Як налаштувати Систему єдиного входу для організації

Залежно від потреб своєї організації, ви можете налаштувати Систему єдиного входу (SSO) різними способами, використовуючи Google як постачальника послуг. За допомогою профілів SSO, які містять налаштування для постачальника ідентифікаційної інформації, можна застосовувати окремі параметри системи до різних користувачів в організації.

Google Workspace підтримує протоколи на основі стандартів SAML і OIDC.

Якщо всі працівники організації входитимуть через одного постачальника ідентифікаційної інформації, використовуючи протокол на основі стандарту SAML, виконайте наведені нижче дії.

  1. Дотримуйтеся вказівок у розділі Як налаштувати профіль SSO для організації.
  2. Якщо ви плануєте заборонити деяким працівникам використовувати SSO й хочете, щоб вони входили безпосередньо в Google, дотримуйтеся вказівок у розділі Як увімкнути Систему єдиного входу для окремих користувачів. У цьому розділі ви можете вибрати значення "Немає" для профілю SSO. 

Якщо ви використовуєте різних постачальників ідентифікаційної інформації або протокол на основі OIDC, виконайте наведені нижче вказівки.

Кроки, які потрібно виконати, залежать від протоколу SAML або OIDC, який використовується постачальником ідентифікаційної інформації.

  • Якщо використовується стандарт SAML:
    1. Виконайте наведені нижче вказівки, щоб створити профіль SSO для кожного постачальника ідентифікаційної інформації. 
    2. Дотримуйтеся вказівок у розділі Як увімкнути Систему єдиного входу для окремих користувачів.
  • Якщо використовується стандарт OIDC:
    1. Переконайтеся, що ви налаштували клієнт Microsoft Entra ID організації для використання OIDC.
      • Підтвердьте домен для клієнта Entra ID.
      • У кінцевих користувачів мають бути ліцензії Microsoft 365.
      • Ім’я користувача (основна електронна адреса) адміністратора Google Workspace, який призначає профіль SSO, має збігатися з основною адресою, указаною в обліковому записі адміністратора клієнта Entra ID.
    2. Виконайте кроки в розділі Як увімкнути Систему єдиного входу для окремих користувачів, щоб призначити попередньо налаштований профіль OIDC для вибраних організаційних підрозділів або груп.

      Примітка. Інтерфейс командного рядка Google Cloud зараз не підтримує повторну автентифікацію за допомогою стандарту OIDC.

  • Якщо в організаційному підрозділі (наприклад, дочірньому) є працівники, які не користуються Системою єдиного входу, ви можете вимкнути її для них за допомогою призначень.

Якщо працівники для входу в сервіси Google використовують параметр Сервісні URL-адреси домену (наприклад, https://mail.google.com/a/example.com), ви можете керувати взаємодією цих URL-адрес за допомогою Системи єдиного входу.

Перш ніж почати

Щоб налаштувати профіль SSO на основі стандарту SAML, вам знадобляться дані про основну конфігурацію. Ці відомості можна знайти в документації або отримати від служби підтримки постачальника ідентифікаційної інформації.

  • URL-адреса сторінки входу. Також називається URL-адресою Системи єдиного входу або кінцевою точкою SAML 2.0 (HTTP). На цій сторінці користувачі входять у систему постачальника ідентифікаційної інформації.
  • URL-адреса сторінки виходу. Сторінка, на яку користувач переходить після виходу з додатка або сервісу Google.
  • Сертифікат. Сертифікат X.509 у форматі PEM від постачальника ідентифікаційної інформації. Щоб дізнатися більше про сертифікати X.509, перегляньте статтю Про ключі SAML і сертифікати підтвердження.
  • URL-адреса для зміни пароля. Сторінка, на якій користувачі Системи єдиного входу можуть змінити пароль (замість того, щоб указувати новий в обліковому записі Google).

Як налаштувати профіль Системи єдиного входу для організації

Рекомендуємо вибрати цей варіант, якщо у всіх працівників, які використовують Систему єдиного входу, буде один постачальник ідентифікаційної інформації. 

  1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

    Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

  2. Натисніть значок потім Безпека > Автентифікація > Система єдиного входу (SSO) зі стороннім постачальником ідентифікаційної інформації.

    Потрібні права адміністратора Налаштування безпеки.

  3. У розділі Сторонній профіль Системи єдиного входу (SSO) для вашої організації виберіть Додати профіль Системи єдиного входу.
  4. Поставте прапорець біля опції Налаштувати Систему єдиного входу за допомогою стороннього постачальника ідентифікаційної інформації.

Укажіть наведені нижче відомості про постачальника ідентифікаційної інформації.

  • Введіть URL-адресу сторінки входу і URL-адресу сторінки виходу.

    Примітка. Потрібно вказати обидві адреси, і в них повинен використовуватися протокол HTTPS (наприклад, https://sso.example.com).

  • Натисніть Завантажити сертифікат. Знайдіть і завантажте сертифікат X.509, наданий постачальником ідентифікаційної інформації. Щоб дізнатись, як створити такий сертифікат, перегляньте статтю Про ключі SAML і сертифікати підтвердження.
  • Укажіть, чи використовувати в запиті SAML від Google ім’я відправника, пов’язане з конкретним доменом.

