借助单点登录 (SSO),用户可以使用一组凭据登录多种企业云应用。Workspace(以及 Google Cloud Platform)支持来自第三方身份提供方 (IdP) 的单点登录。
Workspace 支持 SAML 和 OIDC 单点登录协议。
如需使用单点登录,您可配置单点登录配置文件,然后将其分配给用户组或组织部门。这样,您就可以支持多个 IdP 并测试单点登录配置。这是推荐的单点登录系统。此外,我们还提供适用于组织的旧版单点登录配置文件(仅适用于 SAML)。
单点登录 (SSO) 还支持 Chrome 设备。如需了解详情,请参阅为 Chrome 设备配置 SAML 单点登录。
单点登录后进行额外验证
设置单点登录后,登录其第三方 IdP 的用户无需额外验证即可访问 Google 应用,但以下情况除外:
- 即使用户已登录其 IdP,有时出于额外的安全考虑,Google 仍会要求用户验证自己的身份。如需了解详情(以及如何在必要时停用此验证的详细信息),请参阅“了解 SAML 安全登录”。
- 您可以为访问 Google 服务的用户设置额外的两步验证。启用单点登录后,系统通常会绕过两步验证。如需了解详情,请参阅“针对单点登录启用登录验证功能”。
了解合作伙伴运营的基于 SAML 的 SSO
图 1 说明了用户通过合作伙伴运营的基于 SAML 的单点登录服务登录 Google 应用(例如 Gmail)的过程。图片之后的编号列表详细地说明了各个步骤。
重要提示:实施此流程前,合作伙伴必须向 Google 提供其 SSO 服务的网址以及 Google 用来验证 SAML 响应的公钥。
图 1:此图展示了通过基于 SAML 的单点登录服务登录 Google 的过程。
此图片说明了以下步骤。
- 用户尝试访问托管的 Google 应用,例如 Gmail、Google 日历或其他 Google 服务。
- Google 生成 SAML 身份验证请求。系统会对此 SAML 身份验证请求进行编码,并嵌入到合作伙伴的单点登录服务网址中。单点登录网址中还嵌入了 RelayState 参数,该参数包含用户尝试访问的 Google 应用经过编码的网址。该 RelayState 参数作为不透明标识符,将直接传回而不经过任何修改或检查。
- Google 将重定向网址发送到用户的浏览器。重定向网址包含应向合作伙伴单点登录服务提交的经过编码的 SAML 身份验证请求。
- 浏览器会重定向到单点登录网址。
- 合作伙伴对该 SAML 请求进行解码,并提取 Google 的 ACS(断言消费者服务)网址和用户的目标网址(RelayState 参数),
- 然后对用户进行身份验证。合作伙伴可能会要求提供有效登录凭据或检查有无有效的会话 Cookie,以验证用户身份。
- 合作伙伴生成一个 SAML 响应,其中包含经过身份验证的用户的用户名。按照 SAML v2.0 规范,系统会使用合作伙伴的 DSA/RSA 公钥和私钥对此响应进行数字签名。
- 合作伙伴对 SAML 响应和 RelayState 参数进行编码,并将该信息返回到用户的浏览器。合作伙伴提供了一种机制,以便浏览器可以将该信息转发到 Google ACS。例如,合作伙伴可能会在表单中嵌入 SAML 响应和目标网址并提供一个按钮,用户可点击该按钮向 Google 提交此表单。合作伙伴还可能在页面中加入 JavaScript,以便向 Google 提交表单。
- 浏览器向 ACS 网址发送响应。Google 的 ACS 使用合作伙伴的公钥验证 SAML 响应。如果响应成功通过验证,则 ACS 会将用户重定向到目标网址。
- 用户已登录 Google 应用。
在您的 IdP 和 Google 之间同步用户账号
为了简化用户生命周期管理,大多数使用单点登录的组织还会将其用户目录从 IdP 同步到 Google。同步完成后,IdP 端的新用户(或已删除的用户)将会作为 Workspace 用户自动被添加或删除。Google 的 Directory Sync 支持 Active Directory 和 Entra ID。大多数 IdP 都支持与 Google 同步。如需了解设置说明,请参阅您的 IdP 的文档。
单点登录和安全 LDAP
安全 LDAP 需要使用 Google 密码,并且与单点登录不兼容。