คุณสามารถตั้งค่า SSO โดยให้ Google เป็นผู้ให้บริการได้หลายวิธี ทั้งนี้ขึ้นอยู่กับความต้องการขององค์กร Google Workspace รองรับ SSO ทั้งแบบ SAML และ OIDC ดังนี้
- โปรไฟล์ SSO ที่มีการตั้งค่าสำหรับ IdP ช่วยให้คุณเลือกใช้การตั้งค่า SSO ที่ต่างกันกับผู้ใช้รายต่างๆ ในองค์กรได้อย่างยืดหยุ่น สร้างโปรไฟล์ที่อิงตาม SAML, โปรไฟล์ OIDC ที่กำหนดเอง หรือใช้โปรไฟล์ OIDC เริ่มต้นของ Microsoft Entra ซึ่งไม่ต้องกำหนดค่า
- หลังจากสร้างโปรไฟล์ SSO แล้ว ให้มอบหมายโปรไฟล์ให้กับหน่วยขององค์กรหรือกลุ่มเพื่อตั้งค่า IdP ให้กับผู้ใช้เหล่านั้น นอกจากนี้ คุณยังปิด SSO สำหรับหน่วยขององค์กรหรือกลุ่มที่ต้องการได้ด้วย
หากผู้ใช้ใช้ URL ของบริการที่ใช้ได้เฉพาะในโดเมนนั้นเพื่อเข้าถึงบริการต่างๆ ของ Google (เช่น https://mail.google.com/a/example.com) คุณยังสามารถจัดการหลักการทำงานของ URL เหล่านี้ด้วย SSO ได้
หากองค์กรต้องการการเปลี่ยนเส้นทาง SSO แบบมีเงื่อนไขตามที่อยู่ IP หรือ SSO สำหรับผู้ดูแลระบบขั้นสูง คุณยังมีตัวเลือกในการกำหนดค่าโปรไฟล์ SSO เดิมด้วย
ตั้งค่า SSO ด้วย SAML
ข้อควรทราบก่อนที่จะเริ่มต้น
หากต้องการตั้งค่าโปรไฟล์ SAML SSO คุณจะต้องมีการกําหนดค่าพื้นฐานบางอย่างจากทีมสนับสนุนของ IdP หรือเอกสารประกอบ ดังนี้
- URL ของหน้าลงชื่อเข้าใช้ หรือที่เรียกอีกอย่างว่า URL ของ SSO หรือ SAML 2.0 SAML นี่คือตำแหน่งที่ผู้ใช้ลงชื่อเข้าใช้ IdP
- URL ของหน้าออกจากระบบ ที่ผู้ใช้จะไปถึงหลังจากออกจากแอปหรือบริการของ Google
- URL การเปลี่ยนรหัสผ่าน หน้าเว็บที่ผู้ใช้ SSO จะเข้าไปเปลี่ยนรหัสผ่าน (แทนการเปลี่ยนรหัสผ่านกับ Google)
- ใบรับรอง ใบรับรอง X.509 PEM จาก IdP ของคุณ ใบรับรองมีคีย์สาธารณะซึ่งจะยืนยันการลงชื่อเข้าใช้จาก IdP
- ใบรับรองจะต้องเป็นใบรับรอง X.509 ในรูปแบบ PEM หรือ DER ที่มีคีย์สาธารณะฝังอยู่
- คีย์สาธารณะต้องสร้างขึ้นด้วยอัลกอริทึม DSA หรือ RSA
- คีย์สาธารณะในใบรับรองต้องตรงกับคีย์ส่วนตัวที่ใช้ลงนามการตอบกลับ SAML
โดยปกติแล้วคุณจะได้รับใบรับรองเหล่านี้จาก IdP แต่คุณยังสามารถสร้างเองได้ด้วย
สร้างโปรไฟล์ SAML SSO
ทำตามขั้นตอนต่อไปนี้เพื่อสร้างโปรไฟล์ SSO ของบุคคลที่สาม คุณสร้างโปรไฟล์ในองค์กรได้สูงสุด 1,000 รายการ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่เมนู
การรักษาความปลอดภัย > การตรวจสอบสิทธิ์ > SSO ด้วย IdP บุคคลที่สาม
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
- คลิกเพิ่มโปรไฟล์ SAML ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม
- ป้อนชื่อสำหรับโปรไฟล์
- (ไม่บังคับ) หากมีไฟล์ข้อมูลเมตา XML จาก IdP ให้คลิก "อัปโหลดไฟล์ XML" เพื่อระบุข้อมูล IdP แล้วทำตามขั้นตอนที่ 8 ต่อ
- กรอก URL ของหน้าลงชื่อเข้าใช้และข้อมูลอื่นๆ ที่ได้รับจาก IdP
- ป้อน URL การเปลี่ยนรหัสผ่านสำหรับ IdP ของคุณ โดยผู้ใช้จะไปที่ URL นี้ (ไม่ใช่หน้าเปลี่ยนรหัสผ่านของ Google) เพื่อรีเซ็ตรหัสผ่าน
- คลิกอัปโหลดใบรับรองเพื่ออัปโหลดไฟล์ใบรับรอง
คุณสามารถอัปโหลดใบรับรองได้สูงสุด 2 รายการ ซึ่งจะช่วยให้คุณมีตัวเลือกในการหมุนเวียนใบรับรองได้เมื่อจำเป็น
- คลิกบันทึก
- คัดลอกและบันทึกรหัสเอนทิตีและ ACS URL ในส่วนรายละเอียด SP คุณจะต้องใช้ค่าเหล่านี้เพื่อกําหนดค่า SSO กับ Google ในแผงควบคุมผู้ดูแลระบบ IdP
- (ไม่บังคับ) หาก IdP รองรับการเข้ารหัสการยืนยัน คุณจะสร้างและแชร์ใบรับรองกับ IdP เพื่อเปิดใช้การเข้ารหัสได้ โปรไฟล์ SAML SSO แต่ละรายการมีใบรับรอง SP ได้สูงสุด 2 รายการ
- คลิกส่วนรายละเอียด SP เพื่อเข้าสู่โหมดแก้ไข
- ในส่วนใบรับรอง SP ให้คลิกสร้างใบรับรอง (ใบรับรองจะแสดงหลังจากที่คุณบันทึก)
- คลิกบันทึก ชื่อใบรับรอง วันที่หมดอายุ และเนื้อหาจะปรากฏขึ้น
- ใช้ปุ่มเหนือใบรับรองเพื่อคัดลอกเนื้อหาใบรับรองหรือดาวน์โหลดเป็นไฟล์ จากนั้นแชร์ใบรับรองกับ IdP ของคุณ
- (ไม่บังคับ) หากต้องการหมุนใบรับรอง ให้กลับไปที่รายละเอียด SP แล้วคลิกสร้างใบรับรองอื่น จากนั้นแชร์ใบรับรองใหม่กับ IdP ของคุณ จากนั้นเมื่อมั่นใจแล้วว่า IdP ใช้ใบรับรองใหม่อยู่ คุณก็ลบใบรับรองเดิมได้
กำหนดค่า IdP
หากต้องการกำหนดค่า IdP ให้ใช้โปรไฟล์ SSO นี้ โดยให้ป้อนข้อมูลจากส่วนรายละเอียดของผู้ให้บริการ (SP) ของโปรไฟล์ลงในช่องที่เหมาะสมในการตั้งค่า SSO ของ IdP ทั้ง ACS URL และรหัสเอนทิตีจะต้องไม่ซ้ำกันสำหรับโปรไฟล์นี้
กำหนดค่าโปรไฟล์ SSO แบบเดิมระบบรองรับโปรไฟล์ SSO แบบเดิมสำหรับผู้ใช้ที่ไม่ได้ย้ายข้อมูลไปยังโปรไฟล์ SSO โดยรองรับการใช้งานกับ IdP รายการเดียวเท่านั้น
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่เมนู
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
- คลิกเพิ่มโปรไฟล์ SAML ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม
- คลิกไปที่การตั้งค่าโปรไฟล์ SSO แบบเดิมที่ด้านล่างของหน้ารายละเอียด IdP
- ในหน้าโปรไฟล์ SSO แบบเดิม ให้เลือกช่องเปิดใช้ SSO ด้วยผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม
- กรอกข้อมูลต่อไปนี้สำหรับ IdP ของคุณ
- ป้อน URL หน้าลงชื่อเข้าใช้และ URL หน้าออกจากระบบสำหรับ IdP ของคุณ
หมายเหตุ: ต้องป้อน URL ทั้งหมดและต้องใช้ HTTPS เช่น https://sso.example.com
- คลิกอัปโหลดใบรับรอง แล้วค้นหาและอัปโหลดใบรับรอง X.509 ที่ได้มาจาก IdP ของคุณ ดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดเกี่ยวกับใบรับรอง
- เลือกว่าจะใช้ผู้ให้บริการเฉพาะของโดเมนในคำขอ SAML จาก Google หรือไม่
หากคุณมีโดเมนหลายโดเมนที่ใช้ SSO กับ IdP ของคุณ ให้ใช้ผู้ให้บริการเฉพาะของโดเมนเพื่อระบุโดเมนที่ถูกต้องและออกคำขอ SAML
- เลือก Google จะส่งผู้ออกใบรับรองเฉพาะของโดเมนเท่านั้น ซึ่งก็คือ google.com/a/example.com (โดยที่ example.com คือชื่อโดเมน Google Workspace หลักของคุณ)
- ยกเลิกการเลือก Google จะส่งผู้ออกใบรับรองมาตรฐานในคำขอ SAML ซึ่งก็คือ google.com
- (ไม่บังคับ) หากต้องการใช้ SSO กับกลุ่มผู้ใช้ภายในช่วงที่อยู่ IP ที่เจาะจง ให้ป้อนเน็ตเวิร์กมาสก์ ดูข้อมูลเพิ่มเติมได้ที่ผลลัพธ์ของการแมปเครือข่าย
หมายเหตุ: คุณยังสามารถตั้งค่า SSO บางส่วนด้วยการกำหนดโปรไฟล์ SSO ให้กับหน่วยขององค์กรหรือกลุ่มที่ต้องการได้ด้วย
- ป้อน URL การเปลี่ยนรหัสผ่านสำหรับ IdP ของคุณ โดยผู้ใช้จะไปที่ URL นี้ (ไม่ใช่หน้าเปลี่ยนรหัสผ่านของ Google) เพื่อรีเซ็ตรหัสผ่าน
หมายเหตุ: หากป้อน URL ที่นี่ ระบบจะนำผู้ใช้ไปยังหน้านี้แม้ว่าคุณจะไม่ได้เปิดใช้ SSO สำหรับองค์กรก็ตาม
- ป้อน URL หน้าลงชื่อเข้าใช้และ URL หน้าออกจากระบบสำหรับ IdP ของคุณ
- คลิกบันทึก
หลังจากบันทึกแล้ว โปรไฟล์ SSO แบบเดิมจะแสดงในตารางโปรไฟล์ SSO
กำหนดค่า IdP
หากต้องการกำหนดค่า IdP ให้ใช้โปรไฟล์ SSO นี้ โดยให้ป้อนข้อมูลจากส่วนรายละเอียดของผู้ให้บริการ (SP) ของโปรไฟล์ลงในช่องที่เหมาะสมในการตั้งค่า SSO ของ IdP ทั้ง ACS URL และรหัสเอนทิตีจะต้องไม่ซ้ำกันสำหรับโปรไฟล์นี้