    Якщо кілька ваших доменів використовують Систему єдиного входу з одним постачальником ідентифікаційної інформації, за допомогою відправника, пов’язаного з конкретним доменом, можна дізнатись, який домен надсилає запит SAML.

    • Вибрано. Система Google указуватиме ім’я відправника, пов’язане з вашим доменом, наприклад google.com/a/example.com (де example.com – це ім’я вашого основного домену Google Workspace).
    • Не вибрано. Система Google надсилатиме в запиті SAML стандартне ім’я відправника (як-от google.com).
  • (Необов’язково) Якщо потрібно використовувати Систему єдиного входу для групи працівників, які виконують завдання в певних діапазонах IP-адрес, укажіть маску мережі. Щоб дізнатися більше, перегляньте статтю Про результати зіставлення мережі.

    Примітка. Ви також можете налаштувати часткове застосування Системи єдиного входу, призначивши профіль SSO для окремих організаційних підрозділів або груп.

  • Введіть URL-адресу для зміни пароля від постачальника ідентифікаційної інформації. Щоб скинути пароль, користувачі переходитимуть на цю адресу, а не на сторінку зміни пароля в Google.

    Примітка. Якщо вказати URL-адресу, користувачі спрямовуватимуться на цю сторінку, навіть якщо ви не ввімкнете Систему єдиного входу для своєї організації.

Як вимкнути Систему єдиного входу для всіх користувачів

Щоб вимкнути сторонню автентифікацію для всіх користувачів, не змінюючи призначення профілю SSO для організаційних підрозділів і груп, вимкніть сторонній профіль Системи єдиного входу. Для цього:

  1. Зніміть прапорець біля опції Налаштувати Систему єдиного входу за допомогою стороннього постачальника ідентифікаційної інформації.
  2. Натисніть Зберегти.

Як створити профіль Системи єдиного входу на основі стандарту SAML

Щоб створити сторонній профіль SSO, виконайте наведені нижче вказівки. Ви можете створити до 1000 таких профілів у своїй організації.

  1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

    Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

  2. Натисніть значок потім Безпека > Автентифікація > Система єдиного входу (SSO) зі стороннім постачальником ідентифікаційної інформації.

    Потрібні права адміністратора Налаштування безпеки.

  3. У розділі Сторонні профілі Системи єдиного входу натисніть Додати профіль SAML.
  4. Введіть назву профілю.
  5. Укажіть URL-адресу сторінки входу й інші відомості, отримані від постачальника ідентифікаційної інформації.
  6. Введіть URL-адресу для зміни пароля від постачальника ідентифікаційної інформації. Щоб скинути пароль, користувачі переходитимуть на цю адресу, а не на сторінку зміни пароля в Google.
  7. Натисніть Завантажити сертифікат, щоб зберегти файл цього сертифіката.

    Можна завантажити щонайбільше два сертифікати. Постачальник ідентифікаційної інформації може використовувати будь-який із цих сертифікатів для перевірки входу працівника. Завдяки цьому ви можете безпечно оновити сертифікат, строк дії якого закінчується, у постачальника ідентифікаційної інформації. Вказівки можна переглянути в розділі Сертифікати підтвердження SAML.

  8. Натисніть Зберегти.
  9. У розділі Інформація про постачальника послуг скопіюйте й збережіть ідентифікатор об’єкта і URL-адресу ACS. Ці значення знадобляться вам для налаштування SSO через Google на панелі керування адміністратора в постачальника ідентифікаційної інформації.
  10. (Необов’язково) Якщо ваш постачальник ідентифікаційної інформації підтримує шифрування тверджень, ви можете створити сертифікат і надати його постачальнику, щоб увімкнути таке шифрування. У кожному профілі SSO на основі стандарту SAML може бути до 2 сертифікатів постачальника послуг.
    1. Виберіть розділ Інформація про постачальника послуг, щоб перейти в режим редагування.
    2. У розділі Сертифікат постачальника послуг натисніть Створити сертифікат. Документ з’явиться після того, як ви його збережете.
    3. Натисніть Зберегти. На екрані з’явиться назва сертифіката, його вміст і дата закінчення строку дії.
    4. Скористайтеся кнопками над сертифікатом, щоб скопіювати його вміст або завантажити у вигляді файлу. Потім надішліть сертифікат постачальнику ідентифікаційної інформації. 
    5. (Необов’язково) Щоб замінити сертифікат, поверніться в розділ "Інформація про постачальника послуг" і натисніть Створити інший сертифікат, а потім надішліть його постачальнику ідентифікаційної інформації. Коли ви переконаєтеся, що постачальник використовує новий сертифікат, можете видалити попередній.

