從舊版單一登入 (SSO) 改用單一登入 (SSO) 設定檔

Google Workspace 提供兩種方法,讓您可以使用 Google 做為識別資訊提供者 (IdP) 的信賴憑證方,設定單一登入 (SSO) 服務:

  • 舊版單一登入 (SSO) 設定檔:只能為貴機構設定一個 IdP。
  • 單一登入 (SSO) 設定檔:這是設定單一登入 (SSO) 的新方式 (建議)。可讓您為貴機構中的不同使用者套用不同單一登入 (SSO) 設定、同時支援 SAML 和 OIDC、提供更多新式 API,並且是 Google 新功能的重點。

我們建議所有客戶改用單一登入 (SSO) 設定檔,享有這些福利。單一登入 (SSO) 設定檔可與貴機構的單一登入 (SSO) 設定檔並存,因此您可以先測試新的單一登入 (SSO) 設定檔,再讓整個機構改用該設定檔。

遷移程序總覽

  1. 在管理控制台中為 IdP 建立單一登入 (SSO) 設定檔,並向 IdP 註冊新的設定檔。
  2. 指派測試使用者,讓他們使用新的設定檔,確認可正常運作。
  3. 將頂層機構單位指派給新設定檔。
  4. 更新網域專屬網址,使用新的設定檔。
  5. 清理:取消註冊舊的服務供應商,確認自動化使用者帳戶佈建功能仍可正常運作。

步驟 1:建立單一登入設定檔

  1. 請按照這些步驟建立新的 SAML 單一登入設定檔。新設定檔應與貴機構現有的單一登入 (SSO) 設定檔使用相同的 IdP。

  2. 向 IdP 註冊新的單一登入 (SSO) 設定檔,做為新的服務供應商。

    您的 IdP 會將新設定檔視為獨立的服務供應商 (可能稱為「應用程式」或「信賴憑證方」)。註冊新服務供應商的方式會因 IdP 而異,但通常需要為新設定檔設定實體 ID 和聲明客戶服務網址 (ACS)。

API 使用者注意事項

  • 如果您使用貴機構的單一登入 (SSO) 設定檔,就只能使用 Google Workspace Admin Settings API 管理單一登入 (SSO) 設定。
  • Cloud Identity API 可將單一登入 (SSO) 設定檔管理為 inboundSamlSsoProfiles,並使用 inboundSsoAssignments 將設定檔指派給群組或機構單位。

單一登入 (SSO) 設定檔與舊版單一登入 (SSO) 設定檔的差異

超級管理員宣告

單一登入 (SSO) 設定檔不接受超級管理員宣告。使用貴機構的單一登入 (SSO) 設定檔時,系統會接受宣告,但不會將超級管理員重新導向至 IdP。舉例來說,系統會接受下列宣告:

  • 使用者透過 IdP 的應用程式啟動器連結 (IdP 啟動的 SAML)
  • 使用者前往網域專屬的服務網址 (例如 https://drive.google.com/a/<您的網域>.comyour_domain.com)
  • 使用者登入已設定為直接前往 IdP 的 Chromebook。瞭解詳情

單一登入 (SSO) 後驗證設定

控制單一登入 (SSO) 後驗證的設定 (例如登入身分確認問題或兩步驟驗證),針對單一登入 (SSO) 設定檔與貴機構的單一登入 (SSO) 設定檔,兩者有所不同。為避免混淆,建議您將這兩種設定檔設為相同值。瞭解詳情

步驟 2:將測試使用者指派給設定檔

建議您先針對一組使用者或機構單位使用者,測試新的單一登入 (SSO) 設定檔,再讓所有使用者改用該設定檔。使用現有群組或組織單位,或視需要建立新群組/組織單位。

如果您有受管理的 ChromeOS 裝置,建議您採用以機構單位為基礎來進行測試,因為您可以將 ChromeOS 裝置指派給機構單位,但無法指派給群組。

  1. (選用) 建立新的機構單位或配置群組,並將測試使用者指派給該單位/群組。
  2. 請按照這些步驟,將使用者指派給新的單一登入 (SSO) 設定檔。

注意事項:適用於擁有受管理 ChromeOS 裝置的機構

如果您已為 ChromeOS 裝置設定單一登入 (SSO),讓使用者直接前往 IdP,建議您為這些使用者個別測試單一登入 (SSO) 行為。

請注意,如要成功登入,指派給裝置機構單位的單一登入 (SSO) 設定檔,必須與指派給裝置使用者機構單位的單一登入 (SSO)設定檔相符。

舉例來說,如果您目前有銷售機構單位,供使用受管理 Chromebook 並直接登入 IdP 的員工使用,請建立「sales_sso_testing」等機構單位,指派該機構單位使用新設定檔,然後將部分使用者和他們使用的 Chromebook 移至該機構單位。

步驟 3:指派頂層機構單位並更新服務網址

在測試群組或機構單位成功測試新的單一登入 (SSO) 設定檔後,您就可以讓其他使用者改用新的設定檔。

  1. 依序前往「安全性」接下來「使用第三方 IdP 的單一登入 (SSO) 服務」接下來「管理單一登入 (SSO) 設定檔指派作業」
  2. 按一下「管理」
  3. 選取頂層機構單位,並指派給新的單一登入 (SSO) 設定檔。
  4. (選用) 如果其他機構單位或群組已指派給貴機構的單一登入 (SSO) 設定檔,請將這些機構單位或群組指派給新的 SSO 設定檔。

步驟 4:更新網域專屬網址

如果貴機構使用網域專屬網址 (例如 https://mail.google.com/a/<您的網域>.comyour_domain.com),請更新該設定,使用新的單一登入 (SSO) 設定檔:

  1. 依序前往「安全性」接下來「使用第三方 IdP 的單一登入 (SSO) 服務」接下來「網域專屬的服務網址」
  2. 在「自動將使用者重新導向至下列單一登入 (SSO) 設定檔的第三方 IdP」下方,從下拉式選單中選取新的單一登入 (SSO) 設定檔。

步驟 5:清理

  1. 依序前往「安全性」接下來「使用第三方 IdP 的單一登入 (SSO) 服務」接下來「單一登入 (SSO) 設定檔」,然後點選「舊版單一登入 (SSO) 設定檔」開啟設定檔設定。
  2. 取消勾選「啟用舊版單一登入 (SSO) 設定檔」,停用舊版設定檔。
  3. 確認透過 IdP 設定的自動化使用者帳戶佈建功能,能夠與新的單一登入 (SSO) 設定檔正常運作。
  4. 向 IdP 取消註冊舊的服務供應商。