Giới thiệu về SSO

Khi dịch vụ đăng nhập một lần (SSO) được thiết lập, những người dùng đăng nhập vào IdP bên thứ ba của họ có thể truy cập vào các ứng dụng của Google mà không cần xác minh bổ sung, ngoại trừ những trường hợp sau:

• Ngay cả khi đã đăng nhập vào IdP, Google đôi khi sẽ yêu cầu họ xác minh danh tính để tăng cường bảo mật. Để biết thêm thông tin (và thông tin chi tiết về cách tắt quy trình xác minh này nếu cần), hãy chuyển đến phần Tìm hiểu về tính năng đăng nhập an toàn bằng SAML.
• Bạn có thể thiết lập quy trình xác minh hai bước bổ sung cho những người dùng truy cập vào các dịch vụ của Google. Thông thường, quy trình xác minh hai bước sẽ bị bỏ qua khi dịch vụ Đăng nhập một lần (SSO) được bật. Để biết thêm thông tin, hãy chuyển đến phần Bật các biện pháp xác thực bằng dịch vụ đăng nhập một lần (SSO).

Hình 1 minh hoạ quy trình người dùng đăng nhập vào một ứng dụng của Google, chẳng hạn như Gmail, thông qua một dịch vụ đăng nhập một lần (SSO) dựa trên SAML do đối tác vận hành. Danh sách được đánh số sau hình ảnh này trình bày chi tiết từng bước.

Quan trọng: Trước khi quy trình này diễn ra, đối tác phải cung cấp cho Google URL cho dịch vụ đăng nhập một lần (SSO) của mình cũng như khoá công khai mà Google nên sử dụng để xác minh các phản hồi SAML.

Hình 1: Hình này cho thấy quy trình đăng nhập vào Google bằng dịch vụ đăng nhập một lần (SSO) dựa trên SAML.

Hình ảnh này minh hoạ các bước sau.

1. Người dùng cố gắng truy cập vào một ứng dụng của Google được lưu trữ, chẳng hạn như Gmail, Lịch Google hoặc một dịch vụ khác của Google.
2. Google tạo một yêu cầu xác thực SAML, được mã hoá và nhúng vào URL cho dịch vụ đăng nhập một lần (SSO) của đối tác. Tham số RelayState chứa URL đã mã hoá của ứng dụng Google mà người dùng đang cố gắng truy cập cũng được nhúng vào URL SSO. Tham số RelayState này là một giá trị nhận dạng không rõ ràng được truyền lại mà không có bất kỳ sửa đổi hoặc kiểm tra nào.
3. Google gửi một lệnh chuyển hướng đến trình duyệt của người dùng. URL chuyển hướng bao gồm yêu cầu xác thực SAML đã mã hoá cần được gửi đến dịch vụ đăng nhập một lần (SSO) của đối tác.
4. Trình duyệt chuyển hướng đến URL SSO.
5. Đối tác giải mã yêu cầu SAML và trích xuất URL cho cả ACS (Dịch vụ sử dụng xác nhận) của Google và URL đích của người dùng (tham số RelayState).
6. Sau đó, đối tác xác thực người dùng. Đối tác có thể xác thực người dùng bằng cách yêu cầu thông tin đăng nhập hợp lệ hoặc bằng cách kiểm tra cookie phiên hợp lệ.
7. Đối tác tạo một phản hồi SAML chứa tên người dùng đã xác thực. Theo quy cách SAML v2.0, phản hồi này được ký bằng kỹ thuật số bằng các khoá công khai và riêng tư DSA/RSA của đối tác.
8. Đối tác mã hoá phản hồi SAML và tham số RelayState, đồng thời trả lại thông tin đó cho trình duyệt của người dùng. Đối tác cung cấp một cơ chế để trình duyệt có thể chuyển tiếp thông tin đó đến ACS của Google. Ví dụ: đối tác có thể nhúng phản hồi SAML và URL đích vào một biểu mẫu, đồng thời cung cấp một nút mà người dùng có thể nhấp vào để gửi biểu mẫu đó cho Google. Đối tác cũng có thể đưa JavaScript vào trang để gửi biểu mẫu đó cho Google.
9. Trình duyệt gửi một phản hồi đến URL ACS. ACS của Google xác minh phản hồi SAML bằng khoá công khai của đối tác. Nếu phản hồi được xác minh thành công, ACS sẽ chuyển hướng người dùng đến URL đích.
10. Người dùng đã đăng nhập vào ứng dụng Google.