Як увімкнути Систему єдиного входу для окремих користувачів

Увімкніть Систему єдиного входу для організаційного підрозділу або групи, призначивши профіль SSO й пов’язаного з ним постачальника ідентифікаційної інформації. Щоб вимкнути Систему єдиного входу, призначте для профілю SSO значення "Немає". Ви можете застосувати змішані правила SSO в межах організаційного підрозділу або групи, наприклад, увімкнути її для всього організаційного підрозділу, а потім вимкнути для окремих дочірніх підрозділів. 

  1. Натисніть Керувати налаштуваннями профілю Системи єдиного входу (SSO).
  2. Якщо ви призначаєте профіль уперше, натисніть "Почати". В іншому разі натисніть Керувати.
  3. Ліворуч виберіть організаційний підрозділ або групу, яким потрібно призначити профіль SSO.
    • Якщо профіль SSO, який ви хочете призначити організаційному підрозділу або групі, відрізняється від профілю, призначеного для всього домену, з’явиться попередження про те, що налаштування буде перевизначено.
    • Профіль SSO не можна призначати окремим користувачам. На сторінці "Користувачі" ви можете переглянути налаштування для певних працівників.
  4. Натисніть Призначення профілів Системи єдиного входу (SSO) для вибраного організаційного підрозділу або групи.
    • Щоб виключити організаційний підрозділ або групу із Системи єдиного входу, виберіть Немає. Користувачі в такому підрозділі або групі входитимуть безпосередньо через Google.
    • Щоб призначити іншого постачальника ідентифікаційної інформації для організаційного підрозділу або групи, натисніть Інший профіль Системи єдиного входу, а потім виберіть потрібний профіль SSO з розкривного списку.
  5. (Лише для профілів Системи єдиного входу на основі стандарту SAML) Вибравши профіль SAML, визначіться зі способом входу для користувачів, які переходять у сервіс Google, попередньо не ввійшовши у свій профіль за допомогою відповідної SSO стороннього постачальника ідентифікаційної інформації. Ви можете попросити працівника ввести своє ім’я користувача Google, а потім переспрямувати його постачальнику ідентифікаційної інформації, або вимагати вводити ім’я користувача й пароль Google. 

    Примітка. Якщо вибрати параметр, згідно з яким користувач повинен вводити своє ім’я і пароль Google, налаштування URL-адреса для зміни пароля для цього профілю SSO на основі стандарту SAML буде проігноровано (щоб переглянути його, натисніть "Профіль Системи єдиного входу" > "Інформація про постачальника ідентифікаційної інформації"). Завдяки цьому користувачі зможуть за потреби змінювати свої паролі Google.

  6. Натисніть Зберегти.
  7. За потреби призначте профілі SSO іншим організаційним підрозділам або групам.

Коли ви закриєте картку Керувати налаштуваннями профілю Системи єдиного входу (SSO), ви побачите оновлені призначення для організаційних підрозділів і груп у розділі Керувати налаштуваннями профілю Системи єдиного входу (SSO)

Як вилучити призначення зі списку призначень профілю Системи єдиного входу

  1. Натисніть назву групи або організаційного підрозділу, щоб відкрити налаштування призначень профілю.
  2. Замініть наявне призначення на призначення батьківського організаційного підрозділу.
    • Для призначень організаційного підрозділу натисніть Успадкувати.
    • Для призначень груп натисніть Скинути налаштування.  
    • Для призначень кореневого організаційного підрозділу виберіть Немає (або Сторонній профіль Системи єдиного входу (SSO) організації), якщо ви хочете використовувати сторонній профіль SSO для своєї організації.

Як керувати сервісними URL-адресами домену

За допомогою налаштування Сервісні URL-адреси домену можна керувати тим, що відбувається після входу користувача за допомогою сервісних URL-адрес, наприклад https://mail.google.com/a/example.com. У цьому випадку можливі два варіанти, наведені нижче.

  • Переспрямовувати користувачів на сторінку стороннього постачальника ідентифікаційної інформації. Виберіть цей варіант, щоб завжди спрямовувати таких користувачів на сторінку стороннього постачальника ідентифікаційної інформації, якого ви вибрали в спадному списку профілів SSO. Можна вибрати профіль SSO вашої організації або профіль стороннього постачальника (якщо ви додали його).

    Важливо. Не вибирайте цей варіант, якщо в організації є підрозділи або групи, які не використовують Систему єдиного входу. Працівники, для яких не ввімкнено SSO, автоматично спрямовуватимуться на сторінку постачальника ідентифікаційної інформації і не зможуть увійти.

  • Вимагати спершу ввести ім’я користувача на сторінці входу в Google. Якщо ви виберете цей варіант, користувачі, які входять за URL-адресами домену, спершу спрямовуватимуться на сторінку входу в Google. Працівники, які використовують SSO, переспрямовуватимуться на сторінку входу постачальника ідентифікаційної інформації.

Додаткова інформація


Google, Google Workspace та пов’язані з ними позначки й логотипи є торговельними марками компанії Google LLC. Усі інші назви компаній і продуктів – це торговельні марки відповідних компаній.

 

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Опублікуйте запитання на довідковому форумі Отримайте відповіді від учасників форуму
Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

Пошук
Очистити пошук
Закрити пошук
Головне меню
2196489482359217992
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false
false
false