ورود یکپارچه (SSO) به کاربران اجازه میدهد تا با استفاده از یک مجموعه اعتبارنامه واحد، وارد بسیاری از برنامههای ابری سازمانی شوند. Workspace (و Google Cloud Platform) از SSO ارائهدهندگان هویت شخص ثالث (IdPs) پشتیبانی میکنند.
فضای کاری از هر دو پروتکل SAML و OIDC SSO پشتیبانی میکند.
برای استفاده از SSO، شما پروفایلهای SSO را پیکربندی میکنید، سپس آنها را به گروههای کاربری یا واحدهای سازمانی اختصاص میدهید. این امر امکان پشتیبانی از چندین IdP و آزمایش پیکربندیهای SSO را فراهم میکند. این سیستم پیشنهادی برای SSO است. پروفایل قدیمیتر Legacy SSO ما برای سازمانها نیز موجود است (فقط برای SAML).
SSO در دستگاههای Chrome نیز موجود است. برای جزئیات بیشتر، به پیکربندی ورود یکپارچه SAML برای دستگاههای Chrome بروید.
تأیید اضافی پس از SSO
وقتی SSO راهاندازی میشود، کاربرانی که وارد IdP شخص ثالث خود میشوند، میتوانند بدون تأیید هویت اضافی به برنامههای گوگل دسترسی داشته باشند، با این استثنائات:
- حتی اگر آنها قبلاً وارد IdP خود شده باشند، گوگل به عنوان یک اقدام امنیتی اضافی، گاهی اوقات از آنها میخواهد هویت خود را تأیید کنند. برای اطلاعات بیشتر (و جزئیات مربوط به نحوه غیرفعال کردن این تأیید در صورت لزوم)، به درک ورود امن SAML مراجعه کنید.
- شما میتوانید برای کاربرانی که به سرویسهای گوگل دسترسی دارند، تأیید دو مرحلهای اضافی تنظیم کنید. معمولاً وقتی SSO فعال باشد، تأیید دو مرحلهای نادیده گرفته میشود. برای اطلاعات بیشتر، به فعال کردن چالشها با SSO مراجعه کنید.
آشنایی با SSO مبتنی بر SAML که توسط شرکا اداره میشود
شکل ۱ فرآیندی را نشان میدهد که طی آن یک کاربر از طریق یک سرویس SSO مبتنی بر SAML که توسط شرکا اداره میشود، وارد یک برنامه گوگل، مانند جیمیل، میشود. لیست شمارهگذاری شدهای که پس از تصویر آمده است، جزئیات هر مرحله را نشان میدهد.
مهم: قبل از انجام این فرآیند، شریک باید URL مربوط به سرویس SSO خود و همچنین کلید عمومی که گوگل باید برای تأیید پاسخهای SAML از آن استفاده کند را در اختیار گوگل قرار دهد.
شکل ۱: این تصویر فرآیند ورود به گوگل با استفاده از یک سرویس SSO مبتنی بر SAML را نشان میدهد.
این تصویر مراحل بعدی را نشان میدهد.
- کاربر تلاش میکند تا به یک برنامه میزبانی شده گوگل، مانند جیمیل، تقویم گوگل یا یکی دیگر از سرویسهای گوگل دسترسی پیدا کند.
- گوگل یک درخواست احراز هویت SAML ایجاد میکند که کدگذاری شده و در URL سرویس SSO شریک جاسازی میشود. پارامتر RelayState که حاوی URL کدگذاری شده برنامه گوگل است که کاربر سعی در دسترسی به آن دارد نیز در URL SSO جاسازی شده است. این پارامتر RelayState یک شناسه مبهم است که بدون هیچ گونه تغییر یا بررسی بازگردانده میشود.
- گوگل یک تغییر مسیر به مرورگر کاربر ارسال میکند. این URL تغییر مسیر شامل درخواست احراز هویت SAML کدگذاری شده است که باید به سرویس SSO شریک ارسال شود.
- مرورگر به آدرس اینترنتی SSO هدایت میشود.
- شریک درخواست SAML را رمزگشایی میکند و URL مربوط به ACS گوگل (Assertion Consumer Service) و URL مقصد کاربر (پارامتر RelayState) را استخراج میکند.
- سپس شریک، کاربر را احراز هویت میکند. شرکا میتوانند کاربران را با درخواست اطلاعات ورود معتبر یا با بررسی کوکیهای معتبر نشست، احراز هویت کنند.
- شریک یک پاسخ SAML تولید میکند که حاوی نام کاربری کاربر احراز هویت شده است. مطابق با مشخصات SAML نسخه ۲.۰، این پاسخ به صورت دیجیتالی با کلیدهای عمومی و خصوصی DSA/RSA شریک امضا میشود.
- شریک، پاسخ SAML و پارامتر RelayState را کدگذاری کرده و آن اطلاعات را به مرورگر کاربر برمیگرداند. شریک، مکانیزمی را فراهم میکند تا مرورگر بتواند آن اطلاعات را به ACS گوگل ارسال کند. برای مثال، شریک میتواند پاسخ SAML و URL مقصد را در یک فرم جاسازی کند و دکمهای را فراهم کند که کاربر بتواند برای ارسال فرم به گوگل روی آن کلیک کند. شریک همچنین میتواند جاوا اسکریپت را در صفحهای که فرم را به گوگل ارسال میکند، قرار دهد.
- مرورگر پاسخی را به آدرس اینترنتی ACS ارسال میکند. ACS گوگل با استفاده از کلید عمومی شریک، پاسخ SAML را تأیید میکند. اگر پاسخ با موفقیت تأیید شود، ACS کاربر را به آدرس اینترنتی مقصد هدایت میکند.
- کاربر وارد برنامه گوگل شده است.
همگامسازی حسابهای کاربری بین IdP و گوگل شما
برای سادهسازی مدیریت چرخه عمر کاربر، اکثر سازمانهایی که از SSO استفاده میکنند، دایرکتوری کاربر خود را از IdP با Google همگامسازی میکنند. با فعال بودن همگامسازی، کاربران جدید (یا حذف شده) در سمت IdP به طور خودکار به عنوان کاربران Workspace اضافه یا حذف میشوند. همگامسازی دایرکتوری گوگل از Active Directory و Entra ID پشتیبانی میکند. اکثر IdPها از همگامسازی با Google پشتیبانی میکنند. برای دستورالعملهای راهاندازی، به مستندات IdP خود مراجعه کنید.
SSO و LDAP امن
LDAP امن به رمز عبور گوگل نیاز دارد و با SSO سازگار نیست.