Di chuyển từ tính năng đăng nhập một lần (SSO) cũ sang cấu hình đăng nhập một lần (SSO)

Google Workspace cung cấp hai cách thiết lập dịch vụ Đăng nhập một lần (SSO) với Google là Bên tin cậy cho Nhà cung cấp danh tính của bạn:

  • Cấu hình SSO cũ – Chỉ cho phép bạn định cấu hình một IdP cho tổ chức của mình.
  • Cấu hình SSO – Cách thiết lập SSO mới hơn và được đề xuất. Cho phép bạn áp dụng các chế độ cài đặt SSO khác nhau cho những người dùng khác nhau trong tổ chức của mình, hỗ trợ cả SAML và OIDC, có các API hiện đại hơn và sẽ là trọng tâm của Google đối với các tính năng mới.

Tất cả khách hàng nên di chuyển sang hồ sơ SSO để tận dụng những lợi ích này. Các cấu hình SSO có thể cùng tồn tại với cấu hình SSO cho tổ chức của bạn, vì vậy, bạn có thể kiểm thử các cấu hình SSO mới trước khi chuyển đổi toàn bộ tổ chức.

Tổng quan về quy trình di chuyển

  1. Trong Bảng điều khiển dành cho quản trị viên, hãy tạo một hồ sơ SSO cho IdP của bạn và đăng ký hồ sơ mới với IdP.
  2. Chỉ định người dùng thử nghiệm sử dụng hồ sơ mới để xác nhận rằng hồ sơ đó hoạt động.
  3. Chỉ định đơn vị tổ chức cấp cao nhất cho hồ sơ mới.
  4. Cập nhật các URL dành riêng cho miền để sử dụng trang doanh nghiệp mới.
  5. Dọn dẹp: huỷ đăng ký Nhà cung cấp dịch vụ cũ, xác minh rằng tính năng tự động cấp phép cho người dùng vẫn hoạt động.

Bước 1: Tạo một hồ sơ SSO

  1. Hãy làm theo các bước này để tạo một cấu hình mới có tên là Đăng nhập một lần dựa trên SAML. Hồ sơ mới của bạn phải sử dụng cùng một IdP với hồ sơ SSO hiện có của tổ chức.

  2. Đăng ký cấu hình SSO mới với IdP của bạn dưới dạng Nhà cung cấp dịch vụ mới.

    IdP của bạn sẽ coi hồ sơ mới này là một Nhà cung cấp dịch vụ riêng biệt (có thể gọi đây là "Ứng dụng" hoặc "Bên phụ thuộc"). Cách bạn đăng ký Nhà cung cấp dịch vụ mới sẽ tuỳ thuộc vào IdP của bạn, nhưng thường thì bạn phải định cấu hình Mã nhận dạng thực thể và URL Dịch vụ sử dụng chứng thực (ACS) cho hồ sơ mới.

Lưu ý dành cho người dùng API

  • Nếu sử dụng cấu hình SSO cho tổ chức của mình, bạn chỉ có thể dùng API Cài đặt quản trị của Google Workspace để quản lý chế độ cài đặt SSO.
  • Cloud Identity API có thể quản lý các cấu hình SSO dưới dạng inboundSamlSsoProfiles và chỉ định các cấu hình đó cho các nhóm hoặc đơn vị tổ chức bằng inboundSsoAssignments.

Sự khác biệt giữa cấu hình đăng nhập một lần (SSO) và cấu hình đăng nhập một lần (SSO) cũ

Xác nhận của quản trị viên cấp cao

Cấu hình SSO không chấp nhận các xác nhận về quản trị viên cấp cao. Khi sử dụng cấu hình SSO cho tổ chức của bạn, các câu khẳng định sẽ được chấp nhận, nhưng quản trị viên cấp cao sẽ không được chuyển hướng đến IdP. Ví dụ: các câu khẳng định sau đây sẽ được chấp nhận:

  • Người dùng nhấp vào một đường liên kết của trình chạy ứng dụng từ IdP của bạn (SAML do IdP khởi tạo)
  • Người dùng chuyển đến một URL dịch vụ dành riêng cho miền (ví dụ: https://drive.google.com/a/your_domain.com)
  • Người dùng đăng nhập vào một Chromebook được định cấu hình để chuyển thẳng đến IdP của bạn. Tìm hiểu thêm.

Chế độ cài đặt xác minh sau quy trình Đăng nhập một lần (SSO)

Chế độ cài đặt kiểm soát quy trình xác minh sau khi đăng nhập một lần (chẳng hạn như các biện pháp xác thực đăng nhập hoặc quy trình Xác minh 2 bước) sẽ khác nhau đối với các cấu hình Đăng nhập một lần so với cấu hình Đăng nhập một lần của tổ chức. Để tránh gây nhầm lẫn, bạn nên đặt cả hai chế độ cài đặt này về cùng một giá trị. Tìm hiểu thêm.

Bước 2: Chỉ định người dùng kiểm thử cho hồ sơ

Bạn nên thử nghiệm hồ sơ SSO mới trên người dùng trong một nhóm hoặc đơn vị tổ chức duy nhất trước khi chuyển đổi tất cả người dùng. Sử dụng một nhóm hoặc đơn vị tổ chức hiện có, hoặc tạo một nhóm/đơn vị tổ chức mới nếu cần.

Nếu có thiết bị ChromeOS được quản lý, bạn nên kiểm thử dựa trên đơn vị tổ chức vì bạn có thể chỉ định thiết bị ChromeOS cho các đơn vị tổ chức, chứ không thể chỉ định cho các nhóm.

  1. (Không bắt buộc) Tạo một đơn vị tổ chức hoặc nhóm cấu hình mới rồi chỉ định người dùng thử nghiệm cho đơn vị tổ chức hoặc nhóm đó.
  2. Làm theo các bước này để chỉ định người dùng cho cấu hình SSO mới.

Lưu ý dành cho các tổ chức có thiết bị ChromeOS được quản lý

Nếu đã định cấu hình dịch vụ SSO cho thiết bị ChromeOS để người dùng truy cập trực tiếp vào IdP của bạn, thì bạn nên kiểm thử riêng hành vi SSO cho những người dùng này.

Xin lưu ý rằng để đăng nhập thành công, cấu hình SSO được chỉ định cho đơn vị tổ chức của thiết bị phải khớp với cấu hình SSO được chỉ định cho đơn vị tổ chức của người dùng thiết bị.

Ví dụ: nếu bạn hiện có một đơn vị tổ chức Bán hàng cho những nhân viên sử dụng Chromebook được quản lý và đăng nhập trực tiếp vào IdP của bạn, hãy tạo một đơn vị tổ chức như "sales_sso_testing", chỉ định đơn vị tổ chức đó sử dụng hồ sơ mới và di chuyển một số người dùng cũng như Chromebook mà họ sử dụng vào đơn vị tổ chức đó.

Bước 3: Chỉ định đơn vị tổ chức cấp cao nhất và cập nhật URL dịch vụ

Sau khi kiểm thử thành công cấu hình SSO mới trên một nhóm hoặc đơn vị tổ chức kiểm thử, bạn đã sẵn sàng chuyển đổi những người dùng khác.

  1. Chuyển đến phần Bảo mậtsau đóĐăng nhập một lần (SSO) thông qua nhà cung cấp dịch vụ danh tính (IDP) bên thứ basau đóQuản lý số lượt chỉ định cấu hình đăng nhập một lần.
  2. Nhấp vào Quản lý.
  3. Chọn đơn vị tổ chức cấp cao nhất rồi chỉ định đơn vị đó cho cấu hình SSO mới.
  4. (Không bắt buộc) Nếu các đơn vị tổ chức hoặc nhóm khác được chỉ định cho cấu hình SSO của tổ chức, hãy chỉ định các đơn vị tổ chức hoặc nhóm đó cho cấu hình SSO mới.

Bước 4: Cập nhật URL dành riêng cho miền

Nếu tổ chức của bạn sử dụng URL dành riêng cho miền (ví dụ: https://mail.google.com/a/your_domain.com), hãy cập nhật chế độ cài đặt đó để sử dụng cấu hình SSO mới:

  1. Chuyển đến phần Bảo mậtsau đóĐăng nhập một lần (SSO) thông qua nhà cung cấp dịch vụ danh tính (IDP) bên thứ basau đóURL dịch vụ dành riêng cho miền.
  2. Trong phần Tự động chuyển hướng người dùng đến IdP bên thứ ba trong hồ sơ SSO sau đây, hãy chọn hồ sơ SSO mới trong danh sách thả xuống.

Bước 5: Dọn dẹp

  1. Tại mục Bảo mậtsau đóĐăng nhập một lần (SSO) thông qua nhà cung cấp dịch vụ danh tính (IDP) bên thứ basau đóCấu hình đăng nhập một lần, hãy nhấp vào Cấu hình đăng nhập một lần cũ để mở phần cài đặt cấu hình.
  2. Bỏ đánh dấu Bật cấu hình đăng nhập một lần (SSO) cũ để tắt cấu hình cũ.
  3. Xác nhận rằng chế độ tự động cấp phép cho người dùng được thiết lập với IdP hoạt động đúng cách với hồ sơ SSO mới của bạn.
  4. Huỷ đăng ký Nhà cung cấp dịch vụ cũ khỏi IdP.