การย้ายข้อมูลจาก SSO แบบเดิมไปยังโปรไฟล์ SSO

Google Workspace มี 2 วิธีในการตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) โดยมี Google เป็นฝ่ายที่ต้องใช้ระบบยืนยันตัวตนจากผู้ให้บริการข้อมูลประจำตัว

  • โปรไฟล์ SSO แบบเดิม - ให้คุณกำหนดค่า IdP ได้เพียงรายการเดียวสำหรับองค์กร
  • โปรไฟล์ SSO - วิธีใหม่ที่เราแนะนำในการตั้งค่า SSO ซึ่งจะให้คุณใช้การตั้งค่า SSO ที่แตกต่างกันกับผู้ใช้รายต่างๆ ในองค์กร, รองรับทั้ง SAML และ OIDC, มี API ที่ทันสมัยมากขึ้น และจะเป็นสิ่งที่ Google ใช้เป็นหลักสำหรับฟีเจอร์ใหม่ๆ

เราขอแนะนำให้ลูกค้าทุกคนย้ายข้อมูลไปใช้โปรไฟล์ SSO เพื่อรับสิทธิประโยชน์ดังกล่าว โปรไฟล์ SSO สามารถใช้ร่วมกับโปรไฟล์ SSO สำหรับองค์กรได้ คุณจึงทดสอบโปรไฟล์ SSO ใหม่ได้ก่อนที่จะเปลี่ยนไปใช้ทั้งองค์กร

ภาพรวมของกระบวนการย้ายข้อมูล

  1. ในคอนโซลผู้ดูแลระบบ ให้สร้างโปรไฟล์ SSO สำหรับ IdP และลงทะเบียนโปรไฟล์ใหม่กับ IdP
  2. มอบหมายผู้ใช้ทดสอบให้ใช้โปรไฟล์ใหม่เพื่อยืนยันว่าใช้งานโปรไฟล์ดังกล่าวได้
  3. มอบหมายหน่วยขององค์กรระดับบนสุดให้กับโปรไฟล์ใหม่
  4. อัปเดต URL ที่เจาะจงสำหรับโดเมนให้ใช้โปรไฟล์ใหม่
  5. ล้างข้อมูล: ยกเลิกการลงทะเบียนผู้ให้บริการรายเก่า ตรวจสอบว่าการจัดสรรผู้ใช้อัตโนมัติยังคงทำงานอยู่

ขั้นตอนที่ 1: สร้างโปรไฟล์ SSO

  1. ทำตามขั้นตอนเหล่านี้เพื่อสร้างโปรไฟล์ SAML SSO ใหม่ โปรไฟล์ใหม่ควรใช้ IdP เดียวกับโปรไฟล์ SSO ที่มีอยู่สำหรับองค์กร
  2. ลงทะเบียนโปรไฟล์ SSO ใหม่กับ IdP ของคุณในฐานะผู้ให้บริการรายใหม่

    IdP จะเห็นว่าโปรไฟล์ใหม่เป็นผู้ให้บริการรายอื่น (อาจเรียกว่า "แอป" หรือ "บุคคลที่เชื่อถือ") วิธีลงทะเบียนผู้ให้บริการรายใหม่จะแตกต่างกันไปตาม IdP ของคุณ แต่โดยทั่วไปจะต้องกำหนดค่ารหัสเอนทิตีและ URL ของ Assertion Consumer Service (ACS) สำหรับโปรไฟล์ใหม่

หมายเหตุสำหรับผู้ใช้ API
  • หากใช้โปรไฟล์ SSO สำหรับองค์กร คุณจะใช้ได้เฉพาะ Google Workspace Admin Settings API เพื่อจัดการการตั้งค่า SSO
  • Cloud Identity API สามารถจัดการโปรไฟล์ SSO เป็น inboundSamlSsoProfiles และมอบหมายโปรไฟล์ให้กับกลุ่มหรือหน่วยขององค์กรได้โดยใช้ inboundSsoAssignments
ความแตกต่างระหว่างโปรไฟล์ SSO กับโปรไฟล์ SSO เดิม

การยืนยันของผู้ดูแลระบบขั้นสูง

โปรไฟล์ SSO ไม่ยอมรับการยืนยันเกี่ยวกับผู้ดูแลระบบขั้นสูง เมื่อใช้โปรไฟล์ SSO สำหรับองค์กร ระบบจะยอมรับการยืนยัน แต่จะไม่เปลี่ยนเส้นทางผู้ดูแลระบบขั้นสูงไปยัง IdP ตัวอย่างเช่น ระบบจะยอมรับการยืนยันต่อไปนี้

  • ผู้ใช้ติดตามลิงก์ตัวเปิดแอปจาก IdP ของคุณ (SAML ที่เริ่มต้นโดย IdP)
  • ผู้ใช้ไปยัง URL ของบริการที่ใช้ได้เฉพาะในโดเมน (เช่น https://drive.google.com/a/your_domain.com)
  • ผู้ใช้ลงชื่อเข้าใช้ Chromebook ที่กำหนดค่าให้ไปยัง IdP โดยตรง ดูข้อมูลเพิ่มเติม 

การตั้งค่าการยืนยันหลัง SSO

การตั้งค่าที่ควบคุมการยืนยันหลังใช้ SSO (เช่น คำถามในการเข้าสู่ระบบหรือการยืนยันแบบ 2 ขั้นตอน) สำหรับโปรไฟล์ SSO จะแตกต่างจากการตั้งค่าสำหรับโปรไฟล์ SSO ขององค์กร เราขอแนะนำให้ตั้งค่าทั้ง 2 รายการเป็นค่าเดียวกันเพื่อไม่ให้เกิดความสับสน ดูข้อมูลเพิ่มเติม

ขั้นตอนที่ 2: มอบหมายผู้ใช้ทดสอบให้กับโปรไฟล์

เราขอแนะนำให้ทดสอบโปรไฟล์ SSO ใหม่กับผู้ใช้ในกลุ่มหรือหน่วยขององค์กรเดียวก่อน แล้วค่อยเปลี่ยนไปใช้กับผู้ใช้ทั้งหมด ใช้กลุ่มหรือหน่วยขององค์กรที่มีอยู่ หรือสร้างใหม่ตามต้องการ

หากคุณมีอุปกรณ์ ChromeOS ที่มีการจัดการ เราขอแนะนำให้ทำการทดสอบตามหน่วยขององค์กร เนื่องจากคุณสามารถมอบหมายอุปกรณ์ ChromeOS ให้กับหน่วยขององค์กรได้ แต่จะมอบหมายให้กับกลุ่มไม่ได้

  1. (ไม่บังคับ) สร้างหน่วยขององค์กรหรือกลุ่มการกำหนดค่าใหม่และมอบหมายผู้ใช้ทดสอบให้หน่วยขององค์กรหรือกลุ่มการกำหนดค่านั้น
  2. ทำตามขั้นตอนเหล่านี้เพื่อมอบหมายผู้ใช้ให้กับโปรไฟล์ SSO ใหม่
หมายเหตุสำหรับองค์กรที่มีอุปกรณ์ ChromeOS ที่มีการจัดการ

หากคุณกำหนดค่า SSO สำหรับอุปกรณ์ ChromeOS เพื่อให้ผู้ใช้ไปยัง IdP โดยตรง คุณจะต้องทดสอบลักษณะการทำงานของ SSO สำหรับผู้ใช้เหล่านี้แยกกัน

โปรดทราบว่าโปรไฟล์ SSO ที่กำหนดให้กับหน่วยขององค์กรของอุปกรณ์ต้องตรงกับโปรไฟล์ SSO ที่กำหนดให้กับหน่วยขององค์กรของผู้ใช้อุปกรณ์เพื่อให้ลงชื่อเข้าใช้ได้สำเร็จ 

