แอประบบคลาวด์ Office 365

การใช้มาตรฐาน SAML 2.0 ช่วยให้คุณกำหนดค่าการลงชื่อเพียงครั้งเดียว (SSO) ให้กับแอประบบคลาวด์บางแอปได้ โดยหลังจากตั้งค่า SSO แล้ว ผู้ใช้จะลงชื่อเข้าใช้แอปด้วยข้อมูลเข้าสู่ระบบ Google Workspace ของตนเองผ่าน SSO ได้

ใช้ SAML เพื่อตั้งค่า SSO สำหรับ Office 365

คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

ก่อนเริ่มต้น

  • เพิ่มโดเมน Workspace ของคุณไปยัง Microsoft Office 365 โปรดดูวิธีการที่หัวข้อเพิ่มโดเมนไปยัง Microsoft 365
  • ติดตั้ง PowerShell

  • กำหนดค่า ImmutableID - Office 365 ใช้แอตทริบิวต์ ImmutableID เพื่อระบุตัวผู้ใช้เป็นรายบุคคล เพื่อให้ SSO ระหว่าง Google และ Office 365 ทำงานได้นั้น ผู้ใช้ Office 365 แต่ละคนจะต้องมี ImmutableID และแอตทริบิวต์รหัสชื่อของ SAML ที่ส่งไปยัง Office 365 ระหว่าง SSO จะต้องเหมือนกับ ImmutableID

    ImmutableID ของผู้ใช้ Office 365 จะแตกต่างกันออกไปขึ้นอยู่กับวิธีสร้างผู้ใช้ ต่อไปนี้คือกรณีที่พบได้บ่อย

    • ยังไม่มีผู้ใช้ใน Office 365 - หากจะตั้งค่า Google ให้จัดสรรผู้ใช้โดยอัตโนมัติ คุณไม่จำเป็นต้องกำหนดค่าแอตทริบิวต์ ImmutableID ระบบจะแมปไปยังอีเมลของผู้ใช้ ซึ่งก็คือ User Principle Name (UPN) โดยค่าเริ่มต้น ไปยังขั้นตอนที่ 1

    • หากสร้างผู้ใช้ในคอนโซลผู้ดูแลระบบของ Office 365 - ImmutableID ควรจะเว้นว่างไว้ สำหรับผู้ใช้เหล่านี้ ให้ใช้คำสั่ง PowerShell Update-MgUser เพื่อตั้งค่า ImmutableID ใน Office 365 ให้ตรงกับ UPN ของผู้ใช้ดังนี้

      Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

      นอกจากนี้ คุณยังใช้ Update-MgUser เพื่ออัปเดตผู้ใช้ทั้งหมดพร้อมกันได้ด้วย โปรดดูขั้นตอนที่เอกสารคู่มือ PowerShell

    • หากสร้างผู้ใช้ผ่านการซิงค์ Microsoft Entra ID จะทำให้ ImmutableID เป็น objectGUID ของ Active Directory เวอร์ชันที่เข้ารหัส สำหรับผู้ใช้เหล่านี้ ให้ทำดังนี้
      1. ใช้ PowerShell เพื่อรับข้อมูล ImmutableID จาก Entra ID เช่น หากต้องการรับข้อมูล ImmutableID สำหรับผู้ใช้ทั้งหมดและส่งออกเป็นไฟล์ CSV ให้ใส่ค่าดังนี้

        $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

      2. สร้างแอตทริบิวต์ที่กำหนดเองใน Google จากนั้นป้อนข้อมูลของโปรไฟล์ผู้ใช้แต่ละรายด้วย ImmutableID สำหรับ Office 365 ของผู้ใช้ โปรดดูขั้นตอนที่หัวข้อเพิ่มแอตทริบิวต์ที่กำหนดเองใหม่ และอัปเดตโปรไฟล์ผู้ใช้ นอกจากนี้ คุณยังสามารถดำเนินขั้นตอนโดยอัตโนมัติโดยใช้ GAM (เครื่องมือบรรทัดคำสั่งโอเพนซอร์สชนิดหนึ่ง) หรือใช้ Admin Console API ก็ได้

      โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับ ImmutableID ในเอกสารประกอบของ Microsoft

ขั้นตอนที่ 1: ตั้งค่า Google เป็นผู้ให้บริการข้อมูลประจำตัว SAML

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น แอปจากนั้นแอปในเว็บและบนอุปกรณ์เคลื่อนที่

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

  2. คลิกเพิ่มแอปจากนั้นค้นหาแอป
  3. ในส่วนป้อนชื่อแอป ให้ป้อน Office 365
  4. ในผลการค้นหา ให้ชี้ไปที่ Microsoft Office 365 แล้วคลิกเลือก
  5. ในหน้าต่างรายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google ให้ดำเนินการต่อไปนี้สำหรับตัวเลือกที่ 2: คัดลอก URL ของ SSO, รหัสเอนทิตี และใบรับรอง
    1. ถัดจาก URL ของ SSO ให้คลิกคัดลอก แล้วบันทึก URL
    2. ถัดจากรหัสเอนทิตี ให้คลิกคัดลอก แล้วบันทึกรหัสเอนทิตี
    3. ถัดจากใบรับรอง ให้คลิกคัดลอก แล้วบันทึกใบรับรอง

      คุณต้องมีรายละเอียดเหล่านี้เพื่อตั้งค่าใน Office 365 ให้เสร็จสิ้น

เปิดคอนโซลผู้ดูแลระบบของ Google ค้างไว้ คุณจะดำเนินการกำหนดค่าต่อในคอนโซลผู้ดูแลระบบหลังจากดำเนินการตามขั้นตอนการตั้งค่าเสร็จสมบูรณ์

ขั้นตอนที่ 2: ตั้งค่า Office 365 เป็นผู้ให้บริการ SAML 2.0

  1. เปิดหน้าต่างเบราว์เซอร์ในโหมดไม่ระบุตัวตน จากนั้นไปที่หน้าลงชื่อเข้าใช้ Office 365 แล้วลงชื่อเข้าใช้ด้วยบัญชีผู้ดูแลระบบ Office 365
  2. ให้ใช้เครื่องมือแก้ไขข้อความเพื่อสร้างตัวแปร PowerShell จากข้อมูลที่คัดลอกไว้ในขั้นตอนที่ 1 ต่อไปนี้คือค่าที่จำเป็นสำหรับแต่ละตัวแปร
    ตัวแปร ค่า
    $DomainName "your-company.com"
    $FederationBrandName "Google Cloud Identity" (หรือค่าใดก็ได้ตามที่คุณเลือก)
    $Authentication "แบบรวม"
    $PassiveLogOnUrl
    $ActiveLogOnUri    		 "URL ของ SSO" (จากขั้นตอนที่ 1)
    $SigningCertificate "วางใบรับรองฉบับสมบูรณ์ที่นี่" (จากขั้นตอนที่ 1)*
    $IssuerURI "รหัสเอนทิตี" (จากขั้นตอนที่ 1)
    $LogOffUri "https://accounts.google.com/logout"
    $PreferredAuthenticationProtocol "SAMLP"
    * ตัวแปร $SigningCertifcate จะต้องอยู่ในบรรทัดข้อความเพียงบรรทัดเดียว มิเช่นนั้น PowerShell จะส่งข้อความแสดงข้อผิดพลาด
  3. เมื่อใช้คอนโซล PowerShell ให้เรียกใช้คำสั่ง Update-MgDomain เพื่อกำหนดค่าโดเมน Active Directory สำหรับการรวมศูนย์ โปรดดูขั้นตอนที่เอกสารคู่มือ Microsoft PowerShell
  4. (ไม่บังคับ) หากต้องการทดสอบการตั้งค่าการรวมศูนย์ ให้ใช้คำสั่ง PowerShell ดังนี้

    Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

หมายเหตุ: หากโดเมนของคุณผ่านการรวมศูนย์แล้วและจำเป็นต้องเปลี่ยนการรวมศูนย์เป็น Google ให้เรียกใช้คำสั่งต่อไปนี้โดยใช้พารามิเตอร์เดียวกันกับที่ระบุไว้ในตารางด้านบน
Update-MgDomainFederationConfiguration

ขั้นตอนที่ 3: กำหนดค่า SSO ในคอนโซลผู้ดูแลระบบให้เสร็จ

  1. กลับไปที่แท็บเบราว์เซอร์ที่เปิดคอนโซลผู้ดูแลระบบไว้
  2. คลิกต่อไป
  3. ในหน้ารายละเอียดของผู้ให้บริการ ให้ทำดังนี้
    1. เลือกช่องการตอบกลับที่ลงชื่อ
    2. เลือกถาวรในช่องรูปแบบรหัสชื่อ
    3. สำหรับรหัสชื่อ ให้เลือกตัวเลือกต่อไปนี้
      • หากคุณสร้างแอตทริบิวต์ที่กำหนดเองเพื่อเพิ่ม ImmutableID ของ Office 365 ไปยังโปรไฟล์ผู้ใช้ ให้เลือกแอตทริบิวต์ที่กำหนดเอง
      • หากไม่ได้สร้างแอตทริบิวต์ ImmutableID ที่กำหนดเอง ให้เลือกข้อมูลพื้นฐานจากนั้นอีเมลหลัก
  4. คลิกต่อไป
  5. ในหน้าการแมปแอตทริบิวต์ ให้คลิกเลือกฟิลด์แล้วแมปแอตทริบิวต์ไดเรกทอรีของ Google ต่อไปนี้กับแอตทริบิวต์ Office 365 ที่ตรงกัน โดยต้องระบุแอตทริบิวต์ IDPEmail
    แอตทริบิวต์ไดเรกทอรีของ Google แอตทริบิวต์ของ Office 365
    Basic Information > Primary Email IDPEmail*
  6. (ไม่บังคับ) หากต้องการเพิ่มการแมปอีก ให้คลิกเพิ่มการแมป แล้วเลือกช่องที่ต้องการแมป
  7. (ไม่บังคับ) หากต้องการป้อนชื่อกลุ่มที่เกี่ยวข้องกับแอปนี้ ให้ทำดังนี้
    1. สำหรับการเป็นสมาชิกกลุ่ม (ไม่บังคับ) ให้คลิกค้นหากลุ่ม แล้วป้อนตัวอักษรของชื่อกลุ่มอย่างน้อย 1 ตัว จากนั้นเลือกชื่อกลุ่ม
    2. เพิ่มกลุ่มอีกตามต้องการ (สูงสุด 75 กลุ่ม)
    3. ป้อนชื่อแอตทริบิวต์กลุ่มที่เกี่ยวข้องของผู้ให้บริการสำหรับแอตทริบิวต์แอป

    ไม่ว่าคุณจะป้อนชื่อกลุ่มกี่รายการก็ตาม คำตอบของ SAML จะรวมเฉพาะกลุ่มที่ผู้ใช้เป็นสมาชิกอยู่เท่านั้น (ทั้งโดยตรงหรือโดยอ้อม) โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเกี่ยวกับการเชื่อมโยงการเป็นสมาชิกกลุ่ม

  8. คลิกเสร็จสิ้น

ขั้นตอนที่ 4: เปิดแอปสำหรับผู้ใช้

ก่อนที่จะเริ่มต้น: หากต้องการเปิดหรือปิดบริการให้กับผู้ใช้บางคน ให้ใส่บัญชีของผู้ใช้ในหน่วยขององค์กร (เพื่อควบคุมสิทธิ์เข้าถึงตามแผนก) หรือเพิ่มผู้ใช้ในกลุ่มที่มีสิทธิ์เข้าถึง (เพื่ออนุญาตการเข้าถึงสำหรับผู้ใช้ข้ามแผนกหรือภายในแผนกต่างๆ)

