Giới thiệu về SSO

Khi bạn thiết lập tính năng SSO, những người dùng đăng nhập vào IdP bên thứ ba của họ có thể truy cập vào các ứng dụng Google mà không cần xác minh thêm, ngoại trừ những trường hợp sau:

• Ngay cả khi người dùng đã đăng nhập vào IdP, Google đôi khi vẫn yêu cầu họ xác minh danh tính để tăng cường mức độ bảo mật. Để biết thêm thông tin (và thông tin chi tiết về cách tắt quy trình xác minh này nếu cần), hãy xem bài viết Tìm hiểu về tính năng đăng nhập an toàn bằng SAML.
• Bạn có thể thiết lập tính năng xác minh 2 bước bổ sung cho những người dùng truy cập vào các dịch vụ của Google. Thông thường, quy trình xác minh hai bước sẽ được bỏ qua khi bạn bật tính năng SSO. Để biết thêm thông tin, hãy xem bài viết Bật biện pháp xác thực bằng dịch vụ SSO.

Hình 1 minh hoạ quy trình người dùng đăng nhập vào một ứng dụng của Google (chẳng hạn như Gmail) thông qua một dịch vụ SSO dựa trên SAML do đối tác vận hành. Danh sách được đánh số sau hình ảnh trình bày chi tiết từng bước.

Quan trọng: Trước khi quy trình này diễn ra, đối tác phải cung cấp cho Google URL cho dịch vụ SSO của mình cũng như khoá công khai mà Google nên dùng để xác minh các phản hồi SAML.

Hình 1: Hình này minh hoạ quy trình đăng nhập vào Google bằng dịch vụ SSO dựa trên SAML.

Hình ảnh này minh hoạ các bước sau.

1. Người dùng cố gắng truy cập vào một ứng dụng được lưu trữ của Google, chẳng hạn như Gmail, Lịch Google hoặc một dịch vụ khác của Google.
2. Google tạo một yêu cầu xác thực SAML, được mã hoá và nhúng vào URL cho dịch vụ SSO của đối tác. Tham số RelayState chứa URL được mã hoá của ứng dụng Google mà người dùng đang cố gắng truy cập cũng được nhúng trong URL SSO. Tham số RelayState là một giá trị nhận dạng không rõ ràng được truyền lại mà không có bất kỳ sửa đổi hoặc kiểm tra nào.
3. Google gửi một lệnh chuyển hướng đến trình duyệt của người dùng. URL chuyển hướng bao gồm yêu cầu xác thực SAML được mã hoá mà bạn phải gửi đến dịch vụ SSO của đối tác.
4. Trình duyệt chuyển hướng đến URL SSO.
5. Đối tác giải mã yêu cầu SAML và trích xuất URL cho cả ACS (Assertion Consumer Service) của Google và URL đích của người dùng (tham số RelayState).
6. Sau đó, đối tác sẽ xác thực người dùng. Đối tác có thể xác thực người dùng bằng cách yêu cầu thông tin đăng nhập hợp lệ hoặc bằng cách kiểm tra cookie phiên hợp lệ.
7. Đối tác tạo ra một phản hồi SAML chứa tên người dùng đã xác thực của người dùng. Theo quy cách SAML phiên bản 2.0, phản hồi này được ký số bằng khoá DSA/RSA công khai và riêng tư của đối tác.
8. Đối tác mã hoá phản hồi SAML và tham số RelayState rồi trả thông tin đó về trình duyệt của người dùng. Đối tác cung cấp một cơ chế để trình duyệt có thể chuyển tiếp thông tin đó đến ACS của Google. Ví dụ: đối tác có thể nhúng phản hồi SAML và URL đích vào một biểu mẫu, đồng thời cung cấp một nút mà người dùng có thể nhấp vào để gửi biểu mẫu đó cho Google. Đối tác cũng có thể thêm JavaScript vào trang gửi biểu mẫu đến Google.
9. Trình duyệt gửi phản hồi đến URL ACS. ACS của Google xác minh phản hồi SAML bằng khoá công khai của đối tác. Nếu xác minh thành công phản hồi, ACS sẽ chuyển hướng người dùng đến URL đích.
10. Người dùng đã đăng nhập vào ứng dụng Google.