О системе единого входа (SSO)

Единый вход (SSO) позволяет пользователям входить в систему множества корпоративных облачных приложений, используя единый набор учетных данных. Workspace (и Google Cloud Platform) поддерживают SSO от сторонних поставщиков идентификационных данных (IdP).

Workspace поддерживает протоколы единого входа SAML и OIDC.

Для использования единого входа (SSO) необходимо настроить профили SSO , а затем назначить их группам пользователей или организационным подразделениям. Это обеспечивает поддержку нескольких поставщиков идентификации (IdP) и позволяет тестировать конфигурации SSO. Это рекомендуемая система для SSO. Также доступен наш более старый профиль SSO Legacy для организаций (только для SAML).

Функция единого входа SAML также доступна на устройствах Chrome. Подробности см. в разделе «Настройка единого входа SAML для устройств Chrome» .

Дополнительная проверка после SSO

При настройке единого входа (SSO) пользователи, вошедшие в систему через стороннего поставщика идентификации (IdP), могут получить доступ к приложениям Google без дополнительной проверки, за исключением следующих случаев:

  • Даже если они уже вошли в свою учетную запись поставщика идентификации (IdP), в качестве дополнительной меры безопасности Google иногда запрашивает подтверждение личности. Для получения дополнительной информации (и подробностей о том, как отключить эту проверку при необходимости) перейдите по ссылке «Понимание безопасного входа в систему SAML».
  • Вы можете настроить дополнительную двухфакторную аутентификацию для пользователей, получающих доступ к сервисам Google. Двухфакторная аутентификация обычно пропускается при включенном едином входе (SSO). Для получения дополнительной информации перейдите в раздел «Включение проверки подлинности при использовании SSO».

Понимание работы партнерской системы единого входа на основе SAML.

На рисунке 1 показан процесс входа пользователя в приложение Google, например Gmail, через службу единого входа на основе SAML, управляемую партнером. Пронумерованный список, следующий за изображением, подробно описывает каждый шаг.

Важно: Прежде чем начнется этот процесс, партнер должен предоставить Google URL-адрес своей службы единого входа (SSO), а также открытый ключ, который Google должен использовать для проверки ответов SAML.

Рисунок 1: На этом изображении показан процесс входа в Google с использованием сервиса единого входа на основе SAML.

На этом изображении показаны следующие шаги.

  1. Пользователь пытается получить доступ к размещенному на сервере приложению Google, такому как Gmail, Google Calendar или другому сервису Google.
  2. Google генерирует запрос на аутентификацию SAML, который кодируется и встраивается в URL-адрес сервиса единого входа (SSO) партнера. Параметр RelayState, содержащий закодированный URL-адрес приложения Google, к которому пользователь пытается получить доступ, также встраивается в URL-адрес SSO. Этот параметр RelayState представляет собой непрозрачный идентификатор, который передается обратно без каких-либо изменений или проверки.
  3. Google отправляет перенаправление в браузер пользователя. URL-адрес перенаправления включает закодированный запрос аутентификации SAML, который должен быть отправлен в службу единого входа (SSO) партнера.
  4. Браузер перенаправляет на URL-адрес системы единого входа (SSO).
  5. Партнер декодирует SAML-запрос и извлекает URL-адрес как для службы обработки утверждений Google (ACS), так и для целевого URL-адреса пользователя (параметр RelayState).
  6. Затем партнер аутентифицирует пользователя. Партнеры могут аутентифицировать пользователей, либо запрашивая действительные учетные данные для входа, либо проверяя наличие действительных сессионных файлов cookie.
  7. Партнер генерирует SAML-ответ, содержащий имя пользователя, прошедшего аутентификацию. В соответствии со спецификацией SAML v2.0, этот ответ подписывается цифровой подписью с использованием открытого и закрытого ключей DSA/RSA партнера.
  8. Партнер кодирует SAML-ответ и параметр RelayState и возвращает эту информацию в браузер пользователя. Партнер предоставляет механизм, позволяющий браузеру пересылать эту информацию в ACS Google. Например, партнер может встроить SAML-ответ и целевой URL-адрес в форму и предоставить кнопку, нажав на которую пользователь сможет отправить форму в Google. Партнер также может добавить JavaScript на страницу, которая отправляет форму в Google.
  9. Браузер отправляет ответ на URL-адрес ACS. ACS от Google проверяет SAML-ответ, используя открытый ключ партнера. Если ответ успешно проверен, ACS перенаправляет пользователя на целевой URL-адрес.
  10. Пользователь авторизован в приложении Google.

Синхронизация учетных записей пользователей между вашим поставщиком идентификации и Google.

Для упрощения управления жизненным циклом пользователей большинство организаций, использующих единый вход (SSO), также синхронизируют свой каталог пользователей с поставщика идентификации (IdP) с Google. При наличии синхронизации новые (или удаленные) пользователи на стороне IdP автоматически добавляются или удаляются как пользователи рабочей области. Синхронизация каталогов Google поддерживает Active Directory и Entra ID. Большинство поставщиков идентификации поддерживают синхронизацию с Google. Инструкции по настройке см. в документации вашего поставщика идентификации.

SSO и защищенный LDAP

Для работы Secure LDAP требуется пароль от Google, и он несовместим с SSO.