Bermigrasi dari SSO lama ke profil SSO

Google Workspace menawarkan dua cara untuk menyiapkan Single Sign-On (SSO) dengan Google sebagai Pihak Pengandal untuk Penyedia Identitas Anda:

Profil SSO lama — Memungkinkan Anda mengonfigurasi hanya satu IdP untuk organisasi.
Profil SSO — Cara baru yang direkomendasikan untuk menyiapkan SSO. Memungkinkan Anda menerapkan setelan SSO yang berbeda ke berbagai pengguna di organisasi, mendukung SAML serta OIDC, memiliki API yang lebih modern, dan akan menjadi fokus Google untuk fitur baru.

Sebaiknya semua pelanggan bermigrasi ke profil SSO untuk mendapatkan manfaat ini. Profil SSO dapat digunakan bersama dengan profil SSO untuk organisasi Anda, sehingga Anda dapat menguji profil SSO baru sebelum melakukan transisi di seluruh organisasi.

Ringkasan proses migrasi

Di konsol Admin, buat profil SSO untuk IdP Anda dan daftarkan profil baru tersebut ke IdP Anda.
Tetapkan pengguna uji coba untuk menggunakan profil baru guna mengonfirmasi bahwa profil tersebut berfungsi.
Tetapkan unit organisasi teratas Anda ke profil baru.
Perbarui URL khusus domain untuk menggunakan profil baru.
Bersihkan: batalkan pendaftaran Penyedia layanan lama Anda, verifikasi bahwa penyediaan pengguna otomatis masih berfungsi.

Langkah 1: Buat profil SSO

Ikuti langkah-langkah ini untuk membuat profil SSO SAML baru. Profil baru Anda harus menggunakan IdP yang sama dengan profil SSO yang ada untuk organisasi Anda.
Daftarkan profil SSO baru dengan IdP Anda sebagai Penyedia Layanan baru.
IdP Anda akan melihat profil baru sebagai Penyedia Layanan yang berbeda (profil baru ini mungkin bernama "Aplikasi" atau "Pihak Pengandal"). Cara Anda mendaftarkan Penyedia Layanan baru akan bervariasi sesuai dengan IdP Anda, tetapi biasanya memerlukan konfigurasi URL ID Entitas dan Assertion Consumer Service (ACS) untuk profil baru.

Catatan untuk pengguna API

Jika Anda menggunakan profil SSO untuk organisasi, Anda hanya dapat menggunakan Google Workspace Admin Settings API untuk mengelola setelan SSO.
Cloud Identity API dapat mengelola profil SSO sebagai inboundSamlSsoProfiles, dan menetapkannya ke grup atau unit organisasi menggunakan inboundSsoAssignments.

Perbedaan antara profil SSO dan profil SSO lama

Pernyataan admin super

Profil SSO tidak menerima pernyataan terkait admin super. Saat menggunakan profil SSO untuk organisasi, pernyataan akan diterima, tetapi admin super tidak akan dialihkan ke IdP. Misalnya, pernyataan berikut akan diterima:

Pengguna mengikuti link peluncur aplikasi dari IdP Anda (SAML yang dimulai IdP)
Pengguna membuka URL layanan khusus domain (misalnya, https://drive.google.com/a/domian_anda.com)
Pengguna login ke Chromebook yang dikonfigurasi untuk membuka IdP Anda secara langsung. Pelajari lebih lanjut.

Setelan verifikasi pasca-SSO

Setelan yang mengontrol verifikasi pasca-SSO (seperti verifikasi login atau Verifikasi 2 Langkah) berbeda untuk profil SSO dibandingkan dengan profil SSO untuk organisasi Anda. Untuk menghindari kebingungan, sebaiknya tetapkan kedua setelan ke nilai yang sama. Pelajari lebih lanjut.

Langkah 2: Tetapkan pengguna uji coba ke profil

Sebaiknya uji profil SSO baru Anda pada pengguna di satu grup atau unit organisasi sebelum beralih ke semua pengguna. Gunakan grup atau unit organisasi yang ada, atau buat grup baru sesuai kebutuhan.

Jika Anda memiliki perangkat ChromeOS terkelola, sebaiknya lakukan pengujian berbasis unit organisasi karena Anda dapat menetapkan perangkat ChromeOS ke unit organisasi, tetapi tidak ke grup.

(Opsional) Buat unit organisasi atau grup konfigurasi baru dan tetapkan pengguna uji coba ke unit organisasi atau grup konfigurasi tersebut.
Ikuti langkah-langkah ini untuk menetapkan pengguna ke profil SSO baru.

Catatan untuk organisasi dengan perangkat ChromeOS terkelola

Jika telah mengonfigurasi SSO untuk perangkat ChromeOS sehingga pengguna tersebut dapat membuka IdP Anda secara langsung, sebaiknya uji perilaku SSO secara terpisah untuk pengguna ini.

Perhatikan bahwa agar login berhasil, profil SSO yang ditetapkan ke unit organisasi perangkat harus cocok dengan profil SSO yang ditetapkan ke unit organisasi pengguna perangkat.

Misalnya, jika saat ini Anda memiliki unit organisasi Penjualan untuk karyawan yang menggunakan Chromebook terkelola dan login secara langsung ke IdP Anda, buat unit organisasi seperti "sales_sso_testing", tetapkan unit organisasi tersebut untuk menggunakan profil baru, dan pindahkan beberapa pengguna serta Chromebook yang mereka gunakan ke unit organisasi tersebut.

Langkah 3: Tetapkan unit organisasi teratas dan perbarui URL layanan

Setelah berhasil menguji profil SSO baru di unit organisasi atau grup pengujian, Anda sudah siap untuk mengalihkan pengguna lain.

Buka KeamananSSO dengan IDP pihak ketigaKelola penetapan profil SSO.
Klik Kelola.
Pilih unit organisasi tingkat teratas, lalu tetapkan ke profil SSO baru.
(Opsional) Jika unit organisasi atau grup lain ditetapkan ke profil SSO untuk organisasi Anda, tetapkan unit organisasi atau grup tersebut ke profil SSO baru.

Langkah 4: Perbarui URL khusus domain

Jika organisasi Anda menggunakan URL khusus domain (misalnya, https://mail.google.com/a/domain_anda.com), perbarui setelan tersebut untuk menggunakan profil SSO baru:

Buka KeamananSSO dengan IDP pihak ketigaURL layanan khusus domain.
Di bagian Alihkan pengguna secara otomatis ke IdP pihak ketiga di profil SSO berikut, pilih profil SSO baru dari daftar dropdown.

Langkah 5: Pembersihan

Di KeamananSSO dengan IDP pihak ketigaProfil SSO, klik Profil SSO lama untuk membuka setelan profil.
Hapus centang Aktifkan profil SSO lama untuk menonaktifkan profil lama.
Pastikan penyediaan pengguna otomatis yang disiapkan dengan IdP berfungsi secara benar dengan profil SSO baru Anda.
Batalkan pendaftaran Penyedia Layanan lama dari IdP Anda.

Apakah ini membantu?

Bagaimana cara meningkatkannya?