การตั้งค่าและการซ่อมบำรุง SSO (ไม่บังคับ)

วิธีหมุนเวียนใบรับรอง

หากคุณอัปโหลดใบรับรอง 2 ใบไปยังโปรไฟล์การลงชื่อเพียงครั้งเดียว (SSO) ด้วย SAML ทาง Google จะใช้ใบรับรองใดก็ได้เพื่อตรวจสอบการตอบกลับ SAML จาก IdP ซึ่งจะช่วยให้คุณหมุนเวียนใบรับรองที่กำลังจะหมดอายุในฝั่ง IdP ได้อย่างปลอดภัย โปรดทำตามขั้นตอนต่อไปนี้อย่างน้อย 24 ชั่วโมงก่อนที่ใบรับรองจะหมดอายุ

  1. สร้างใบรับรองใหม่ใน IdP
  2. อัปโหลดใบรับรองเป็นใบรับรองที่ 2 ในคอนโซลผู้ดูแลระบบ ดูวิธีการได้ที่หัวข้อสร้างโปรไฟล์ SAML
  3. รอ 24 ชั่วโมงเพื่อให้บัญชีผู้ใช้ Google อัปเดตใบรับรองใหม่
  4. กำหนดค่า IdP เพื่อใช้ใบรับรองใหม่แทนใบรับรองที่กำลังจะหมดอายุ
  5. (ไม่บังคับ) เมื่อผู้ใช้ยืนยันว่าลงชื่อเข้าใช้ได้แล้ว ให้นำใบรับรองเก่าออกจากคอนโซลผู้ดูแลระบบ จากนั้นคุณก็สามารถอัปโหลดใบรับรองใหม่ได้ตามต้องการในอนาคต

ใช้การป้อนอีเมลอัตโนมัติเพื่อลดความซับซ้อนในการลงชื่อเข้าใช้ SSO

เปิดการป้อนอีเมลอัตโนมัติเมื่อสร้างหรืออัปเดตโปรไฟล์การลงชื่อเพียงครั้งเดียว (SSO) ด้วย SAML ขาเข้า เพื่อช่วยให้ผู้ใช้ลงชื่อเข้าใช้ได้

การป้อนอีเมลอัตโนมัติจะกรอกข้อมูลในช่องอีเมลในหน้าลงชื่อเข้าใช้ของผู้ให้บริการข้อมูลประจำตัว (IdP) บุคคลที่สามโดยอัตโนมัติ ดังนั้นผู้ใช้จึงต้องป้อนเพียงรหัสผ่าน คุณเปิดการป้อนอีเมลอัตโนมัติได้เมื่อสร้างโปรไฟล์ SAML SSO ขาเข้าใหม่หรืออัปเดตโปรไฟล์ที่มีอยู่

การป้อนอีเมลอัตโนมัติจะใช้พารามิเตอร์คำแนะนำในการเข้าสู่ระบบเพื่อส่งอีเมลของผู้ใช้ไปยัง IdP อย่างปลอดภัย พารามิเตอร์นี้เป็นฟีเจอร์ทั่วไปที่ IdP ของบุคคลที่สามหลายรายรองรับสำหรับการลงชื่อเข้าใช้ที่ดำเนินการจาก IdP

พารามิเตอร์ของคำแนะนำในการเข้าสู่ระบบไม่ได้เป็นมาตรฐาน ดังนั้น IdP ต่างๆ จึงใช้รูปแบบที่แตกต่างกัน เช่น

  • login_hint: (รองรับโดย IdP เช่น Microsoft Entra)
  • LoginHint: (รองรับโดย IdP เช่น Okta)

ความแตกต่างดังกล่าวทำให้คุณต้องยืนยันว่า IdP รองรับรูปแบบใด และเลือกการตั้งค่าที่สอดคล้องกันในคอนโซลผู้ดูแลระบบของ Google

ตัวเลือกในการเปิดการป้อนอีเมลอัตโนมัติ

เปิดอีเมลป้อนข้อความอัตโนมัติในโปรไฟล์ใหม่

  1. ลงชื่อเข้าใช้คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ

    หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้

  2. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการตรวจสอบสิทธิ์จากนั้นSSO ด้วย IdP บุคคลที่สาม

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  3. คลิกเพิ่มโปรไฟล์ SAML ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม
  4. ในส่วนโปรไฟล์ SAML SSO ให้ป้อนชื่อโปรไฟล์
  5. ในส่วนการป้อนอีเมลอัตโนมัติ ให้เลือกตัวเลือกที่ตรงกับรูปแบบคำแนะนำในการเข้าสู่ระบบที่ IdP รองรับ
  6. ในส่วนรายละเอียด IdP ให้ทำตามขั้นตอนต่อไปนี้
    1. ป้อนรหัสเอนทิตีของ IdP, URL หน้าลงชื่อเข้าใช้ และ URL หน้าออกจากระบบที่คุณได้รับจาก IdP
    2. ในส่วน URL การเปลี่ยนรหัสผ่าน ให้ป้อน URL การเปลี่ยนรหัสผ่านสำหรับ IdP ของคุณ
      โดยผู้ใช้จะไปที่ URL นี้เพื่อรีเซ็ตรหัสผ่าน
  7. คลิกบันทึกและสร้างโปรไฟล์ต่อ

เปิดอีเมลการป้อนข้อความอัตโนมัติในโปรไฟล์ที่มีอยู่

  1. ลงชื่อเข้าใช้คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ

    หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้

  2. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการตรวจสอบสิทธิ์จากนั้นSSO ด้วย IdP บุคคลที่สาม

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  3. ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม ให้คลิกโปรไฟล์ที่ต้องการอัปเดต
  4. คลิกรายละเอียด SP
  5. ในส่วนการป้อนอีเมลอัตโนมัติ ให้เลือกตัวเลือกที่ตรงกับรูปแบบคำแนะนำในการเข้าสู่ระบบที่ IdP รองรับ
  6. คลิกบันทึก

จัดการ URL ของบริการที่เจาะจงสำหรับโดเมน

การตั้งค่า URL ของบริการที่เจาะจงสำหรับโดเมนจะช่วยให้คุณควบคุมสิ่งที่จะเกิดขึ้นเมื่อผู้ใช้ลงชื่อเข้าใช้โดยใช้ URL บริการ เช่น https://mail.google.com/a/example.com

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการตรวจสอบสิทธิ์จากนั้นSSO ด้วย IdP บุคคลที่สาม

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  2. คลิก URL ของบริการที่เจาะจงสำหรับโดเมนเพื่อเปิดการตั้งค่า

ซึ่งมี 2 ตัวเลือกดังนี้

  • เปลี่ยนเส้นทางผู้ใช้ไปยัง IdP บุคคลที่สาม เลือกตัวเลือกนี้เพื่อกําหนดเส้นทางผู้ใช้เหล่านี้ไปยัง IdP บุคคลที่สามที่คุณเลือกในรายการแบบเลื่อนลงของโปรไฟล์ SSO เสมอ ซึ่งอาจเป็นโปรไฟล์ SSO สําหรับองค์กรของคุณ หรือโปรไฟล์ของบุคคลที่สามโปรไฟล์อื่น (หากเพิ่มไว้)

    ข้อสําคัญ: หากคุณมีหน่วยขององค์กรหรือกลุ่มที่ไม่ได้ใช้ SSO โปรดอย่าเลือกการตั้งค่านี้ ผู้ใช้ที่ไม่ใช้ SSO จะได้รับการกําหนดเส้นทางไปยัง IdP โดยอัตโนมัติและจะลงชื่อเข้าใช้ไม่ได้

  • กำหนดให้ผู้ใช้ต้องป้อนชื่อผู้ใช้ในหน้าเว็บสำหรับการลงชื่อเข้าใช้ของ Google เมื่อใช้ตัวเลือกนี้ ระบบจะส่งผู้ใช้ที่ป้อน URL เฉพาะโดเมนไปยังหน้าลงชื่อเข้าใช้ของ Google ก่อน หากผู้ใช้เป็นผู้ใช้ SSO ระบบจะเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ของ IdP

ผลลัพธ์ของการแมปเครือข่าย

เน็ตเวิร์กมาสก์คือที่อยู่ IP ที่แสดงโดยใช้รูปแบบ Classless Inter-Domain Routing (CIDR) ซึ่ง CIDR จะระบุว่าที่อยู่ IP จะมีจำนวนบิตเท่าใด โปรไฟล์ SSO สำหรับองค์กรสามารถใช้เน็ตเวิร์กมาสก์เพื่อพิจารณาว่าจะใช้ที่อยู่ IP รายการใดหรือช่วงใดของที่อยู่ IP เพื่อแสดงพร้อมกับบริการ SSO

