从旧版单点登录迁移到单点登录配置文件

Google Workspace 提供了两种将 Google 作为身份提供方的依赖方来设置单点登录的方法:

  • 旧版单点登录配置文件 - 允许您为贵组织配置一个 IdP。
  • 单点登录配置文件 - 设置单点登录的推荐新方式。可让您为组织中的不同用户应用不同的单点登录设置,同时支持 SAML 和 OIDC,提供更现代的 API,并将成为 Google 重点开发新功能的平台。

我们建议所有客户都迁移到单点登录个人资料,以便获享这些优势。单点登录配置文件可以与贵组织的单点登录配置文件共存,因此您可以在转换整个组织之前测试新的单点登录配置文件。

迁移过程概览

  1. 在管理控制台中,为您的 IdP 创建单点登录配置文件,并在 IdP 中注册新配置文件。
  2. 分配测试用户使用新资料,以确认其能否正常运行。
  3. 将您的顶级组织部门分配给新资料。
  4. 更新网域专用网址以使用新配置文件。
  5. 清理:取消注册旧服务提供商,验证自动配置用户功能是否仍可正常运行。

第 1 步:创建单点登录配置文件

  1. 请按照这些步骤创建新的 SAML 单点登录配置文件。您的新配置文件应使用与贵组织现有单点登录配置文件相同的 IdP。

  2. 将新的单点登录配置文件作为新的服务提供商注册到您的 IdP。

    您的身份提供方 (IdP) 会将新资料视为一个不同的服务提供商(它可能会将这些资料称为“应用”或“依赖方”)。注册新服务提供商的方式因 IdP 而异,但通常需要为新配置文件配置实体 ID 和断言消费者服务 (ACS) 网址。

API 用户注意事项

  • 如果您使用贵组织的单点登录配置文件,则只能使用 Google Workspace Admin Settings API 来管理单点登录设置。
  • Cloud Identity API 可以将单点登录配置文件作为 inboundSamlSsoProfiles 进行管理,并使用 inboundSsoAssignments 将其分配给群组或组织部门。

单点登录配置文件与旧版单点登录配置文件之间的差异

超级用户断言

单点登录配置文件不接受有关超级用户的断言。使用贵组织的单点登录配置文件时,系统会接受断言,但不会将超级用户重定向到 IdP。例如,系统会接受以下断言:

  • 用户点击 IdP 提供的应用启动器链接(IdP 发起的 SAML)
  • 用户导航到网域专用服务网址(例如 https://drive.google.com/a/your_domain.comyour_domain.com
  • 用户登录配置为直接导航到您的 IdP 的 Chromebook。了解详情

单点登录后验证设置

用于控制单点登录后验证(例如登录质询或两步验证)的设置因单点登录配置文件而异,与贵组织的单点登录配置文件不同。为避免混淆,我们建议将这两项设置设为相同的值。了解详情

第 2 步:向该付款资料分配测试用户

建议您先在单个群组或组织部门中的用户身上测试新的单点登录配置文件,然后再为所有用户切换。使用现有群组或组织部门,或根据需要创建新的群组或组织部门。

如果您有受管理的 ChromeOS 设备,我们建议您按组织部门进行测试,因为您可以将 ChromeOS 设备分配给组织部门,但不能分配给群组。

  1. (可选)创建一个新的组织部门或配置群组,并将测试用户分配给该组织部门或配置群组。
  2. 请按照这些步骤将用户分配给新的单点登录配置文件。

面向使用受管理 ChromeOS 设备的组织的注意事项

如果您为 ChromeOS 设备配置了单点登录,以便用户直接转到您的 IdP,则需要单独为这些用户测试单点登录行为。

请注意,若要成功登录,分配给设备组织部门的单点登录配置文件必须与分配给设备用户组织部门的单点登录配置文件一致。

例如,如果您目前有一个“销售”组织部门,其中包含使用受管理的 Chromebook 并直接登录您的 IdP 的员工,请创建一个组织部门(例如“sales_sso_testing”),将其分配为使用新配置文件,并将一些用户及其使用的 Chromebook 移到该组织部门中。

第 3 步:分配顶级组织部门并更新服务网址

在测试群组或组织部门上成功测试新单点登录配置文件后,您就可以为其他用户切换了。

  1. 依次前往安全性然后使用第三方身份提供商的单点登录服务然后管理单点登录配置文件分配
  2. 点击管理
  3. 选择您的顶级组织部门,并将其分配给新的单点登录配置文件。
  4. (可选)如果其他组织部门或群组已分配给贵组织的单点登录配置文件,请将其分配给新的单点登录配置文件。

第 4 步:更新网域专用网址

如果贵组织使用网域专用网址(例如 https://mail.google.com/a/your_domain.comyour_domain.com),请更新该设置以使用新的单点登录配置文件:

  1. 依次前往安全性然后使用第三方身份提供商的单点登录服务然后网域专用服务网址
  2. 在“自动将用户重定向至以下单点登录配置文件中的第三方 IdP”下,从下拉列表中选择新的单点登录配置文件。

第 5 步:清理

  1. 依次点击安全性然后使用第三方身份提供商的单点登录服务然后单点登录配置文件,然后点击旧版单点登录配置文件以打开配置文件设置。
  2. 取消选中启用旧版单点登录配置文件以停用旧版配置文件。
  3. 确认使用 IdP 设置的自动用户预配功能是否可与新的单点登录配置文件正常搭配使用。
  4. 从 IdP 中取消注册旧服务提供商。