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น แอปจากนั้นแอปในเว็บและบนอุปกรณ์เคลื่อนที่

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

  2. คลิก Office 365
  3. คลิกสิทธิ์เข้าถึงของผู้ใช้

  4. หากต้องการเปิดหรือปิดบริการให้ทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก

  5. (ไม่บังคับ) วิธีเปิดหรือปิดบริการสำหรับหน่วยขององค์กร
    1. เลือกหน่วยขององค์กรทางด้านซ้าย
    2. หากต้องการเปลี่ยนสถานะบริการ ให้เลือกเปิดหรือปิด
    3. เลือกตัวเลือกใดตัวเลือกหนึ่งต่อไปนี้
      • หากตั้งค่าสถานะบริการเป็นรับค่า และคุณต้องการคงการตั้งค่าที่อัปเดตแล้วไว้ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป ให้คลิกลบล้าง
      • หากตั้งค่าสถานะบริการเป็นลบล้าง ให้คลิกรับค่าเพื่อเปลี่ยนกลับเป็นการตั้งค่าเดียวกันกับระดับบนสุด หรือคลิกบันทึกเพื่อคงการตั้งค่าใหม่ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป
        ดูข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างองค์กร
  6. (ไม่บังคับ) หากต้องการเปิดใช้บริการให้กับผู้ใช้ในหน่วยขององค์กรหรือข้ามหน่วย ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อปรับแต่งการเข้าถึงบริการโดยใช้กลุ่มที่มีสิทธิ์เข้าถึง
  7. ตรวจสอบให้แน่ใจว่าโดเมนอีเมลของบัญชีผู้ใช้ Office 365 ของคุณตรงกับโดเมนหลักของบัญชี Google ที่มีการจัดการขององค์กร

ขั้นตอนที่ 5: ยืนยันว่า SSO ใช้ได้

Office 365 รองรับ SSO ทั้งจากผู้ให้บริการข้อมูลประจำตัวและผู้ให้บริการ

ยืนยัน SSO จากผู้ให้บริการข้อมูลประจำตัว

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น แอปจากนั้นแอปในเว็บและบนอุปกรณ์เคลื่อนที่

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

  2. คลิก Office 365
  3. คลิกทดสอบการเข้าสู่ระบบผ่าน SAML ในส่วน Office 365

    ระบบจะเปิดแอปขึ้นมาในแท็บใหม่ หากไม่เปิด ให้แก้ปัญหาข้อความแสดงข้อผิดพลาดแล้วลองอีกครั้ง โปรดดูรายละเอียดเกี่ยวกับการแก้ปัญหาที่หัวข้อข้อความแสดงข้อผิดพลาดของแอป SAML

ยืนยัน SSO จากผู้ให้บริการ

  1. ปิดหน้าต่างของเบราว์เซอร์ทั้งหมด
  2. ไปที่หน้าลงชื่อเข้าใช้ Office 365 แล้วลงชื่อเข้าใช้ด้วยบัญชีผู้ดูแลระบบ Office 365
    จากนั้นระบบจะนำคุณไปยังหน้าลงชื่อเข้าใช้ของ Google โดยอัตโนมัติ
  3. เลือกบัญชีและป้อนรหัสผ่าน

หลังจากตรวจสอบสิทธิ์ข้อมูลเข้าสู่ระบบแล้ว แอปควรเปิดขึ้น

ขั้นตอนที่ 6: ตั้งค่าการจัดสรรผู้ใช้

ในฐานะผู้ดูแลระบบขั้นสูง คุณสามารถจัดสรรผู้ใช้ในแอปได้โดยอัตโนมัติ โปรดดูรายละเอียดที่หัวข้อกำหนดค่าการจัดสรรผู้ใช้ Office 365


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง