การย้ายข้อมูลจาก SSO แบบเดิมไปยังโปรไฟล์ SSO

Google Workspace มี 2 วิธีในการตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) โดยมี Google เป็นฝ่ายที่ต้องใช้ระบบยืนยันตัวตนจากผู้ให้บริการข้อมูลประจำตัว

  • โปรไฟล์ SSO แบบเดิม - ให้คุณกำหนดค่า IdP ได้เพียงรายการเดียวสำหรับองค์กร
  • โปรไฟล์ SSO - วิธีที่ใหม่กว่าและแนะนำในการตั้งค่า SSO ซึ่งจะให้คุณใช้การตั้งค่า SSO ที่แตกต่างกันกับผู้ใช้รายต่างๆ ในองค์กร, รองรับทั้ง SAML และ OIDC, มี API ที่ทันสมัยมากขึ้น และจะเป็นสิ่งที่ Google ใช้เป็นหลักสำหรับฟีเจอร์ใหม่ๆ

เราขอแนะนำให้ลูกค้าทุกคนย้ายข้อมูลไปใช้โปรไฟล์ SSO เพื่อรับสิทธิประโยชน์ดังกล่าว โปรไฟล์ SSO สามารถใช้ร่วมกับโปรไฟล์ SSO สำหรับองค์กรได้ คุณจึงทดสอบโปรไฟล์ SSO ใหม่ได้ก่อนที่จะเปลี่ยนไปใช้ทั้งองค์กร

ภาพรวมของกระบวนการย้ายข้อมูล

  1. ในคอนโซลผู้ดูแลระบบ ให้สร้างโปรไฟล์ SSO สำหรับ IdP และลงทะเบียนโปรไฟล์ใหม่กับ IdP
  2. มอบหมายผู้ใช้ทดสอบให้ใช้โปรไฟล์ใหม่เพื่อยืนยันว่าใช้งานโปรไฟล์ดังกล่าวได้
  3. มอบหมายหน่วยขององค์กรระดับบนสุดให้กับโปรไฟล์ใหม่
  4. อัปเดต URL ที่เจาะจงโดเมนให้ใช้โปรไฟล์ใหม่
  5. ล้างข้อมูล: ยกเลิกการลงทะเบียนผู้ให้บริการรายเก่า ตรวจสอบว่าการจัดสรรผู้ใช้โดยอัตโนมัติยังคงทำงานได้

ขั้นตอนที่ 1: สร้างโปรไฟล์ SSO

  1. ทำตามขั้นตอนเหล่านี้เพื่อสร้างโปรไฟล์ SAML SSO ใหม่ โปรไฟล์ใหม่ควรใช้ IdP เดียวกันกับโปรไฟล์ SSO ที่มีอยู่สำหรับองค์กร

  2. ลงทะเบียนโปรไฟล์ SSO ใหม่กับ IdP เป็นผู้ให้บริการรายใหม่

    IdP จะเห็นโปรไฟล์ใหม่เป็นผู้ให้บริการที่แตกต่างกัน (อาจเรียกว่า "แอป" หรือ "บุคคลที่สามที่เชื่อถือได้") วิธีลงทะเบียนผู้ให้บริการรายใหม่จะแตกต่างกันไปตาม IdP แต่โดยทั่วไปแล้วจะต้องกำหนดค่ารหัสเอนทิตีและ URL ของ Assertion Consumer Service (ACS) สำหรับโปรไฟล์ใหม่

หมายเหตุสำหรับผู้ใช้ API

  • หากใช้โปรไฟล์ SSO สำหรับองค์กร คุณจะใช้ได้เฉพาะ Google Workspace Admin Settings API เพื่อจัดการการตั้งค่า SSO
  • Cloud Identity API สามารถจัดการโปรไฟล์ SSO เป็น inboundSamlSsoProfiles และมอบหมายโปรไฟล์ให้กับกลุ่มหรือหน่วยขององค์กรได้โดยใช้ inboundSsoAssignments

ความแตกต่างระหว่างโปรไฟล์ SSO กับโปรไฟล์ SSO แบบเดิม

การยืนยันของผู้ดูแลระบบขั้นสูง

โปรไฟล์ SSO ไม่ยอมรับการยืนยันเกี่ยวกับผู้ดูแลระบบขั้นสูง เมื่อใช้โปรไฟล์ SSO สำหรับองค์กร ระบบจะยอมรับการยืนยัน แต่จะไม่เปลี่ยนเส้นทางผู้ดูแลระบบขั้นสูงไปยัง IdP ตัวอย่างเช่น ระบบจะยอมรับการยืนยันต่อไปนี้

  • ผู้ใช้ติดตามลิงก์ตัวเปิดแอปจาก IdP ของคุณ (SAML ที่เริ่มต้นโดย IdP)
  • ผู้ใช้ไปยัง URL ของบริการที่เจาะจงสำหรับโดเมน (เช่น https://drive.google.com/a/your_domain.com)
  • ผู้ใช้ลงชื่อเข้าใช้ Chromebook ที่กำหนดค่าให้ไปยัง IdP โดยตรง ดูข้อมูลเพิ่มเติม

การตั้งค่าการยืนยันหลัง SSO

การตั้งค่าที่ควบคุมการยืนยันตัวตนหลังใช้ SSO (เช่น คำถามในการเข้าสู่ระบบหรือการยืนยันแบบ 2 ขั้นตอน) จะแตกต่างกันสำหรับโปรไฟล์ SSO กับโปรไฟล์ SSO สำหรับองค์กร เราขอแนะนำให้ตั้งค่าทั้ง 2 อย่างเป็นค่าเดียวกันเพื่อไม่ให้เกิดความสับสน ดูข้อมูลเพิ่มเติม

ขั้นตอนที่ 2: กำหนดผู้ใช้ทดสอบให้กับโปรไฟล์

เราขอแนะนำให้คุณทดสอบโปรไฟล์ SSO ใหม่กับผู้ใช้ในกลุ่มหรือหน่วยขององค์กรเดียวในตอนแรกก่อนที่จะเปลี่ยนไปใช้กับผู้ใช้ทั้งหมด ใช้กลุ่มหรือหน่วยขององค์กรที่มีอยู่ หรือสร้างกลุ่มหรือหน่วยขององค์กรใหม่ตามต้องการ

หากมีอุปกรณ์ ChromeOS ที่มีการจัดการ เราขอแนะนำให้ทดสอบตามหน่วยขององค์กร เนื่องจากคุณสามารถมอบหมายอุปกรณ์ ChromeOS ให้กับหน่วยขององค์กรได้ แต่จะมอบหมายให้กับกลุ่มไม่ได้

  1. (ไม่บังคับ) สร้างหน่วยขององค์กรหรือกลุ่มการกำหนดค่าใหม่และมอบหมายผู้ใช้ทดสอบให้หน่วยขององค์กรหรือกลุ่มการกำหนดค่านั้น
  2. ทำตามขั้นตอนเหล่านี้เพื่อมอบหมายผู้ใช้ให้กับโปรไฟล์ SSO ใหม่

หมายเหตุสำหรับองค์กรที่มีอุปกรณ์ ChromeOS ที่มีการจัดการ

หากคุณกำหนดค่า SSO สำหรับอุปกรณ์ ChromeOS เพื่อให้ผู้ใช้ไปยัง IdP โดยตรง คุณจะต้องทดสอบลักษณะการทำงานของ SSO สำหรับผู้ใช้เหล่านี้แยกกัน

โปรดทราบว่าโปรไฟล์ SSO ที่กำหนดให้กับหน่วยขององค์กรของอุปกรณ์ต้องตรงกับโปรไฟล์ SSO ที่กำหนดให้กับหน่วยขององค์กรของผู้ใช้อุปกรณ์เพื่อให้ลงชื่อเข้าใช้ได้สำเร็จ

ตัวอย่างเช่น หากปัจจุบันคุณมีหน่วยขององค์กรฝ่ายขายสำหรับพนักงานที่ใช้ Chromebook ที่มีการจัดการและลงชื่อเข้าใช้ IdP โดยตรง ให้สร้างหน่วยขององค์กร เช่น "sales_sso_testing" มอบหมายให้ใช้โปรไฟล์ใหม่ แล้วย้ายผู้ใช้บางรายและ Chromebook ที่ผู้ใช้เหล่านั้นใช้ไปยังหน่วยขององค์กรนั้น

ขั้นตอนที่ 3: มอบหมายหน่วยขององค์กรระดับบนสุดและอัปเดต URL ของบริการ

หลังจากทดสอบโปรไฟล์ SSO ใหม่ในกลุ่มทดสอบหรือหน่วยขององค์กรเรียบร้อยแล้ว คุณก็พร้อมที่จะเปลี่ยนผู้ใช้รายอื่นๆ

  1. ไปที่ความปลอดภัยจากนั้นSSO ด้วย IdP บุคคลที่สามจากนั้นจัดการการมอบหมายโปรไฟล์ SSO
  2. คลิกจัดการ
  3. เลือกหน่วยขององค์กรระดับบนสุดและกำหนดให้กับโปรไฟล์ SSO ใหม่
  4. (ไม่บังคับ) หากมีการมอบหมายหน่วยขององค์กรหรือกลุ่มอื่นๆ ให้กับโปรไฟล์ SSO สำหรับองค์กร ให้มอบหมายหน่วยขององค์กรหรือกลุ่มเหล่านั้นให้กับโปรไฟล์ SSO ใหม่

ขั้นตอนที่ 4: อัปเดต URL ที่เจาะจงสำหรับโดเมน

หากองค์กรใช้ URL เฉพาะโดเมน (เช่น https://mail.google.com/a/your_domain.com) ให้อัปเดตการตั้งค่านั้นเพื่อใช้โปรไฟล์ SSO ใหม่

  1. ไปที่ความปลอดภัยจากนั้นSSO ด้วย IdP บุคคลที่สามจากนั้นURL ของบริการที่เจาะจงสำหรับโดเมน
  2. ในส่วน "เปลี่ยนเส้นทางผู้ใช้ไปยัง IdP บุคคลที่สามโดยอัตโนมัติในโปรไฟล์ SSO ดังต่อไปนี้" ให้เลือกโปรไฟล์ SSO ใหม่จากรายการแบบเลื่อนลง

ขั้นตอนที่ 5: ล้างข้อมูล

  1. ที่ความปลอดภัยจากนั้นSSO ด้วย IdP บุคคลที่สามจากนั้นโปรไฟล์ SSO ให้คลิกโปรไฟล์ SSO แบบเดิมเพื่อเปิดการตั้งค่าโปรไฟล์
  2. ยกเลิกการเลือกเปิดใช้โปรไฟล์ SSO แบบเดิมเพื่อปิดใช้โปรไฟล์เดิม
  3. ยืนยันว่าการจัดสรรผู้ใช้โดยอัตโนมัติที่ตั้งค่าด้วย IdP ทำงานได้อย่างถูกต้องกับโปรไฟล์ SSO ใหม่
  4. ยกเลิกการลงทะเบียนผู้ให้บริการรายเก่าจาก IdP