如何輪替憑證
如果您將兩份憑證上傳至 SAML 單一登入 (SSO) 設定檔,Google 可以使用其中一份來驗證 IdP 的 SAML 回應。這樣一來,您就能在 IdP 端安全地輪替即將到期的憑證。請在憑證到期前至少 24 小時,按照下列步驟操作:
- 在 IdP 新建憑證。
- 將新憑證上傳至管理控制台,做為第二個憑證。如需操作說明,請參閱「建立 SAML 設定檔」。
- 等待 24 小時,讓 Google 使用者帳戶更新為使用新憑證。
- 設定 IdP,使用新憑證取代即將到期的憑證。
- (選用) 使用者確認可以登入後,請從管理控制台移除舊憑證。您日後可視需要上傳新的憑證。
使用「自動填入電子郵件地址」功能,簡化 SSO 登入程序
為協助使用者登入,請在建立或更新傳入 SAML 單一登入 (SSO) 設定檔時,開啟「自動填入電子郵件地址」功能。
該功能會在第三方身分識別提供者 (IdP) 的登入頁面中,自動填入電子郵件地址欄位,因此使用者只需輸入密碼。當您在建立新的傳入 SAML SSO 設定檔或更新現有設定檔時,即可開啟「自動填入電子郵件地址」。
此功能會使用登入提示參數,將使用者的電子郵件地址安全傳送至 IdP。許多第三方 IdP 都支援這項參數,可供 IdP 啟動的登入作業使用。
由於登入提示的參數未經標準化處理,各個 IdP 會使用不同版本,例如:
- login_hint:(由 Microsoft Entra 等 IdP 支援)
- LoginHint:(由 Okta 等 IdP 支援)
有鑑於這些版本,您必須確認 IdP 支援哪種格式,並在 Google 管理控制台中選擇相應設定。
開啟「自動填入電子郵件地址」的方式
在新設定檔中開啟「自動填入電子郵件地址」
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。必須具備安全性設定管理員權限。
- 在「第三方單一登入 (SSO) 設定檔」部分,按一下「新增 SAML 設定檔」。
- 在「SAML 單一登入 (SSO) 設定檔」,輸入設定檔名稱。
- 在「自動填入電子郵件地址」,選取與 IdP 支援的登入提示格式相符的選項。
- 在「IdP 詳細資料」部分,完成下列步驟:
- 輸入您從 IdP 取得的 IdP 實體 ID、登入網頁網址和登出網頁網址。
- 在「變更密碼網址」,輸入 IdP 的變更密碼網址。
使用者會前往這個網址重設密碼。
- 按一下「儲存」,然後繼續建立設定檔。
在現有設定檔中開啟「自動填入電子郵件地址」
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。必須具備安全性設定管理員權限。
- 在「第三方單一登入 (SSO) 設定檔」部分,按一下要更新的設定檔。
- 按一下「服務供應商詳細資料」。
- 在「自動填入電子郵件地址」,選取與 IdP 支援的登入提示格式相符的選項。
- 按一下「儲存」。
管理網域專屬的服務網址
「網域專屬的服務網址」設定可讓您控管使用者透過服務網址 (例如 https://mail.google.com/a/example.com) 登入時的處理方式。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。必須具備安全性設定管理員權限。
- 按一下「網域專屬的服務網址」,開啟設定。
以下提供兩種方案供您選擇:
將使用者重新導向第三方 IdP。選擇這個選項,即可將這些使用者一律轉送至您在單一登入 (SSO) 設定檔下拉式清單中選取的第三方 IdP。這可以是貴機構的單一登入 (SSO) 設定檔,或是其他第三方設定檔 (如果有的話)。
重要事項:如果您有機構單位或群組使用不同的單一登入 (SSO) 設定檔,請勿選擇這項設定。
要求使用者在 Google 登入頁面輸入使用者名稱。如果採用這個選項,使用者輸入專屬的服務網址後,會先由系統傳送至 Google 登入頁面。如果他們是單一登入 (SSO) 使用者,就會重新導向至 IdP 登入頁面。
網路對應結果
網路遮罩是以無類別跨網域路由 (CIDR) 標記法所表示的 IP 位址,CIDR 會指定包含的 IP 位址位元數目。貴機構的 SSO 設定檔可根據網路遮罩,判斷要在哪些 IP 位址或 IP 位址範圍提供 SSO 服務。
附註:就網路遮罩設定而言,目前只有特定網域的服務網址 (例如 <服務>.google.com/a/example.com) 會重新導向至單一登入 (SSO) 登入網頁。
每個網路遮罩都必須使用正確格式。在以下的 IPv6 範例中,斜線 (/) 和其後的數字代表 CIDR。最後 96 個位元不列入考量,而在這個網路範圍內的所有 IP 位址均會受到影響。