ตัวอย่างเช่น หากตอนนี้คุณมีหน่วยขององค์กรฝ่ายขายสำหรับพนักงานที่ใช้ Chromebook ที่มีการจัดการและลงชื่อเข้าใช้ IdP โดยตรง ให้สร้างหน่วยขององค์กร เช่น "sales_sso_testing" จากนั้นกำหนดให้ใช้โปรไฟล์ใหม่ และย้ายผู้ใช้บางรายและ Chromebook ที่ใช้ไปยังหน่วยขององค์กรนั้น

ขั้นตอนที่ 3: มอบหมายหน่วยขององค์กรระดับบนสุดและอัปเดต URL ของบริการ

หลังจากทดสอบโปรไฟล์ SSO ใหม่ในกลุ่มทดสอบหรือหน่วยขององค์กรเรียบร้อยแล้ว คุณก็พร้อมที่จะเปลี่ยนผู้ใช้รายอื่นๆ

  1. ไปที่ความปลอดภัยจากนั้นSSO ด้วย IDP บุคคลที่สามจากนั้นจัดการการมอบหมายโปรไฟล์ SSO
  2. คลิกจัดการ
  3. เลือกหน่วยขององค์กรระดับบนสุดและมอบหมายให้กับโปรไฟล์ SSO ใหม่
  4. (ไม่บังคับ) หากมีการกำหนดหน่วยขององค์กรหรือกลุ่มอื่นๆ ให้กับโปรไฟล์ SSO สำหรับองค์กรของคุณ ให้กำหนดหน่วยขององค์กรหรือกลุ่มเหล่านั้นให้กับโปรไฟล์ SSO ใหม่

ขั้นตอนที่ 4: อัปเดต URL ที่เจาะจงสำหรับโดเมน

หากองค์กรใช้ URL เฉพาะโดเมน (เช่น https://mail.google.com/a/your_domain.com) ให้อัปเดตการตั้งค่าดังกล่าวเพื่อใช้โปรไฟล์ SSO ใหม่ โดยทำดังนี้

  1. ไปที่ความปลอดภัยจากนั้นSSO ด้วย IdP บุคคลที่สามจากนั้นURL ของบริการที่เจาะจงสำหรับโดเมน
  2. ในส่วน "เปลี่ยนเส้นทางผู้ใช้ไปยัง IdP บุคคลที่สามโดยอัตโนมัติในโปรไฟล์ SSO ดังต่อไปนี้" ให้เลือกโปรไฟล์ SSO ใหม่จากรายการแบบเลื่อนลง

ขั้นตอนที่ 5: ล้างข้อมูล

  1. ในส่วนความปลอดภัยจากนั้นSSO ด้วย IdP บุคคลที่สามจากนั้นโปรไฟล์ SSO ให้คลิกโปรไฟล์ SSO เดิมเพื่อเปิดการตั้งค่าโปรไฟล์
  2. ยกเลิกการเลือกเปิดใช้โปรไฟล์ SSO เดิมเพื่อปิดใช้โปรไฟล์เดิม
  3. ยืนยันว่าการจัดสรรผู้ใช้อัตโนมัติที่ตั้งค่าไว้กับ IdP ทำงานร่วมกับโปรไฟล์ SSO ใหม่ได้อย่างถูกต้อง
  4. ยกเลิกการลงทะเบียนผู้ให้บริการรายเดิมจาก IdP

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร

หากต้องการความช่วยเหลือเพิ่มเติม

ลองทำตามขั้นตอนต่อไปนี้

โพสต์ในชุมชนความช่วยเหลือ ดูคําตอบจากสมาชิกในชุมชน
ติดต่อเรา บอกเราเพิ่มเติมและเราจะช่วยเหลือคุณ
true
เริ่มต้นการทดลองใช้งานฟรี 14 วันได้เลย

อีเมลระดับมืออาชีพ พื้นที่เก็บข้อมูลออนไลน์ การแชร์ปฏิทิน การประชุมวิดีโอ และอื่นๆ เริ่มต้นการทดลองใช้งาน G Suite ฟรีวันนี้

ค้นหา
ล้างการค้นหา
ปิดการค้นหา
เมนูหลัก
7471766265236727817
true
ค้นหาศูนย์ช่วยเหลือ
true
true
true
true
true
73010
false
false
false
false