| รูปแบบ | |
| ACS URL | https://accounts.google.com/a/{domain.com}/acs โดยที่ {domain.com} คือชื่อโดเมน Workspace ขององค์กร |
| รหัสเอนทิตี | อย่างใดอย่างหนึ่งต่อไปนี้
|
ปิดใช้โปรไฟล์ SSO แบบเดิม
- คลิกโปรไฟล์ SSO แบบเดิมในรายการโปรไฟล์ SSO ของบุคคลที่สาม
- ในการตั้งค่าโปรไฟล์ SSO แบบเดิม ให้ยกเลิกการเลือกเปิดใช้ SSO ด้วยผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม
- ยืนยันว่าต้องการดำเนินการต่อ แล้วคลิกบันทึก
ในรายการโปรไฟล์ SSO ตอนนี้โปรไฟล์ SSO เดิมจะแสดงเป็นปิดใช้
- หน่วยขององค์กรที่มีการกำหนดโปรไฟล์ SSO แบบเดิมจะแสดงการแจ้งเตือนในคอลัมน์โปรไฟล์ที่กำหนด
- หน่วยขององค์กรระดับบนสุดจะแสดงเป็นไม่มีในคอลัมน์โปรไฟล์ที่กำหนด
- ในส่วนจัดการการมอบหมายโปรไฟล์ SSO โปรไฟล์ SSO แบบเดิมจะแสดงเป็นไม่ทำงาน
ย้ายข้อมูลจาก SAML แบบเดิมไปยังโปรไฟล์ SSO
หากองค์กรใช้โปรไฟล์ SSO แบบเดิม เราขอแนะนำให้เปลี่ยนไปใช้โปรไฟล์ SSO ซึ่งมีข้อดีหลายประการ เช่น การรองรับ OIDC, API ที่ทันสมัยมากขึ้น และมีความยืดหยุ่นมากขึ้นในการใช้การตั้งค่า SSO กับกลุ่มผู้ใช้ ดูข้อมูลเพิ่มเติม
ตั้งค่า SSO ด้วย OIDC
ทำตามขั้นตอนต่อไปนี้เพื่อใช้ SSO ที่ใช้ OIDC
- เลือกตัวเลือก OIDC ซึ่งได้แก่ สร้างโปรไฟล์ OIDC ที่กำหนดเอง ซึ่งเป็นส่วนที่คุณให้ข้อมูลแก่พาร์ทเนอร์ OIDC หรือใช้โปรไฟล์ Microsoft Entra OIDC ที่กำหนดค่าไว้ล่วงหน้า
- ทำตามขั้นตอนในหัวข้อตัดสินใจว่าผู้ใช้รายใดควรใช้ SSO เพื่อกำหนดโปรไฟล์ OIDC ที่กำหนดค่าไว้ล่วงหน้าให้กับหน่วยขององค์กร/กลุ่มที่เลือก
หากมีผู้ใช้ภายในหน่วยขององค์กร (เช่น ในหน่วยขององค์กรย่อย) ที่ไม่จำเป็นต้องใช้ SSO คุณยังใช้การมอบหมายเพื่อปิด SSO ให้กับผู้ใช้เหล่านั้นได้ด้วย
หมายเหตุ: อินเทอร์เฟซบรรทัดคำสั่งของ Google Cloud ยังไม่รองรับการตรวจสอบสิทธิ์อีกครั้งโดยใช้ OIDC ในขณะนี้
ข้อควรทราบก่อนที่จะเริ่มต้น
หากต้องการตั้งค่าโปรไฟล์ OIDC ที่กำหนดเอง คุณต้องมีการกำหนดค่าพื้นฐานบางอย่างจากทีมสนับสนุนของ IdP หรือเอกสารประกอบ ดังนี้
- URL ของผู้ออก URL ทั้งหมดของเซิร์ฟเวอร์การให้สิทธิ์ IdP
- ไคลเอ็นต์ OAuth ที่ระบุด้วยรหัสไคลเอ็นต์และตรวจสอบสิทธิ์ด้วยรหัสลับไคลเอ็นต์
- URL การเปลี่ยนรหัสผ่าน หน้าเว็บที่ผู้ใช้ SSO จะเข้าไปเปลี่ยนรหัสผ่าน (แทนการเปลี่ยนรหัสผ่านกับ Google)
นอกจากนี้ Google ยังต้องใช้ IdP ของคุณเพื่อทำสิ่งต่อไปนี้
- การอ้างสิทธิ์
emailจาก IdP ต้องตรงกับอีเมลหลักของผู้ใช้ในฝั่ง Google - โดยต้องใช้ขั้นตอนรหัสการให้สิทธิ์
สร้างโปรไฟล์ OIDC ที่กำหนดเอง
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่เมนู
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
- คลิกเพิ่มโปรไฟล์ OIDC ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม
- ตั้งชื่อโปรไฟล์ OIDC
- ป้อนรายละเอียด OIDC: รหัสไคลเอ็นต์, URL ของผู้ออก, รหัสลับไคลเอ็นต์
- คลิกบันทึก
- ในหน้าการตั้งค่า SSO ของ OIDC สำหรับโปรไฟล์ใหม่ ให้คัดลอก URI การเปลี่ยนเส้นทาง คุณจะต้องอัปเดตไคลเอ็นต์ OAuth ใน IdP เพื่อตอบกลับคำขอโดยใช้ URI นี้
หากต้องการแก้ไขการตั้งค่า ให้วางเมาส์เหนือรายละเอียด OIDC แล้วคลิกแก้ไข
ใช้โปรไฟล์ OIDC ของ Microsoft Entra
ตรวจสอบว่าคุณได้กำหนดค่าข้อกำหนดเบื้องต้นต่อไปนี้สำหรับ OIDC ในกลุ่มผู้ใช้ Microsoft Entra ID ขององค์กรของคุณ
- กลุ่มผู้ใช้ Microsoft Entra ID ต้องยืนยันโดเมน
- ผู้ใช้ปลายทางต้องมีใบอนุญาต Microsoft 365
- ชื่อผู้ใช้ (อีเมลหลัก) ของผู้ดูแลระบบ Google Workspace ที่กำหนดโปรไฟล์ SSO ต้องตรงกับอีเมลหลักของบัญชีผู้ดูแลระบบกลุ่มผู้ใช้ Azure AD
ตัดสินใจว่าผู้ใช้รายใดควรใช้ SSO
เปิดใช้ SSO สำหรับหน่วยขององค์กรหรือกลุ่มโดยกำหนดโปรไฟล์ SSO และ IdP ที่เชื่อมโยงไว้ หรือปิด SSO ด้วยการกำหนด "ไม่มี" ให้กับโปรไฟล์ SSO นอกจากนี้คุณยังใช้นโยบาย SSO แบบผสมภายในหน่วยขององค์กรหรือกลุ่มได้อีกด้วย เช่น เปิด SSO ให้กับหน่วยขององค์กรทั้งหมด จากนั้นปิดสำหรับหน่วยขององค์กรย่อย
หากคุณยังไม่ได้สร้างโปรไฟล์ ให้สร้างก่อนดำเนินการต่อ หรือจะกำหนดโปรไฟล์ OIDC ที่กำหนดค่าไว้ล่วงหน้าก็ได้
- คลิกจัดการการมอบหมายโปรไฟล์ SSO
- หากมอบหมายโปรไฟล์ SSO เป็นครั้งแรก ให้คลิกเริ่มต้นใช้งาน หรือคลิกจัดการงาน
- ทางด้านซ้าย ให้เลือกหน่วยขององค์กรหรือกลุ่มที่ต้องการมอบหมายโปรไฟล์ SSO
- หากการมอบหมายโปรไฟล์ SSO ให้กับหน่วยขององค์กรหรือกลุ่มแตกต่างจากการมอบหมายโปรไฟล์ให้กับทั่วทั้งโดเมน คำเตือนการลบล้างจะปรากฏขึ้นเมื่อคุณเลือกหน่วยขององค์กรหรือกลุ่มดังกล่าว
- คุณจะมอบหมายโปรไฟล์ SSO ให้ผู้ใช้ทีละรายไม่ได้ มุมมองผู้ใช้จะช่วยให้คุณสามารถตรวจสอบการตั้งค่าสำหรับผู้ใช้บางรายได้
- เลือกการมอบหมายโปรไฟล์ SSO ให้กับหน่วยขององค์กรหรือกลุ่มที่เลือก ดังนี้
- หากต้องการยกเว้นหน่วยขององค์กรหรือกลุ่มจาก SSO ให้เลือกไม่มี ผู้ใช้ในหน่วยขององค์กรหรือกลุ่มจะลงชื่อเข้าใช้ Google โดยตรง
- หากต้องการกำหนด IdP อื่นให้กับหน่วยขององค์กรหรือกลุ่ม ให้เลือกโปรไฟล์ SSO อื่น จากนั้นเลือกโปรไฟล์ SSO จากรายการแบบเลื่อนลง
- (เฉพาะโปรไฟล์ SAML SSO เท่านั้น) หลังจากเลือกโปรไฟล์ SAML แล้ว ให้เลือกตัวเลือกในการลงชื่อเข้าใช้สำหรับผู้ใช้ที่ไปยังบริการของ Google โดยตรงโดยไม่ได้ลงชื่อเข้าใช้ IdP บุคคลที่สามของโปรไฟล์ SSO ก่อน ซึ่งคุณสามารถแจ้งให้ป้อนชื่อผู้ใช้ Google จากนั้นจึงเปลี่ยนเส้นทางผู้ใช้ไปยัง IdP หรือกำหนดให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่าน Google ได้
หมายเหตุ: ถ้าคุณเลือกที่จะกำหนดให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่าน Google ระบบจะละเว้นการตั้งค่า URL การเปลี่ยนรหัสผ่านสำหรับโปรไฟล์ SAML SSO นี้ (อยู่ในส่วนโปรไฟล์ SSO > รายละเอียด IDP) วิธีนี้ช่วยให้ผู้ใช้เปลี่ยนรหัสผ่าน Google ได้หากจำเป็น
- คลิกบันทึก
- (ไม่บังคับ) มอบหมายโปรไฟล์ SSO ให้กับหน่วยขององค์กรหรือกลุ่มอื่นๆ ตามต้องการ
หลังจากปิดการ์ดจัดการการมอบหมายโปรไฟล์ SSO คุณจะเห็นงานที่อัปเดตแล้วสำหรับหน่วยขององค์กรและกลุ่มในส่วนจัดการการมอบหมายโปรไฟล์ SSO
นำการมอบหมายโปรไฟล์ SSO ออก
- คลิกชื่อกลุ่มหรือหน่วยขององค์กรเพื่อเปิดการตั้งค่าการมอบหมายโปรไฟล์
- แทนที่การตั้งค่างานที่มีอยู่ด้วยการตั้งค่าหน่วยขององค์กรหลัก ดังนี้
- สำหรับการมอบหมายหน่วยขององค์กร ให้คลิกรับค่าเดิม
- สำหรับงานกลุ่ม ให้คลิกยกเลิกการตั้งค่า
หมายเหตุ: หน่วยขององค์กรระดับบนสุดจะแสดงอยู่ในรายการการมอบหมายโปรไฟล์เสมอ แม้ว่าจะตั้งค่าโปรไฟล์เป็น "ไม่มี" ก็ตาม
ดูเพิ่มเติม
- การตั้งค่าและการซ่อมบำรุง SSO (ไม่บังคับ)
- แก้ปัญหา SSO
- การอนุมัติจากผู้ที่มีสิทธิ์สำหรับการดำเนินการที่มีความละเอียดอ่อน
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง
