การย้ายข้อมูลจาก SSO แบบเดิมไปยังโปรไฟล์ SSO

Google Workspace มี 2 วิธีในการตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) โดยมี Google เป็นฝ่ายที่ต้องใช้ระบบยืนยันตัวตนจากผู้ให้บริการข้อมูลประจำตัว

  • โปรไฟล์ SSO แบบเดิม \- ให้คุณกำหนดค่า IdP ได้เพียงรายการเดียวสำหรับองค์กร
  • โปรไฟล์ SSO \- วิธีที่ใหม่กว่าและแนะนำให้ใช้ในการตั้งค่า SSO ซึ่งจะให้คุณใช้การตั้งค่า SSO ที่แตกต่างกันกับผู้ใช้รายต่างๆ ในองค์กร, รองรับทั้ง SAML และ OIDC, มี API ที่ทันสมัยมากขึ้น และจะเป็นสิ่งที่ Google ใช้เป็นหลักสำหรับฟีเจอร์ใหม่ๆ

เราขอแนะนำให้ลูกค้าทุกคนย้ายข้อมูลไปใช้โปรไฟล์ SSO เพื่อรับสิทธิประโยชน์ดังกล่าว โปรไฟล์ SSO สามารถใช้ร่วมกับโปรไฟล์ SSO สำหรับองค์กรได้ คุณจึงทดสอบโปรไฟล์ SSO ใหม่ได้ก่อนที่จะเปลี่ยนไปใช้ทั้งองค์กร

ภาพรวมของกระบวนการย้ายข้อมูล

  1. ในคอนโซลผู้ดูแลระบบ ให้สร้างโปรไฟล์ SSO สำหรับ IdP และลงทะเบียนโปรไฟล์ใหม่กับ IdP
  2. มอบหมายผู้ใช้ทดสอบให้ใช้โปรไฟล์ใหม่เพื่อยืนยันว่าใช้งานโปรไฟล์ดังกล่าวได้
  3. มอบหมายหน่วยขององค์กรระดับบนสุดให้กับโปรไฟล์ใหม่
  4. อัปเดต URL ของบริการที่เจาะจงสำหรับโดเมนให้ใช้โปรไฟล์ใหม่
  5. ล้างข้อมูล: ยกเลิกการลงทะเบียนผู้ให้บริการเดิม ตรวจสอบว่าการจัดสรรผู้ใช้โดยอัตโนมัติยังคงทำงานได้

ขั้นตอนที่ 1: สร้างโปรไฟล์ SSO

  1. ทำตาม ขั้นตอน เหล่านี้ เพื่อ สร้างโปรไฟล์ SAML SSO ใหม่ โปรไฟล์ใหม่ควรใช้ IdP เดียวกับโปรไฟล์ SSO ที่มีอยู่สำหรับองค์กร

  2. ลงทะเบียนโปรไฟล์ SSO ใหม่กับ IdP เป็นผู้ให้บริการรายใหม่

    IdP จะเห็นโปรไฟล์ใหม่เป็นผู้ให้บริการที่แยกต่างหาก (อาจเรียกว่า "แอป" หรือ "ฝ่ายที่ต้องใช้ระบบยืนยันตัวตน") วิธีลงทะเบียนผู้ให้บริการรายใหม่จะแตกต่างกันไปตาม IdP แต่โดยทั่วไปแล้วจะต้องกำหนดค่ารหัสเอนทิตีและ URL ของ Assertion Consumer Service (ACS) สำหรับโปรไฟล์ใหม่

หมายเหตุสำหรับผู้ใช้ API

  • หากใช้โปรไฟล์ SSO สำหรับองค์กร คุณจะใช้ได้เฉพาะ Google Workspace Admin Settings API เพื่อจัดการการตั้งค่า SSO
  • Cloud Identity API สามารถจัดการโปรไฟล์ SSO เป็น inboundSamlSsoProfiles และกำหนดโปรไฟล์ให้กับกลุ่มหรือหน่วยขององค์กรโดยใช้ inboundSsoAssignments

ความแตกต่างระหว่างโปรไฟล์ SSO กับโปรไฟล์ SSO แบบเดิม

การยืนยันตัวตนของผู้ดูแลระบบระดับสูง

โปรไฟล์ SSO ไม่ยอมรับการยืนยันตัวตนเกี่ยวกับผู้ดูแลระบบระดับสูง เมื่อใช้โปรไฟล์ SSO สำหรับองค์กร ระบบจะยอมรับการยืนยันตัวตน แต่จะไม่เปลี่ยนเส้นทางผู้ดูแลระบบระดับสูงไปยัง IdP ตัวอย่างเช่น ระบบจะยอมรับการยืนยันตัวตนต่อไปนี้

  • ผู้ใช้ติดตามลิงก์ตัวเปิดแอปจาก IdP ของคุณ (SAML ที่เริ่มต้นโดย IdP)
  • ผู้ใช้ไปยัง URL ของบริการที่เจาะจงสำหรับโดเมน (เช่น https://drive.google.com/a/your_domain.com)
  • ผู้ใช้ลงชื่อเข้าใช้ Chromebook ที่กำหนดค่าให้ไปยัง IdP โดยตรง ดูข้อมูลเพิ่มเติม

การตั้งค่าการยืนยันตัวตนหลังใช้ SSO

การตั้งค่าที่ควบคุมการยืนยันตัวตนหลังใช้ SSO (เช่น คำถามเพื่อตรวจสอบสิทธิ์ในการเข้าสู่ระบบหรือการยืนยันแบบ 2 ขั้นตอน) จะแตกต่างกันระหว่างโปรไฟล์ SSO กับโปรไฟล์ SSO สำหรับองค์กร เราขอแนะนำให้ตั้งค่าทั้ง 2 อย่างให้มีค่าเดียวกันเพื่อหลีกเลี่ยงความสับสน ดูข้อมูลเพิ่มเติม

ขั้นตอนที่ 2: กำหนดผู้ใช้ทดสอบให้กับโปรไฟล์

เราขอแนะนำให้ทดสอบโปรไฟล์ SSO ใหม่กับผู้ใช้ในกลุ่มหรือหน่วยขององค์กรเดียวในตอนแรกก่อนที่จะเปลี่ยนผู้ใช้ทั้งหมด ใช้กลุ่มหรือหน่วยขององค์กรที่มีอยู่ หรือสร้างกลุ่มหรือหน่วยขององค์กรใหม่ตามต้องการ

หากคุณมีอุปกรณ์ ChromeOS ที่มีการจัดการ เราขอแนะนำให้ทดสอบตามหน่วยขององค์กร เนื่องจากคุณสามารถกำหนดอุปกรณ์ ChromeOS ให้กับหน่วยขององค์กรได้ แต่กำหนดให้กับกลุ่มไม่ได้

  1. (ไม่บังคับ) สร้างหน่วยขององค์กรหรือกลุ่มการกำหนดค่าใหม่และมอบหมายผู้ใช้ทดสอบให้หน่วยขององค์กรหรือกลุ่มการกำหนดค่านั้น
  2. ทำตาม ขั้นตอน เหล่านี้ เพื่อ กำหนดผู้ใช้ให้กับโปรไฟล์ SSO ใหม่

หมายเหตุสำหรับองค์กรที่มีอุปกรณ์ ChromeOS ที่มีการจัดการ

หากคุณกำหนดค่า SSO สำหรับอุปกรณ์ ChromeOS เพื่อให้ผู้ใช้ ไปยัง IdP โดยตรง คุณจะต้องทดสอบลักษณะการทำงานของ SSO สำหรับผู้ใช้เหล่านี้แยกกัน

โปรดทราบว่าโปรไฟล์ SSO ที่กำหนดให้กับหน่วยขององค์กรของอุปกรณ์ต้องตรงกับโปรไฟล์ SSO ที่กำหนดให้กับหน่วยขององค์กรของผู้ใช้อุปกรณ์เพื่อให้ลงชื่อเข้าใช้ได้สำเร็จ

ตัวอย่างเช่น หากตอนนี้คุณมีหน่วยขององค์กรฝ่ายขายสำหรับพนักงานที่ใช้ Chromebook ที่มีการจัดการและลงชื่อเข้าใช้ IdP โดยตรง ให้สร้างหน่วยขององค์กร เช่น "sales_sso_testing" จากนั้นกำหนดให้ใช้โปรไฟล์ใหม่ และย้ายผู้ใช้บางรายและ Chromebook ที่ใช้ไปยังหน่วยขององค์กรนั้น

ขั้นตอนที่ 3: กำหนดหน่วยขององค์กรระดับบนสุดและอัปเดต URL ของบริการ

หลังจากทดสอบโปรไฟล์ SSO ใหม่กับกลุ่มหรือหน่วยขององค์กรทดสอบเรียบร้อยแล้ว คุณก็พร้อมที่จะเปลี่ยนผู้ใช้รายอื่นๆ

  1. ไปที่ความปลอดภัย จากนั้น SSO ด้วย IDP บุคคลที่สาม จากนั้น จัดการการกำหนดโปรไฟล์ SSO
  2. คลิกจัดการ
  3. เลือกหน่วยขององค์กรระดับบนสุดและกำหนดให้กับโปรไฟล์ SSO ใหม่
  4. (ไม่บังคับ) หากหน่วยขององค์กรหรือกลุ่มอื่นๆ กำหนดให้กับโปรไฟล์ SSO สำหรับองค์กร ให้กำหนดหน่วยขององค์กรหรือกลุ่มเหล่านั้นให้กับโปรไฟล์ SSO ใหม่

ขั้นตอนที่ 4: อัปเดต URL ของบริการที่เจาะจงสำหรับโดเมน

หากองค์กรใช้ URL ของบริการที่เจาะจงสำหรับโดเมน (เช่น https://mail.google.com/a/your_domain.com) ให้อัปเดตการตั้งค่าดังกล่าวให้ใช้โปรไฟล์ SSO ใหม่โดยทำดังนี้

  1. ไปที่ความปลอดภัย จากนั้น SSO ด้วย IDP บุคคลที่สาม จากนั้น URL ของบริการที่เจาะจงสำหรับโดเมน
  2. ในส่วน "เปลี่ยนเส้นทางผู้ใช้ไปยัง IdP บุคคลที่สามโดยอัตโนมัติในโปรไฟล์ SSO ดังต่อไปนี้" ให้เลือกโปรไฟล์ SSO ใหม่จากรายการแบบเลื่อนลง

ขั้นตอนที่ 5: ล้างข้อมูล

  1. ที่ความปลอดภัย จากนั้น SSO ด้วย IDP บุคคลที่สาม จากนั้น โปรไฟล์ SSO ให้คลิกโปรไฟล์ SSO แบบเดิม เพื่อเปิดการตั้งค่าโปรไฟล์
  2. ยกเลิกการเลือกเปิดใช้โปรไฟล์ SSO แบบเดิม เพื่อปิดใช้โปรไฟล์แบบเดิม
  3. ยืนยันว่าการจัดสรรผู้ใช้โดยอัตโนมัติที่ตั้งค่าด้วย IdP ทำงานอย่างถูกต้องกับโปรไฟล์ SSO ใหม่
  4. ยกเลิกการลงทะเบียนผู้ให้บริการเดิมจาก IdP