Вы можете настроить систему единого входа (SSO), используя Google в качестве поставщика услуг, разными способами в зависимости от потребностей организации. Google Workspace поддерживает протоколы на основе SAML и OIDC.
- С помощью профилей SSO, которые содержат параметры поставщика идентификационной информации, можно применять разные настройки к разным пользователям в организации. Создавайте профили на основе SAML, собственные профили OIDC или используйте профиль OIDC Microsoft Entra по умолчанию, который не нужно настраивать.
- После создания профилей SSO назначьте их организационным подразделениям или группам, чтобы задать поставщика идентификационной информации для соответствующих пользователей. Вы также можете отключить SSO для отдельных организационных подразделений или групп.
Если ваши сотрудники для входа в сервисы Google используют URL сервисов, относящиеся к домену, например https://mail.google.com/a/example.com, можно управлять взаимодействием этих URL с системой единого входа.
Если вашей организации нужно перенаправление на SSO в зависимости от IP-адреса или SSO для суперадминистраторов, вы можете настроить устаревший профиль SSO.
Как настроить SSO на базе SAML
Подготовка
Чтобы настроить профиль SSO на базе SAML, вам понадобятся сведения о конфигурации, которые можно узнать в службе поддержки поставщика идентификационной информации или в документации:
- URL страницы входа. Также называется URL системы единого входа или конечной точкой SAML 2.0 (HTTP). На этой странице пользователи входят в систему поставщика идентификационной информации.
- URL страницы выхода. На нее перенаправляется пользователь после выхода из приложения или сервиса Google.
- URL для изменения пароля. Страница, на которой пользователи системы единого входа могут изменить пароль (вместо того чтобы указывать новый пароль для аккаунта Google).
- Сертификат. Сертификат X.509 в формате PEM от поставщика идентификационной информации. Сертификат содержит открытый ключ, который подтверждает вход в систему поставщика идентификационной информации.
- Поддерживаются только сертификаты X.509 в формате PEM или DER со встроенным открытым ключом.
- Этот ключ может быть создан с применением алгоритма DSA или RSA.
- Открытый ключ в сертификате должен соответствовать закрытому ключу, которым подписывается ответ SAML.
Обычно эти сертификаты предоставляет поставщик идентификационной информации. Однако вы можете сгенерировать их самостоятельно.
Как создать профиль SSO на базе SAML
Чтобы создать профиль сторонней системы единого входа, следуйте приведенным ниже инструкциям. Вы можете создать до 1000 таких профилей в организации.
-
Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
-
Нажмите на значок меню
Безопасность > Аутентификация > Система единого входа со сторонним поставщиком идентификационной информации.
У вас должны быть права администратора с доступом к настройкам безопасности.
- В разделе Профили сторонней системы единого входа нажмите Добавить профиль SAML.
- Введите название профиля.
- Если у вас есть XML-файл метаданных от поставщика идентификационной информации, выберите загрузку XML-файла, чтобы предоставить информацию о поставщике, а затем перейдите к шагу 8.
- Укажите URL страницы входа и другие сведения, полученные от поставщика идентификационной информации.
- Укажите URL для изменения пароля у поставщика идентификационной информации. Для сброса пароля пользователи будут переходить по этому адресу, а не на страницу изменения пароля Google.
- Нажмите Загрузить сертификат и загрузите файл сертификата.
Вы можете загрузить два сертификата, что позволяет выполнять ротацию по мере необходимости.
- Нажмите Сохранить.
- В разделе Сведения о поставщике услуг скопируйте и сохраните идентификатор объекта и URL ACS. Вам понадобятся эти значения для настройки системы единого входа Google в панели управления администратора у поставщика идентификационной информации.
- (Необязательно) Если ваш поставщик идентификационной информации поддерживает шифрование утверждений, вы можете сгенерировать сертификат и поделиться им с поставщиком идентификационной информации, чтобы включить шифрование. В каждом профиле системы единого входа на базе SAML может быть до двух сертификатов поставщика услуг.
- Выберите раздел Сведения о поставщике услуг, чтобы перейти в режим редактирования.
- В разделе Сертификат поставщика услуг нажмите Создать сертификат. Сертификат появится после того, как вы его сохраните.
- Нажмите Сохранить. Будут показаны название сертификата, срок его действия и содержимое.
- Используйте кнопки над сертификатом, чтобы скопировать его содержимое или скачать в виде файла, а затем поделитесь сертификатом с поставщиком идентификационной информации.
- Если вам нужно изменить сертификат, вернитесь к разделу "Сведения о поставщике услуг" и нажмите Создать ещё один сертификат, а затем поделитесь новым сертификатом с поставщиком идентификационной информации. Убедившись, что поставщик использует новый сертификат, вы можете удалить предыдущий.
Как настроить конфигурацию на сайте поставщика идентификационной информации
Чтобы поставщик идентификационной информации использовал этот профиль SSO, введите информацию из раздела Сведения о поставщике услуг профиля в соответствующие поля в настройках SSO на сайте поставщика идентификационной информации. У этого профиля уникальные URL ACS и идентификатор объекта.
Как настроить устаревший профиль SSOДля пользователей, которые не перешли на профили SSO, поддерживается устаревший профиль SSO. С ним можно использовать только одного поставщика идентификационной информации.
-
Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
-
Нажмите на значок меню
У вас должны быть права администратора с доступом к настройкам безопасности.
- В разделе Профили сторонней системы единого входа нажмите Добавить профиль SAML.
- В нижней части страницы Сведения о поставщике идентификационной информации нажмите Перейти к настройкам устаревшего профиля SSO.
- На странице Устаревший профиль SSO установите флажок Включить SSO со сторонним поставщиком идентификационной информации.
- Укажите следующие данные поставщика идентификационной информации:
- Введите URL страницы входа и URL страницы выхода.
Примечание. Необходимо указать оба адреса, и в них должен использоваться протокол HTTPS. Пример: https://sso.example.com.
- Нажмите Загрузить сертификат, найдите и загрузите сертификат X.509, предоставленный поставщиком идентификационной информации. Подробнее о требованиях к сертификату…
- Выберите, использовать ли в запросе SAML от Google издателя, связанного с доменом.
Если несколько ваших доменов используют систему единого входа с одним поставщиком идентификационной информации, с помощью издателя, связанного с доменом, укажите домен, который выдает запрос SAML.
- Флажок установлен. Система Google будет указывать поставщика, связанного с доменом: google.com/a/example.com (где example.com – это ваше основное доменное имя Google Workspace).
- Флажок снят. Система Google будет отправлять стандартное название издателя в запросе SAML: google.com.
- Если нужно применить систему единого входа к набору пользователей в определенных диапазонах IP-адресов, укажите маску сети. Более подробную информацию можно найти в статье Результаты связывания аккаунтов в системах.
Примечание. Вы также можете настроить частичное использование SSO, назначив профиль SSO отдельным организационным подразделениям или группам.
- Укажите URL для изменения пароля у поставщика идентификационной информации. Для сброса пароля пользователи будут переходить по этому адресу, а не на страницу изменения пароля Google.
Примечание. Если вы укажете здесь URL, пользователи будут перенаправлены на эту страницу даже в том случае, если вы не включите SSO для организации.
- Введите URL страницы входа и URL страницы выхода.
- Нажмите Сохранить.
После сохранения устаревший профиль SSO появится в таблице Профили SSO.
Как настроить конфигурацию на сайте поставщика идентификационной информации
Чтобы поставщик идентификационной информации использовал этот профиль SSO, введите информацию из раздела "Сведения о поставщике услуг" профиля в соответствующие поля в настройках SSO на сайте поставщика идентификационной информации. У этого профиля уникальные URL ACS и идентификатор объекта.
| Формат | |
| URL ACS | https://accounts.google.com/a/{domain.com}/acs {domain.com} замените именем домена Workspace вашей организации. |
| Идентификатор объекта | Один из следующих вариантов:
|
Как отключить устаревший профиль SSO
- В списке Профили сторонней системы единого входа нажмите Устаревший профиль SSO.
- В разделе Устаревший профиль SSO снимите флажок Включить SSO со сторонним поставщиком идентификационной информации.
- Подтвердите, что вы хотите продолжить, а затем нажмите Сохранить.
В списке Профили системы единого входа для элемента Устаревший профиль SSO теперь будет указано значение Отключено.
- Для организационных подразделений, которым назначен устаревший профиль SSO, в столбце Назначенный профиль будет показано предупреждение.
- Для организационного подразделения в столбце Назначенный профиль будет показано значение Нет.
- В разделе Управление профилями SSO для устаревшего профиля SSO будет показано значение Неактивный.
Как перейти с устаревшего профиля SAML на профили SSO
Если в вашей организации используется устаревший профиль SSO, рекомендуем перейти на профили SSO, использование которых обеспечивает ряд преимуществ, в том числе поддержку OIDC, более современые API и более широкие возможности по применению настроек SSO к группам пользователей. Подробнее…
Как настроить SSO с OIDC
Чтобы использовать SSO на основе OIDC:
- Выберите вариант OIDC: создайте собственный профиль OIDC, в котором вы укажете информацию для партнера OIDC, или используйте предварительно настроенный профиль OIDC Microsoft Entra.
- Выполните действия в разделе Как включить систему единого входа для отдельных пользователей, чтобы назначить заранее настроенный профиль OIDC отдельным организационным подразделениям или группам.
Если в организационном подразделении, например в дочернем подразделении, есть пользователи, которым не нужна система единого входа, вы также можете отключить ее для них с помощью назначений.
Примечание. Интерфейс командной строки Google Cloud сейчас не поддерживает повторную аутентификацию с использованием OIDC.
Подготовка
Чтобы настроить собственный профиль OIDC, вам понадобится помощь службы поддержки поставщика идентификационной информации или документация от него:
- URL издателя. Полный URL сервера авторизации поставщика идентификационной информации.
- Клиент OAuth, который обозначен идентификатором клиента и аутентифицирован секретным кодом клиента.
- URL для изменения пароля. Страница, на которой пользователи системы единого входа могут изменить пароль (вместо того чтобы указывать новый пароль для аккаунта Google).
Кроме того, Google предъявляет следующие требования к поставщику идентификационной информации:
- Утверждение
emailот поставщика идентификационной информации должно соответствовать основному адресу электронной почты пользователя на стороне Google. - В нем должна использоваться обработка кода авторизации.
Как создать собственный профиль OIDC
-
Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
-
Нажмите на значок меню
У вас должны быть права администратора с доступом к настройкам безопасности.
- В разделе Профили сторонней системы единого входа нажмите Добавить профиль OIDC.
- Присвойте профилю OIDC название.
- Введите сведения OIDC: идентификатор клиента, URL издателя, секретный код клиента.
- Нажмите Сохранить.
- На странице настроек SSO OIDC для нового профиля скопируйте URI переадресации. Вам нужно будет обновить клиента OAuth на сайте поставщика идентификационной информации, чтобы отвечать на запросы с использованием этого URI.
Чтобы изменить настройки, наведите указатель на пункт Параметры OIDC, а затем нажмите "Изменить" .
Как использовать профиль OIDC Microsoft Entra
Убедитесь, что вы подготовили клиент Microsoft Entra ID организации к использованию OIDC:
- Для клиента Microsoft Entra ID должно быть подтверждено право собственности на домен.
- У конечных пользователей должны быть лицензии Microsoft 365.
- Имя пользователя (основной адрес электронной почты) администратора Google Workspace, назначающего профиль SSO, должен совпадать с основным адресом, указанным в аккаунте администратора клиента Azure AD.
Как включить систему единого входа для отдельных пользователей
Включите систему единого входа для организационного подразделения или группы, назначив профиль SSO и связанного с ним поставщика идентификационной информации. Если нужно отключить систему единого входа, назначьте для профиля SSO значение "Нет". Вы можете применить смешанные правила использования SSO в пределах организационного подразделения или группы, например включить SSO для всего организационного подразделения, а затем отключить для отдельных дочерних подразделений.
Создайте профиль, если вы этого не сделали ранее. Вы также можете назначить заранее настроенный профиль OIDC.
- Нажмите Управление профилями SSO.
- Если вы впервые настраиваете профиль, нажмите "Начать". В противном случае нажмите Управлять назначениями.
- Слева выберите нужное организационное подразделение или группу.
- Если профиль SSO, который вы хотите назначить организационному подразделению или группе, отличается от профиля, назначенного всему домену, появится предупреждение о том, что вы собираетесь переопределить настройки.
- Профиль SSO нельзя назначить отдельным пользователям. На странице "Пользователи" вы можете посмотреть настройки, заданные для интересующих вас пользователей.
- Нажмите Назначение профиля SSO для выбранного организационного подразделения или группы:
- Чтобы не использовать систему единого входа в организационном подразделении или группе, выберите Нет. Пользователи из выбранного вами организационного подразделения или группы будут входить в сервисы с учетными данными Google.
- Чтобы назначить другого поставщика идентификационной информации организационному подразделению или группе, нажмите Другой профиль системы единого входа, а затем выберите профиль SSO из раскрывающегося списка.
- (Только профили SSO на базе SAML) После выбора профиля SAML выберите параметр входа для пользователей, которые переходят непосредственно к сервисам Google, не выполняя вначале вход в систему стороннего поставщика идентификационной информации профиля SSO. Можно запросить у пользователя его пользовательское имя, а затем перенаправить его к поставщику идентификационной информации или же запросить обязательный ввод имени пользователя и пароля Google.
Примечание. Если выбрать обязательный ввод имени и пароля пользователя Google, настройка URL для изменения пароля для этого профиля SSO SAML будет игнорироваться (для доступа к ней нажмите "Профиль системы единого входа > Сведения о поставщике идентификационной информации"). Благодаря этому пользователи смогут менять свои пароли Google, когда это потребуется.
- Нажмите Сохранить.
- При необходимости назначьте профили SSO другим организационным подразделениям или группам.
После того как вы закроете карточку Управление профилями SSO, вы увидите обновленные назначения для организационных подразделений и групп в разделе Управление профилями SSO.
Как отменить назначение профиля SSO
- Нажмите на название группы или организационного подразделения, чтобы открыть настройки назначений профиля.
- Замените существующее назначение на назначение родительского организационного подразделения:
- Для назначений организационного подразделения – нажмите Наследовать.
- Для назначений группы – нажмите Сбросить настройки.
Примечание. Организационное подразделение верхнего уровня всегда будет в списке назначений профилей, даже если для параметра "Профиль" задано значение "Нет".
Статьи по теме
- Необязательные параметры SSO и обслуживание
- Устранение неполадок системы единого входа
- Групповое одобрение для действий, связанных с безопасностью
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.
