Як налаштувати власний додаток SAML

1. Увійдіть в Консоль адміністратора Google з даними облікового запису суперадміністратора.

   Без облікового запису з такими правами ви не зможете виконати наведені нижче дії.

2. Натисніть значок Додатки > Мобільні й вебдодатки.
3. Натисніть Додати додатокДодати власний додаток SAML.
   Введіть назву додатка й за потреби завантажте значок. Значок відображається в списку веб- і мобільних додатків, на сторінці налаштувань і на панелі запуску додатків. Якщо не завантажити значок, система створить його автоматично з перших двох літер назви додатка.
4. Натисніть Продовжити.
5. На сторінці Відомості про постачальника ідентифікаційної інформації Google перегляньте інформацію про налаштування, необхідну постачальнику послуг. Щоб зробити це, ви можете скористатися одним із наведених нижче варіантів.
   1. Завантажте метадані IdP.
   2. Скопіюйте URL-адресу Системи єдиного входу й ідентифікатор об’єкта. Потім завантажте сертифікат (або, за потреби, відбиток SHA-256).
6. (Необов’язково) Увійдіть на сайт постачальника послуг на окремій вкладці чи вікні вебпереглядача й на відповідній сторінці налаштувань Системи єдиного входу введіть відомості, скопійовані на кроці 5. Потім поверніться у Консоль адміністратора.
7. Натисніть Продовжити.
8. Зв’яжіться зі своїм постачальником послуг, щоб отримати значення цих полів. У вікні Відомості про постачальника послуг введіть наведені нижче дані.
   1. URL-адреса ACS. URL-адреса Assertion Consumer Service, на яку постачальник послуг отримує відповідь SAML. Має починатися з https://.
   2. Ідентифікатор об’єкта. Це унікальна глобальна назва.
   3. Початкова URL-адреса (необов’язково). Налаштовує параметр RelayState у запиті SAML, який може бути URL-адресою для переспрямування після автентифікації.
9. (Необов’язково) Якщо вашому постачальнику послуг потрібно, щоб уся відповідь під час автентифікації SAML була підписана, поставте прапорець Підписана відповідь. Якщо прапорець на поставлено (за умовчанням), підписується лише твердження у відповіді.
10. (Необов’язково) Установіть формат і значення ідентифікатора назви для власного додатка SAML. За умовчанням ідентифікатор назви – це основна електронна адреса.
    Підказка. Щоб дізнатися про зіставлення ідентифікаторів назв, необхідних для додатків, перегляньте статті про налаштування в нашому каталозі додатків SAML. Ви також можете створити спеціальні атрибути в Консолі адміністратора або за допомогою Google Admin SDK API і зіставити їх.
11. Натисніть Продовжити.
12. За потреби натисніть Додати зіставлення, щоб зіставити атрибути користувача відповідно до вимог постачальника послуг.
    Примітка. Для всіх додатків можна визначити щонайбільше 10 000 атрибутів. Кожен додаток містить один атрибут за умовчанням, який враховується разом зі спеціальними атрибутами під час підрахунку загальної кількості.
    1. У розділі Атрибути каталогу Google натисніть Вибрати поле й виберіть потрібну назву. Не всі атрибути каталогу Google доступні в спадному списку. Якщо атрибут, який потрібно зіставити (наприклад, електронна адреса менеджера), недоступний, ви можете додати його як спеціальний атрибут. Так він стане доступним для вибору.
    2. У розділі Атрибути додатка введіть відповідний атрибут для власного додатка SAML.
13. (Необов’язково) Щоб ввести назви груп, які стосуються цього додатка, виконайте наведені нижче дії.

    1. У розділі Участь у групі (необов’язково) натисніть Пошук групи, введіть одну або кілька літер назви групи й виберіть потрібну групу.
    2. За потреби додайте інші групи (щонайбільше 75 груп).
    3. У розділі Атрибути додатка введіть відповідну назву групового атрибута для постачальника послуг.

    Незалежно від кількості вказаних груп, відповідь SAML міститиме лише ті, учасниками яких є користувач (безпосередньо або опосередковано). Щоб дізнатися більше, перегляньте статтю Про зіставлення участі в групі.

14. Натисніть Завершити.

1. Увійдіть в Консоль адміністратора Google з даними облікового запису суперадміністратора.

   Без облікового запису з такими правами ви не зможете виконати наведені нижче дії.

2. Натисніть значок Додатки > Мобільні й вебдодатки.
3. Виберіть додаток SAML.
4. Виберіть Доступ користувачів.

5. Щоб застосувати налаштування до всіх організацій, натисніть Увімкнено для всіх або Вимкнено для всіх, а потім – Зберегти. 

6. (Необов’язково) Щоб увімкнути або вимкнути сервіс для організаційного підрозділу:

   1. Ліворуч виберіть організаційний підрозділ.
   2. Щоб змінити статус сервісу, виберіть Увімкнути або Вимкнути.
   3. Виберіть один із варіантів нижче.
      • Якщо статус сервісу змінено на Успадковано й ви хочете зберегти оновлені налаштування, навіть якщо зміниться батьківський параметр, натисніть Замінити.
      • Якщо в налаштуваннях сервісу вибрано статус Замінено, натисніть Успадкувати, щоб повернути його до батьківського значення. Або натисніть Зберегти, щоб зберегти новий параметр, навіть якщо зміниться батьківський параметр.
        Примітка. Докладніше про організаційну структуру.
7. Щоб увімкнути сервіс для певних користувачів або в межах організаційних підрозділів, виберіть групу доступу. Дізнайтеся більше про те, як увімкнути сервіс для групи.
8. Переконайтеся, що електронні адреси, які користувачі використовують для входу в додаток SAML, збігаються з тими, які використовуються для входу у ваш домен Google.

Зміни почнуть діяти протягом 24 годин (зазвичай швидше). Докладніше