Di chuyển từ tính năng đăng nhập một lần (SSO) cũ sang cấu hình đăng nhập một lần (SSO)

Google Workspace cung cấp 2 cách để thiết lập tính năng Đăng nhập một lần (SSO) với Google là Bên tin cậy cho Nhà cung cấp danh tính của bạn:

  • Cấu hình đăng nhập một lần (SSO) cũ – Chỉ cho phép bạn định cấu hình một IdP cho tổ chức của mình.
  • Cấu hình đăng nhập một lần (SSO) – Cách mới hơn và được đề xuất để thiết lập tính năng Đăng nhập một lần (SSO). Cho phép bạn áp dụng các chế độ cài đặt SSO khác nhau cho những người dùng khác nhau trong tổ chức, hỗ trợ cả SAML và OIDC, có nhiều API hiện đại hơn và sẽ là trọng tâm của Google đối với các tính năng mới.

Tất cả khách hàng nên chuyển sang cấu hình đăng nhập một lần (SSO) để tận dụng những lợi ích này. Cấu hình đăng nhập một lần (SSO) có thể cùng tồn tại với cấu hình đăng nhập một lần (SSO) cho tổ chức của bạn, vì vậy, bạn có thể kiểm thử cấu hình đăng nhập một lần (SSO) mới trước khi chuyển đổi toàn bộ tổ chức.

Tổng quan về quy trình di chuyển

  1. Trong Bảng điều khiển dành cho quản trị viên, hãy tạo cấu hình đăng nhập một lần (SSO) cho IdP của bạn và đăng ký cấu hình mới với IdP.
  2. Chỉ định người dùng thử nghiệm sử dụng cấu hình mới để xác nhận rằng cấu hình đó hoạt động.
  3. Chỉ định đơn vị tổ chức cấp cao nhất cho cấu hình mới.
  4. Cập nhật URL dành riêng cho miền để sử dụng cấu hình mới.
  5. Dọn dẹp: huỷ đăng ký Nhà cung cấp dịch vụ cũ, xác minh rằng tính năng tự động cấp phép cho người dùng vẫn hoạt động.

Bước 1: Tạo cấu hình đăng nhập một lần (SSO)

  1. Hãy làm theo các bước sau để tạo cấu hình đăng nhập một lần (SSO) mới dựa trên SAML. Cấu hình mới của bạn phải sử dụng cùng một IdP như cấu hình đăng nhập một lần (SSO) hiện có cho tổ chức của bạn.

  2. Đăng ký cấu hình đăng nhập một lần (SSO) mới với IdP của bạn dưới dạng Nhà cung cấp dịch vụ mới.

    IdP của bạn sẽ xem cấu hình mới là một Nhà cung cấp dịch vụ riêng biệt (có thể gọi đây là "Ứng dụng" hoặc "Bên tin cậy"). Cách bạn đăng ký Nhà cung cấp dịch vụ mới sẽ khác nhau tuỳ thuộc vào IdP của bạn, nhưng thường yêu cầu định cấu hình Mã nhận dạng thực thể và URL Dịch vụ trình tiêu thụ xác nhận (ACS) cho cấu hình mới.

Lưu ý đối với người dùng API

  • Nếu sử dụng cấu hình đăng nhập một lần (SSO) cho tổ chức của mình, bạn chỉ có thể sử dụng API Cài đặt quản trị của Google Workspace để quản lý chế độ cài đặt SSO.
  • Cloud Identity API có thể quản lý cấu hình đăng nhập một lần (SSO) dưới dạng inboundSamlSsoProfiles và chỉ định các cấu hình đó cho các nhóm hoặc đơn vị tổ chức bằng inboundSsoAssignments.

Sự khác biệt giữa cấu hình đăng nhập một lần (SSO) và cấu hình đăng nhập một lần (SSO) cũ

Xác nhận của quản trị viên cấp cao

Cấu hình đăng nhập một lần (SSO) không chấp nhận xác nhận về quản trị viên cấp cao. Khi sử dụng cấu hình đăng nhập một lần (SSO) cho tổ chức của bạn, hệ thống sẽ chấp nhận xác nhận, nhưng quản trị viên cấp cao sẽ không được chuyển hướng đến IdP. Ví dụ: hệ thống sẽ chấp nhận các xác nhận sau:

  • Người dùng nhấp vào một đường liên kết trình chạy ứng dụng từ IdP của bạn (SAML do IdP khởi tạo)
  • Người dùng chuyển đến một URL dịch vụ dành riêng cho miền (ví dụ: https://drive.google.com/a/your_domain.com)
  • Người dùng đăng nhập vào một Chromebook được định cấu hình để chuyển trực tiếp đến IdP của bạn. Tìm hiểu thêm.

Chế độ cài đặt xác minh sau khi đăng nhập một lần (SSO)

Các chế độ cài đặt kiểm soát quy trình xác minh sau khi đăng nhập một lần (SSO) (chẳng hạn như các biện pháp xác thực đăng nhập hoặc Xác minh 2 bước) sẽ khác nhau đối với cấu hình đăng nhập một lần (SSO) so với cấu hình đăng nhập một lần (SSO) cho tổ chức của bạn. Để tránh nhầm lẫn, bạn nên đặt cả hai chế độ cài đặt thành cùng một giá trị. Tìm hiểu thêm.

Bước 2: Chỉ định người dùng thử nghiệm cho cấu hình

Bạn nên kiểm thử cấu hình đăng nhập một lần (SSO) mới trên người dùng trong một nhóm hoặc đơn vị tổ chức trước khi chuyển đổi tất cả người dùng. Sử dụng một nhóm hoặc đơn vị tổ chức hiện có hoặc tạo một nhóm/đơn vị tổ chức mới nếu cần.

Nếu có các thiết bị ChromeOS được quản lý, bạn nên kiểm thử dựa trên đơn vị tổ chức, vì bạn có thể chỉ định thiết bị ChromeOS cho các đơn vị tổ chức chứ không phải cho các nhóm.

  1. (Không bắt buộc) Tạo một đơn vị tổ chức hoặc nhóm cấu hình mới và chỉ định người dùng thử nghiệm cho đơn vị tổ chức/nhóm đó.
  2. Hãy làm theo các bước sau để chỉ định người dùng cho cấu hình đăng nhập một lần (SSO) mới.

Lưu ý dành cho các tổ chức có thiết bị ChromeOS được quản lý

Nếu đã định cấu hình tính năng Đăng nhập một lần (SSO) cho các thiết bị ChromeOS để người dùng chuyển trực tiếp đến IdP của bạn, thì bạn nên kiểm thử riêng hành vi của tính năng Đăng nhập một lần (SSO) cho những người dùng này.

Xin lưu ý rằng để đăng nhập thành công, cấu hình đăng nhập một lần (SSO) được chỉ định cho đơn vị tổ chức của thiết bị phải khớp với cấu hình đăng nhập một lần (SSO) được chỉ định cho đơn vị tổ chức của người dùng thiết bị.

Ví dụ: nếu hiện tại bạn có một đơn vị tổ chức Bán hàng dành cho những nhân viên sử dụng Chromebook được quản lý và đăng nhập trực tiếp vào IdP của bạn, hãy tạo một đơn vị tổ chức như "sales_sso_testing", chỉ định đơn vị tổ chức đó sử dụng cấu hình mới và di chuyển một số người dùng và Chromebook mà họ sử dụng vào đơn vị tổ chức đó.

Bước 3: Chỉ định đơn vị tổ chức cấp cao nhất và cập nhật URL dịch vụ

Sau khi kiểm thử thành công cấu hình đăng nhập một lần (SSO) mới trên một nhóm hoặc đơn vị tổ chức thử nghiệm, bạn đã sẵn sàng chuyển đổi những người dùng khác.

  1. Chuyển đến Bảo mật sau đó Đăng nhập một lần (SSO) thông qua nhà cung cấp danh tính (IDP) bên thứ ba sau đó Quản lý việc chỉ định cấu hình đăng nhập một lần (SSO).
  2. Nhấp vào Quản lý.
  3. Chọn đơn vị tổ chức cấp cao nhất và chỉ định đơn vị tổ chức đó cho cấu hình đăng nhập một lần (SSO) mới.
  4. (Không bắt buộc) Nếu các đơn vị tổ chức hoặc nhóm khác được chỉ định cho cấu hình đăng nhập một lần (SSO) của tổ chức bạn, hãy chỉ định các đơn vị tổ chức/nhóm đó cho cấu hình đăng nhập một lần (SSO) mới.

Bước 4: Cập nhật URL dành riêng cho miền

Nếu tổ chức của bạn sử dụng URL dành riêng cho miền (ví dụ: https://mail.google.com/a/your_domain.com), hãy cập nhật chế độ cài đặt đó để sử dụng cấu hình đăng nhập một lần (SSO) mới:

  1. Chuyển đến Bảo mật sau đó Đăng nhập một lần (SSO) thông qua nhà cung cấp danh tính (IDP) bên thứ ba sau đó URL dịch vụ dành riêng cho miền.
  2. Trong phần Tự động chuyển hướng người dùng đến IdP bên thứ ba trong cấu hình đăng nhập một lần (SSO) sau đây, hãy chọn cấu hình đăng nhập một lần (SSO) mới trong danh sách thả xuống.

Bước 5: Dọn dẹp

  1. Tại Bảo mật sau đó Đăng nhập một lần (SSO) thông qua nhà cung cấp danh tính (IDP) bên thứ ba sau đó Cấu hình đăng nhập một lần (SSO), hãy nhấp vào Cấu hình đăng nhập một lần (SSO) cũ để mở chế độ cài đặt cấu hình.
  2. Bỏ chọn Bật cấu hình đăng nhập một lần (SSO) cũ để tắt cấu hình cũ.
  3. Xác nhận rằng tính năng tự động cấp phép cho người dùng được thiết lập bằng IdP của bạn hoạt động đúng cách với cấu hình đăng nhập một lần (SSO) mới.
  4. Huỷ đăng ký Nhà cung cấp dịch vụ cũ khỏi IdP của bạn.