การตั้งค่าและการซ่อมบำรุง SSO (ไม่บังคับ)

วิธีหมุนเวียนใบรับรอง

หากคุณอัปโหลดใบรับรอง 2 ใบไปยังโปรไฟล์การลงชื่อเพียงครั้งเดียว (SSO) ด้วย SAML ทาง Google จะใช้ใบรับรองใดก็ได้เพื่อตรวจสอบการตอบกลับ SAML จาก IdP ซึ่งจะช่วยให้คุณหมุนเวียนใบรับรองที่กำลังจะหมดอายุในฝั่ง IdP ได้อย่างปลอดภัย โดยทำตามขั้นตอนต่อไปนี้อย่างน้อย 24 ชั่วโมงก่อนที่ใบรับรองจะหมดอายุ

  1. สร้างใบรับรองใหม่ใน IdP
  2. อัปโหลดใบรับรองเป็นใบรับรองที่ 2 ในคอนโซลผู้ดูแลระบบ ดูวิธีการได้ที่สร้างโปรไฟล์ SAML profile
  3. รอ 24 ชั่วโมงเพื่อให้บัญชีผู้ใช้ Google อัปเดตด้วยใบรับรองใหม่
  4. กำหนดค่า IdP เพื่อใช้ใบรับรองใหม่แทนใบรับรองที่กำลังจะหมดอายุ
  5. (ไม่บังคับ) เมื่อผู้ใช้ยืนยันว่าลงชื่อเข้าใช้ได้แล้ว ให้นำใบรับรองเก่าออกจากคอนโซลผู้ดูแลระบบ จากนั้นคุณจะอัปโหลดใบรับรองใหม่ในอนาคตได้ตามต้องการ

ใช้การป้อนอีเมลอัตโนมัติเพื่อลดความซับซ้อนในการลงชื่อเข้าใช้ SSO

เปิดการป้อนอีเมลอัตโนมัติ เมื่อสร้างหรืออัปเดตโปรไฟล์การลงชื่อเพียงครั้งเดียว (SSO) ด้วย SAML ขาเข้า เพื่อช่วยให้ผู้ใช้ลงชื่อเข้าใช้ได้

การป้อนอีเมลอัตโนมัติจะกรอกข้อมูลในช่องอีเมลโดยอัตโนมัติในหน้าลงชื่อเข้าใช้ของผู้ให้บริการข้อมูลประจำตัว (IdP) บุคคลที่สาม ดังนั้นผู้ใช้จึงต้องป้อนเพียงรหัสผ่าน คุณเปิดการป้อนอีเมลอัตโนมัติ ได้เมื่อสร้างโปรไฟล์ SAML SSO ขาเข้าใหม่หรืออัปเดตโปรไฟล์ที่มีอยู่

การป้อนอีเมลอัตโนมัติจะใช้พารามิเตอร์คำแนะนำในการเข้าสู่ระบบ เพื่อส่งอีเมลของผู้ใช้ไปยัง IdP อย่างปลอดภัย พารามิเตอร์นี้เป็นฟีเจอร์ทั่วไปที่ IdP ของบุคคลที่สามหลายรายรองรับสำหรับการลงชื่อเข้าใช้ที่ดำเนินการจาก IdP

พารามิเตอร์ของคำแนะนำในการเข้าสู่ระบบไม่ได้เป็นมาตรฐาน ดังนั้น IdP ต่างๆ จึงใช้รูปแบบที่แตกต่างกัน เช่น

  • login_hint: (รองรับโดย IdP เช่น Microsoft Entra)
  • LoginHint: (รองรับโดย IdP เช่น Okta)

ความแตกต่างดังกล่าวทำให้คุณต้องยืนยันว่า IdP รองรับรูปแบบใด และเลือกการตั้งค่าที่สอดคล้องกันในคอนโซลผู้ดูแลระบบของ Google

ตัวเลือกในการเปิดการป้อนอีเมลอัตโนมัติ

เปิดการป้อนอีเมลอัตโนมัติในโปรไฟล์ใหม่

  1. ลงชื่อเข้าใช้คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ

    หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้

  2. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การตรวจสอบสิทธิ์ จากนั้น SSO ด้วย IdP บุคคลที่สาม

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  3. ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม ให้คลิกเพิ่มโปรไฟล์ SAML
  4. ในส่วนโปรไฟล์ SAML SSO ให้ป้อนชื่อโปรไฟล์
  5. ในส่วนการป้อนอีเมลอัตโนมัติ ให้เลือกตัวเลือกที่ตรงกับรูปแบบคำแนะนำในการเข้าสู่ระบบที่ IdP รองรับ
  6. ในส่วนรายละเอียด IdP ให้ทำตามขั้นตอนต่อไปนี้
    1. ป้อนรหัสเอนทิตีของ IdP, URL หน้าลงชื่อเข้าใช้ และ URL หน้าออกจากระบบ ที่คุณได้รับจาก IdP
    2. ในส่วน URL การเปลี่ยนรหัสผ่าน ให้ป้อน URL การเปลี่ยนรหัสผ่านสำหรับ IdP ของคุณ
      โดยผู้ใช้จะไปที่ URL นี้เพื่อรีเซ็ตรหัสผ่าน
  7. คลิกบันทึก แล้วสร้างโปรไฟล์ต่อ

เปิดการป้อนอีเมลอัตโนมัติในโปรไฟล์ที่มีอยู่

  1. ลงชื่อเข้าใช้คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ

    หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้

  2. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การตรวจสอบสิทธิ์ จากนั้น SSO ด้วย IdP บุคคลที่สาม

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  3. ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม ให้คลิกโปรไฟล์ที่ต้องการอัปเดต
  4. คลิกรายละเอียด SP
  5. ในส่วนการป้อนอีเมลอัตโนมัติ ให้เลือกตัวเลือกที่ตรงกับรูปแบบคำแนะนำในการเข้าสู่ระบบที่ IdP รองรับ
  6. คลิกบันทึก

จัดการ URL ของบริการที่เจาะจงสำหรับโดเมน

การตั้งค่า URL ของบริการที่เจาะจงสำหรับโดเมน จะช่วยให้คุณควบคุมสิ่งที่จะเกิดขึ้นเมื่อผู้ใช้ลงชื่อเข้าใช้โดยใช้ URL บริการ เช่น https://mail.google.com/a/example.com

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การตรวจสอบสิทธิ์ จากนั้น SSO ด้วย IdP บุคคลที่สาม

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  2. คลิก URL ของบริการที่เจาะจงสำหรับโดเมน เพื่อเปิดการตั้งค่า

ซึ่งมี 2 วิธีที่ทำได้ดังนี้

  • เปลี่ยนเส้นทางผู้ใช้ไปยัง IdP บุคคลที่สาม เลือกตัวเลือกนี้เพื่อกําหนดเส้นทางผู้ใช้เหล่านี้ไปยัง IdP บุคคลที่สามที่คุณเลือกในรายการแบบเลื่อนลงของโปรไฟล์ SSO เสมอ ซึ่งอาจเป็นโปรไฟล์ SSO สําหรับองค์กรของคุณ หรือโปรไฟล์ของบุคคลที่สามโปรไฟล์อื่น (หากเพิ่มไว้)

    สำคัญ: หากคุณมีหน่วยขององค์กรหรือกลุ่มที่ ไม่ได้ ใช้ SSO โปรดอย่าเลือกการตั้งค่านี้ ผู้ใช้ที่ไม่ใช้ SSO จะได้รับการกําหนดเส้นทางไปยัง IdP โดยอัตโนมัติและจะลงชื่อเข้าใช้ไม่ได้

  • กำหนดให้ผู้ใช้ต้องป้อนชื่อผู้ใช้ในหน้าเว็บสำหรับการลงชื่อเข้าใช้ของ Google เมื่อใช้ตัวเลือกนี้ ระบบจะส่งผู้ใช้ที่ป้อน URL เฉพาะโดเมนไปยังหน้าลงชื่อเข้าใช้ของ Google ก่อน หากผู้ใช้เป็นผู้ใช้ SSO ระบบจะเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ของ IdP

ผลลัพธ์ของการแมปเครือข่าย

เน็ตเวิร์กมาสก์คือที่อยู่ IP ที่แสดงโดยใช้รูปแบบ Classless Inter-Domain Routing (CIDR) โดย CIDR จะระบุจำนวนบิตของที่อยู่ IP ที่รวมอยู่ โปรไฟล์ SSO สำหรับ องค์กร สามารถใช้ เน็ตเวิร์กมาสก์เพื่อพิจารณาว่าจะใช้ที่อยู่ IP รายการใดหรือช่วงใดของที่อยู่ IP เพื่อ แสดงพร้อมกับบริการ SSO

หมายเหตุ: สําหรับการตั้งค่าเน็ตเวิร์กมาสก์ ในปัจจุบันจะมีเพียง URL บริการเฉพาะโดเมน เช่น service.google.com/a/example.com เท่านั้นที่เปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO

สิ่งสำคัญคือแต่ละเน็ตเวิร์กมาสก์จะต้องใช้รูปแบบที่ถูกต้อง ในตัวอย่าง IPv6 ต่อไปนี้ เครื่องหมายทับ (/) และตัวเลขหลังจากนั้นคือ CIDR ระบบจะไม่พิจารณา 96 บิตสุดท้าย และที่อยู่ IP ทั้งหมดในช่วงเครือข่ายดังกล่าวจะได้รับผล

  • 2001:db8::/32

ในตัวอย่าง IPv4 นี้ ระบบจะไม่พิจารณา 8 บิตสุดท้าย (คือเลข 0) และที่อยู่ IP ทั้งหมดที่อยู่ในช่วง 64.233.187.0 ถึง 64.233.187.255 จะได้รับผล

  • 64.233.187.0/24

ในโดเมนที่ไม่มีเน็ตเวิร์กมาสก์ คุณต้องเพิ่มผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบขั้นสูงไว้ในผู้ให้บริการข้อมูลประจำตัว (IdP)

ประสบการณ์ของผู้ใช้ SSO เมื่อเข้าชม URL ของบริการ Google

ตารางต่อไปนี้จะแสดงประสบการณ์ของผู้ใช้เมื่อเข้าชม URL ของบริการ Google โดยตรง โดยมีหรือไม่มีเน็ตเวิร์กมาสก์

ไม่มี เน็ตเวิร์กมาสก์ ผู้ดูแลระบบขั้นสูง ผู้ใช้
service.google.com ระบบจะแจ้งให้ป้อนอีเมลและรหัสผ่านของ Google ระบบจะแจ้งให้ป้อนอีเมล จากนั้นจึงเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO
มี เน็ตเวิร์กมาสก์ ผู้ดูแลระบบขั้นสูงและผู้ใช้
service.google.com ระบบจะแจ้งให้ป้อนอีเมลและรหัสผ่าน
service.google.com
/a/your_domain.com*
(ภายใน เน็ตเวิร์กมาสก์)		 ระบบจะเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO
service.google.com
/a/your_domain.com
(ภายนอก เน็ตเวิร์ก
มาสก์)		 ระบบจะแจ้งให้ป้อนอีเมลและรหัสผ่าน
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

ผู้ใช้ที่เข้าถึงปลายทาง OAuth 2.0 ของ Google โดยใช้พารามิเตอร์ของ URL เป็น login_hint จะได้รับการเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO

* ไม่ใช่ทุกบริการที่รองรับรูปแบบ URL นี้ ตัวอย่างบริการที่รองรับคือ Gmail และไดรฟ์

การหมดอายุของเซสซันเมื่อมีการกำหนดค่าเน็ตเวิร์กมาสก์

เซสชัน Google ที่มีการใช้งานของผู้ใช้อาจถูกยกเลิกและระบบจะขอให้ผู้ใช้ตรวจสอบสิทธิ์อีกครั้งในกรณีต่อไปนี้

  • ช่วงการใช้งานเซสซันของผู้ใช้ถึงระยะเวลาสูงสุดที่อนุญาตตามที่ระบุในการตั้งค่าคอนโซลผู้ดูแลระบบส่วนการควบคุมเซสชันของ Google
  • ผู้ดูแลระบบแก้ไขบัญชีผู้ใช้โดยการเปลี่ยนรหัสผ่านหรือกำหนดให้ผู้ใช้เปลี่ยนรหัสผ่านเมื่อลงชื่อเข้าใช้ครั้งถัดไป (ไม่ว่าจะผ่านทางคอนโซลผู้ดูแลระบบหรือใช้ Admin SDK)

ประสบการณ์ของผู้ใช้

ถ้าผู้ใช้เริ่มต้นเซสซันใน IdP ของบุคคลที่สาม ระบบจะล้างเซสซันและเปลี่ยนเส้นทางให้ผู้ใช้ไปยังหน้าลงชื่อเข้าใช้ของ Google

เนื่องจากผู้ใช้เริ่มต้นเซสซัน Google ใน IdP ของบุคคลที่สาม ดังนั้นผู้ใช้อาจไม่เข้าใจว่าทำไมจึงต้องลงชื่อเข้าใช้ Google เพื่อรับสิทธิ์เข้าถึงบัญชีอีกครั้ง ระบบอาจเปลี่ยนเส้นทางให้ผู้ใช้ไปยังหน้าลงชื่อเข้าใช้ของ Google แม้ผู้ใช้ไม่ได้พยายามไปที่ URL อื่นของ Google เลยก็ตาม

หากคุณกำลังวางแผนการซ่อมบำรุงที่มีการยกเลิกเซสชันของผู้ใช้ที่ใช้งานอยู่และไม่ต้องการให้เกิดความสับสน โปรดแจ้งให้ผู้ใช้ออกจากระบบจากเซสชันและคงสถานะออกจากระบบไว้จนกว่าการซ่อมบำรุงจะเรียบร้อย

การกู้คืนผู้ใช้

เมื่อผู้ใช้เห็นหน้าลงชื่อเข้าใช้ของ Google เนื่องจากเซสซันที่มีการใช้งานถูกยกเลิก ผู้ใช้จะขอรับสิทธิ์เข้าถึงบัญชีอีกครั้งได้โดยทำตามวิธีใดวิธีหนึ่งต่อไปนี้

  • หากผู้ใช้เห็นข้อความ "หากคุณมาที่หน้านี้โดยไม่ตั้งใจ โปรดคลิกที่นี่เพื่อออกจากระบบและลองลงชื่อเข้าใช้อีกครั้ง" ผู้ใช้สามารถคลิกลิงก์ในข้อความ
  • หากผู้ใช้ไม่เห็นข้อความหรือลิงก์ดังกล่าว ให้ผู้ใช้ออกจากระบบแล้วลงชื่อเข้าใช้อีกครั้งโดยไปที่ https://accounts.google.com/logout
  • ผู้ใช้เลือกที่จะล้างคุกกี้ของเบราว์เซอร์ได้

เมื่อผู้ใช้ทำตามวิธีการกู้คืนข้างต้นแล้ว เซสชัน Google จะถูกยกเลิกอย่างสมบูรณ์และผู้ใช้จะลงชื่อเข้าใช้ได้

ตั้งค่าการยืนยันแบบ 2 ขั้นตอนด้วย SSO

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การตรวจสอบสิทธิ์ จากนั้น คำถามในการเข้าสู่ระบบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการความปลอดภัยของผู้ใช้

  2. เลือกหน่วยขององค์กรที่คุณต้องการตั้งนโยบายทางด้านซ้าย

    หากต้องการใช้กับผู้ใช้ทั้งหมด ให้เลือกหน่วยขององค์กรระดับบนสุด ในขั้นต้น หน่วยขององค์กรจะรับการตั้งค่ามาจากองค์กรระดับบนสุด

  3. คลิกการยืนยันหลัง SSO

  4. เลือกการตั้งค่าตามวิธีที่คุณใช้โปรไฟล์ SSO ในองค์กร คุณสามารถใช้การตั้งค่ากับผู้ใช้ที่ใช้โปรไฟล์ SSO แบบเดิม และ สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO อื่นๆ

  5. คลิกบันทึก ด้านขวาล่าง

    Google จะสร้างรายการในบันทึกการตรวจสอบของผู้ดูแลระบบเพื่อระบุการเปลี่ยนแปลงนโยบาย

การตั้งค่าเริ่มต้นของการยืนยันตัวตนหลังใช้ SSO จะขึ้นอยู่กับประเภทผู้ใช้ SSO ดังนี้

  • สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO แบบเดิม การตั้งค่าเริ่มต้นจะข้าม คำถามในการเข้าสู่ระบบเพิ่มเติมและการยืนยันแบบ 2 ขั้นตอน
  • สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO การตั้งค่าเริ่มต้นจะใช้ คำถามในการเข้าสู่ระบบเพิ่มเติมและการยืนยันแบบ 2 ขั้นตอน

ดูเพิ่มเติม


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง