    • Pilih apakah akan menggunakan penerbit khusus domain dalam permintaan SAML dari Google.

      Jika Anda memiliki beberapa domain yang menggunakan SSO dengan IdP, gunakan penerbit khusus domain untuk mengidentifikasi domain yang benar yang mengeluarkan permintaan SAML.

      • Dicentang  Google mengirimkan penerbit khusus untuk domain Anda: google.com/a/example.com (dengan example.com adalah nama domain Google Workspace utama Anda)
      • Tidak dicentang Google mengirimkan penerbit standar dalam permintaan SAML: google.com
    • (Opsional) Untuk menerapkan SSO ke sekumpulan pengguna dalam rentang alamat IP tertentu, masukkan network mask. Untuk mengetahui informasi selengkapnya, lihat Hasil pemetaan jaringan.

      Catatan: Anda juga dapat menyiapkan SSO parsial dengan menetapkan profil SSO ke unit organisasi atau grup tertentu.

    • Masukkan URL ubah sandi untuk IdP Anda. Pengguna akan membuka URL ini (bukan halaman ubah sandi Google) untuk mereset sandi mereka.

      Catatan: Jika Anda memasukkan URL di sini, pengguna akan diarahkan ke halaman ini meskipun jika Anda tidak mengaktifkan SSO untuk organisasi.

  7. Klik Simpan.

Setelah disimpan, profil SSO lama akan tercantum dalam tabel Profil SSO.

Mengonfigurasi IdP

Untuk mengonfigurasi IdP agar menggunakan profil SSO ini, masukkan informasi dari bagian Detail Penyedia Layanan (SP) profil ke kolom yang sesuai di setelan SSO IdP Anda. URL ACS dan ID Entitas bersifat unik untuk profil ini.

  Format
URL ACS https://accounts.google.com/a/{domain.com}/acs
Di mana {domain.com} adalah nama domain Workspace organisasi Anda
ID Entitas Salah satu dari hal berikut:
  • google.com
  • google.com/a/customerprimarydomain (jika Anda memilih untuk menggunakan penerbit khusus domain saat mengonfigurasi profil lama).

 

Menonaktifkan profil SSO lama

  1. Pada daftar Profil SSO pihak ketiga, klik Profil SSO lama.
  2. Di setelan Profil SSO lama, hapus centang Aktifkan SSO dengan penyedia identitas pihak ketiga.
  3. Konfirmasi bahwa Anda ingin melanjutkan, lalu klik Simpan.

Dalam daftar Profil SSO, Profil SSO lama sekarang ditampilkan sebagai Nonaktif.

  • Unit organisasi yang telah menetapkan profil SSO Lama akan menampilkan notifikasi di kolom Profil yang ditetapkan.
  • Unit organisasi tingkat teratas akan menampilkan Tidak ada di kolom Profil yang ditetapkan.
  • Di Kelola penetapan profil SSO, Profil SSO Lama ditampilkan sebagai tidak aktif.

Bermigrasi dari profil SAML lama ke SSO

Jika organisasi Anda menggunakan profil SSO lama, disarankan untuk bermigrasi ke profil SSO, yang menawarkan beberapa manfaat termasuk dukungan OIDC, API yang lebih modern, dan fleksibilitas yang lebih baik dalam menerapkan pengaturan SSO ke grup pengguna Anda. Pelajari lebih lanjut.

Menyiapkan SSO dengan OIDC

Ikuti langkah-langkah berikut untuk menggunakan SSO berbasis OIDC:

  1. Pilih opsi OIDC—buat profil OIDC kustom, tempat Anda memberikan informasi untuk partner OIDC, atau gunakan profil OIDC Microsoft Entra yang telah dikonfigurasi sebelumnya.
  2. Ikuti langkah-langkah di Menentukan pengguna mana yang harus menggunakan SSO guna menetapkan profil OIDC yang telah dikonfigurasi sebelumnya ke unit organisasi/grup yang dipilih.

Jika memiliki pengguna di unit organisasi (misalnya di sub-unit organisasi) yang tidak memerlukan SSO, Anda juga dapat menggunakan penetapan untuk menonaktifkan SSO bagi pengguna tersebut.

Catatan: Antarmuka Command Line Google Cloud saat ini tidak mendukung autentikasi ulang dengan OIDC.

Sebelum memulai

Untuk menyiapkan profil OIDC kustom, Anda memerlukan beberapa konfigurasi dasar dari tim dukungan atau dokumentasi IdP:

  • URL Penerbit  URL lengkap server otorisasi IdP.
  • Klien OAuth, yang diidentifikasi oleh Client ID dan diautentikasi oleh Rahasia klien.
  • URL ubah sandi Halaman tempat pengguna SSO dapat mengubah sandi mereka (bukan mengubah sandi mereka dengan Google). 

Selain itu, Google memerlukan IdP Anda untuk melakukan hal berikut:

  • Klaim email dari IdP Anda harus cocok dengan alamat email utama pengguna di sisi Google. 
  • Aplikasi harus menggunakan alur kode otorisasi.

Membuat profil OIDC kustom

  1. Login ke Konsol Google Admin dengan akun administrator.

    Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.

  2. Buka Menu lalu Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.

    Memerlukan hak istimewa administrator Setelan keamanan.

  3. Pada bagian Profil SSO pihak ketiga, klik Tambahkan profil OIDC.
  4. Beri nama profil OIDC.
  5. Masukkan detail OIDC: Client ID, URL Penerbit, Rahasia klien.
  6. Klik Simpan.
  7. Di halaman setelan SSO OIDC untuk profil baru, salin URI Pengalihan. Anda harus memperbarui klien OAuth di IdP untuk merespons permintaan menggunakan URI ini.

Untuk mengedit setelan, arahkan kursor ke Detail OIDC, lalu klik Edit .

Menggunakan profil OIDC Microsoft Entra

Pastikan Anda telah mengonfigurasi prasyarat berikut untuk OIDC di tenant Microsoft Entra ID organisasi Anda:

Menentukan pengguna yang harus menggunakan SSO

Aktifkan SSO untuk unit organisasi atau grup dengan menetapkan profil SSO dan IdP terkait. Atau, nonaktifkan SSO dengan menetapkan 'Tidak Ada' untuk profil SSO. Anda juga dapat menerapkan kebijakan SSO campuran di dalam unit organisasi atau grup, misalnya mengaktifkan SSO untuk unit organisasi secara keseluruhan, lalu menonaktifkannya untuk sub-unit organisasi. 

Jika Anda belum membuat profil, buat terlebih dahulu sebelum melanjutkan. Atau, Anda dapat menetapkan profil OIDC yang telah dikonfigurasi sebelumnya. 

  1. Klik Kelola penetapan profil SSO.
  2. Jika ini pertama kalinya Anda menetapkan profil SSO, klik Mulai. Jika tidak, klik Kelola tugas.
  3. Di sebelah kiri, pilih unit organisasi atau grup tempat Anda akan menetapkan profil SSO.
    • Jika penetapan profil SSO untuk unit organisasi atau grup berbeda dengan penetapan profil di seluruh domain, peringatan penggantian akan muncul saat Anda memilih unit organisasi atau grup tersebut.
    • Anda tidak dapat menetapkan profil SSO per pengguna. Tampilan Pengguna memungkinkan Anda memeriksa setelan untuk pengguna tertentu.
  4. Pilih Penetapan profil SSO untuk unit organisasi atau grup yang dipilih:
    • Untuk mengecualikan unit organisasi atau grup dari SSO, pilih Tidak ada. Pengguna di unit organisasi atau grup akan login secara langsung dengan Google.
    • Untuk menetapkan IdP lain ke unit organisasi atau grup, pilih Profil SSO lainnya, lalu pilih profil SSO dari daftar dropdown.
  5. (Khusus profil SSO SAML) Setelah memilih profil SAML, pilih opsi login bagi pengguna yang langsung membuka layanan Google tanpa login terlebih dahulu ke IdP pihak ketiga profil SSO. Anda dapat meminta nama pengguna Google mereka, lalu mengalihkan mereka ke IdP, atau mewajibkan pengguna memasukkan nama pengguna dan sandi Google mereka. 

    Catatan: Jika Anda memilih untuk mewajibkan pengguna memasukkan nama pengguna dan sandi Google mereka, setelan Ubah URL sandi untuk profil SSO SAML ini (tersedia di Profil SSO > detail IDP) diabaikan. Hal ini memastikan bahwa pengguna dapat mengubah sandi Google mereka sesuai kebutuhan.

  6. Klik Simpan.
  7. (Opsional) Tetapkan profil SSO ke unit organisasi atau grup lain sebagaimana diperlukan.

Setelah menutup kartu Kelola penetapan profil SSO, Anda akan melihat penetapan yang diperbarui untuk unit organisasi dan grup di bagian Kelola penetapan profil SSO

Menghapus penetapan profil SSO

  1. Klik nama grup atau unit organisasi untuk membuka setelan penetapan profilnya.
  2. Ganti setelan tugas yang ada dengan setelan unit organisasi induk:
    • Untuk penetapan unit organisasi—klik Wariskan.
    • Untuk penetapan grup—klik Batalkan penetapan.  

Catatan: Unit organisasi teratas Anda selalu ada dalam daftar penetapan profil, meskipun Profil ditetapkan ke Tidak ada.

Lihat juga


Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.

 

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Posting ke komunitas bantuan Dapatkan jawaban dari anggota komunitas
Hubungi kami Beri tahu kami selengkapnya dan kami akan membantu Anda
true
Mulailah uji coba gratis 14 hari Anda

Email profesional, penyimpanan online, kalender bersama, rapat video, dan lainnya. Mulailah uji coba gratis G Suite sekarang.

Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
10569948391546330374
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false
false
false