- 2001:db8::/32
在這個 IPv4 範例中,最後 8 個位元 (零) 不列入考量,而在 64.233.187.0 至 64.233.187.255 這個範圍內的所有 IP 位址均會受到影響。
- 64.233.187.0/24
在沒有網路遮罩的網域中,您必須將不具超級管理員權限的使用者加入識別資訊提供者 (IdP)。
造訪 Google 服務網址時的單一登入 (SSO) 使用者體驗
下表列出在有/無網路遮罩的情況下,使用者若直接點選 Google 服務網址,會發生什麼情況:
| 沒有網路遮罩 | 超級管理員: | 使用者: |
|---|---|---|
| <服務>.google.com | 系統會提示他們輸入 Google 電子郵件地址和密碼。 | 系統會提示使用者輸入電子郵件地址,然後將他們重新導向至單一登入 (SSO) 頁面。 |
| 有網路遮罩 | 超級管理員和使用者: | |
| <服務>.google.com | 系統會提示他們輸入電子郵件地址和密碼。 | |
| <服務>.google.com /a/<您的網域>.com* (在網路遮罩「內」) |
系統會重新導向至單一登入 (SSO) 頁面。 | |
| <服務>.google.com /a/<您的網域>.com (在網路遮罩「外」 ) |
系統會提示他們輸入電子郵件地址和密碼。 | |
| accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com |
使用者如果透過 login_hint 網址參數存取 Google 的 OAuth 2.0 端點,系統會將他們重新導向至單一登入 (SSO) 頁面。 |
|
* 不是所有服務都支援這種網址模式。例如 Gmail 和 Google 雲端硬碟。
工作階段在網路遮罩已設定的情況下到期
系統可能會終止使用者現有的 Google 工作階段,並且在下列情況下提示使用者重新驗證:
- 使用者工作階段的持續時間已達到 Google 工作階段控制設定 (位於管理控制台設定) 所指定的時間上限。
- 管理員透過管理控制台或 Admin SDK 修改了使用者的帳戶設定,包括變更密碼或要求使用者在下次登入時變更密碼。
使用者體驗
如果使用者是透過第三方 IdP 來啟動工作階段,系統會清除工作階段,並將使用者重新導向至 Google 登入網頁。
由於使用者是透過第三方 IdP 啟動 Google 工作階段,所以他們可能不知道為何需要登入 Google 才能取回帳戶存取權。系統可能會將使用者重新導向至 Google 登入頁面,即使他們嘗試前往其他 Google 網址也一樣。
如果您打算進行的維護工作需要終止使用者目前的工作階段,而且想避免對使用者造成困擾,請指示使用者登出工作階段,並且在維護作業完成前保持登出狀態。
復原使用者
如果使用者是因為現有工作階段遭終止才看到 Google 登入網頁,他們可以採取下列任一行動以取回帳戶存取權:
- 如果使用者看到「如果系統誤將您導向這個頁面,請按這裡登出,然後試著重新登入」訊息,他們可以點選訊息中的連結。
- 如果使用者沒有看到以上訊息或連結,則需要前往 https://accounts.google.com/logout 登出再重新登入。
- 使用者可以清除自己的瀏覽器 Cookie。
使用者用了上述任一復原方式後,他們的 Google 工作階段就會徹底終止,而且隨即可以登入帳戶。
設定兩步驟驗證和 SSO
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「驗證」
「登入身分確認問題」。必須具備使用者安全性管理的管理員權限。
在左側選取要設定政策的機構單位。
如要為所有使用者套用設定,請選取頂層組織單位。根據預設,機構單位會沿用上層機構的設定。
按一下 [單一登入 (SSO) 後驗證]。
根據貴機構使用單一登入 (SSO) 設定檔的方式選擇設定。 您可以為採用舊版單一登入 (SSO) 設定檔的使用者,以及透過其他單一登入 (SSO) 設定檔登入的使用者套用設定。
按一下右下方的 [儲存]。
Google 會在管理員稽核記錄中建立項目,表示已變更這項政策。
預設的單一登入 (SSO) 後驗證設定,取決於單一登入 (SSO) 使用者類型:
- 如果使用者透過舊版 SSO 設定檔登入,系統預設會略過額外的登入身分確認問題和兩步驟驗證機制。
- 如果使用者透過單一登入 (SSO) 設定檔登入,預設設定會套用額外的登入身分確認問題和兩步驟驗證機制。
另請參閱
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。