หมายเหตุ: สําหรับการตั้งค่าเน็ตเวิร์กมาสก์ ในปัจจุบันจะมีเพียง URL บริการเฉพาะโดเมน เช่น service.google.com/a/example.com เท่านั้นที่เปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO

สิ่งสำคัญคือแต่ละเน็ตเวิร์กมาสก์จะต้องใช้รูปแบบที่ถูกต้อง ในตัวอย่าง IPv6 ต่อไปนี้ เครื่องหมายทับ (/) และตัวเลขหลังจากนั้นคือ CIDR ระบบจะไม่พิจารณา 96 บิตสุดท้าย และที่อยู่ IP ทั้งหมดในช่วงเครือข่ายดังกล่าวจะได้รับผล

  • 2001:db8::/32

ในตัวอย่าง IPv4 นี้ ระบบจะไม่พิจารณา 8 บิตสุดท้าย (คือเลข 0) และที่อยู่ IP ทั้งหมดที่อยู่ในช่วง 64.233.187.0 ถึง 64.233.187.255 จะได้รับผล

  • 64.233.187.0/24

ในโดเมนที่ไม่มีเน็ตเวิร์กมาสก์ คุณต้องเพิ่มผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบขั้นสูงไว้ในผู้ให้บริการข้อมูลประจำตัว (IdP)

ประสบการณ์ของผู้ใช้ SSO เมื่อเข้าชม URL ของบริการ Google

ตารางต่อไปนี้จะแสดงประสบการณ์ของผู้ใช้เมื่อเข้าชม URL ของบริการ Google โดยตรง โดยมีหรือไม่มีเน็ตเวิร์กมาสก์

ไม่มีเน็ตเวิร์กมาสก์ ผู้ดูแลระบบขั้นสูง ผู้ใช้
service.google.com ระบบจะแจ้งให้ป้อนอีเมลและรหัสผ่าน Google ระบบจะแจ้งให้ป้อนอีเมล จากนั้นจึงเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO
มีเน็ตเวิร์กมาสก์ ผู้ดูแลระบบขั้นสูงและผู้ใช้
service.google.com ระบบจะแจ้งให้ป้อนอีเมลและรหัสผ่าน
service.google.com
/a/your_domain.com*
(ภายในเน็ตเวิร์กมาสก์)		 ระบบจะเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO
service.google.com
/a/your_domain.com
(ภายนอก
เน็ตเวิร์กมาสก์)		 ระบบจะแจ้งให้ป้อนอีเมลและรหัสผ่าน
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

ผู้ใช้ที่เข้าถึงปลายทาง OAuth 2.0 ของ Google โดยใช้พารามิเตอร์ของ URL เป็น login_hint จะได้รับการเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO

* บริการบางอย่างอาจไม่รองรับรูปแบบ URL นี้ ตัวอย่างบริการที่รองรับคือ Gmail และไดรฟ์

การหมดอายุของเซสชันเมื่อมีการกำหนดค่าเน็ตเวิร์กมาสก์

เซสชัน Google ที่มีการใช้งานของผู้ใช้อาจถูกยกเลิกและระบบจะขอให้ผู้ใช้ตรวจสอบสิทธิ์อีกครั้งในกรณีต่อไปนี้

  • ช่วงการใช้งานเซสซันของผู้ใช้ถึงระยะเวลาสูงสุดที่อนุญาตตามที่ระบุในการตั้งค่าคอนโซลผู้ดูแลระบบส่วนการควบคุมเซสซันของ google
  • ผู้ดูแลระบบแก้ไขบัญชีผู้ใช้โดยการเปลี่ยนรหัสผ่านหรือกำหนดให้ผู้ใช้เปลี่ยนรหัสผ่านเมื่อลงชื่อเข้าใช้ครั้งถัดไป (ไม่ว่าจะผ่านทางคอนโซลผู้ดูแลระบบหรือใช้ Admin SDK)

ประสบการณ์ของผู้ใช้

ถ้าผู้ใช้เริ่มต้นเซสชันใน IdP ของบุคคลที่สาม ระบบจะล้างเซสชันและเปลี่ยนเส้นทางให้ผู้ใช้ไปยังหน้าลงชื่อเข้าใช้ของ Google

เนื่องจากผู้ใช้เริ่มต้นเซสชัน Google ใน IdP ของบุคคลที่สาม ผู้ใช้อาจไม่เข้าใจว่าทำไมจึงต้องลงชื่อเข้าใช้ Google เพื่อรับสิทธิ์เข้าถึงบัญชีอีกครั้ง โดยระบบอาจเปลี่ยนเส้นทางให้ผู้ใช้ไปยังหน้าลงชื่อเข้าใช้ของ Google แม้ผู้ใช้ไม่ได้พยายามไปที่ URL อื่นของ Google เลยก็ตาม

หากคุณกำลังวางแผนการบำรุงรักษาซึ่งรวมถึงการสิ้นสุดเซสชันของผู้ใช้ที่มีการใช้งานและไม่ต้องการให้เกิดความสับสน โปรดแจ้งให้ผู้ใช้ออกจากเซสชันจนกว่าการบำรุงรักษาจะเรียบร้อย

การกู้คืนผู้ใช้

เมื่อผู้ใช้เห็นหน้าลงชื่อเข้าใช้ของ Google เนื่องจากเซสชันที่ใช้งานอยู่ถูกยกเลิก ผู้ใช้จะขอรับสิทธิ์เข้าถึงบัญชีอีกครั้งได้โดยทำตามวิธีใดวิธีหนึ่งต่อไปนี้

  • หากผู้ใช้เห็นข้อความ "หากคุณมาถึงหน้านี้โดยเกิดจากข้อผิดพลาด โปรดคลิกที่นี่เพื่อออกจากระบบและลองลงชื่อเข้าใช้อีกครั้ง" ผู้ใช้ก็คลิกลิงก์ในข้อความได้
  • หากผู้ใช้ไม่เห็นลิงก์หรือข้อความดังกล่าว ผู้ใช้ก็ออกจากระบบและลงชื่อเข้าใช้ได้อีกครั้งโดยไปที่ https://accounts.google.com/logout
  • ผู้ใช้เลือกที่จะล้างคุกกี้ของเบราว์เซอร์ได้

เมื่อผู้ใช้ทำตามวิธีการกู้คืนข้างต้นแล้ว เซสชัน Google จะถูกยกเลิกอย่างสมบูรณ์และผู้ใช้จะลงชื่อเข้าใช้ได้

ตั้งค่าการยืนยันแบบ 2 ขั้นตอนด้วย SSO

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการตรวจสอบสิทธิ์จากนั้นคำถามในการเข้าสู่ระบบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการความปลอดภัยของผู้ใช้

  2. เลือกหน่วยขององค์กรที่คุณต้องการตั้งนโยบายทางด้านซ้าย

    หากต้องการใช้กับผู้ใช้ทั้งหมด ให้เลือกหน่วยขององค์กรระดับบนสุด ในขั้นต้น หน่วยขององค์กรจะรับการตั้งค่ามาจากองค์กรระดับบนสุด

  3. คลิกการยืนยันหลัง SSO

  4. เลือกการตั้งค่าตามวิธีที่คุณใช้โปรไฟล์ SSO ในองค์กร คุณสามารถใช้การตั้งค่ากับผู้ใช้ที่ใช้โปรไฟล์ SSO แบบเดิม และสำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO อื่นๆ

  5. คลิกบันทึกที่ด้านขวาล่าง

    Google จะสร้างรายการในบันทึกการตรวจสอบของผู้ดูแลระบบเพื่อระบุการเปลี่ยนแปลงนโยบาย

การตั้งค่าเริ่มต้นของการยืนยันตัวตนหลังใช้ SSO จะขึ้นอยู่กับประเภทผู้ใช้ SSO ดังนี้

  • สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO แบบเดิม การตั้งค่าเริ่มต้นจะข้ามคำถามในการเข้าสู่ระบบเพิ่มเติมและการยืนยันแบบ 2 ขั้นตอน
  • สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO การตั้งค่าเริ่มต้นจะใช้คำถามในการเข้าสู่ระบบเพิ่มเติมและการยืนยันแบบ 2 ขั้นตอน

ดูเพิ่มเติม


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง