如何輪替憑證
如果您將兩份憑證上傳至 SAML 單一登入 (SSO) 設定檔,Google 可以使用其中一份來驗證 IdP 的 SAML 回應。這樣一來,您就能在 IdP 端安全地輪替即將到期的憑證。請在憑證到期前至少 24 小時,按照下列步驟操作:
- 在 IdP 新建憑證。
- 將新憑證上傳至管理控制台,做為第二個憑證。如需操作說明,請參閱「建立 SAML 設定檔」。
- 等待 24 小時,讓 Google 使用者帳戶更新為使用新憑證。
- 設定 IdP,使用新憑證取代即將到期的憑證。
- (選用) 使用者確認可以登入後,請從管理控制台移除舊憑證。您日後可視需要上傳新的憑證。
使用「自動填入電子郵件地址」功能,簡化 SSO 登入程序
為協助使用者登入,請在建立或更新傳入 SAML 單一登入 (SSO) 設定檔時,開啟「自動填入電子郵件地址」功能。
該功能會在第三方身分識別提供者 (IdP) 的登入頁面中,自動填入電子郵件地址欄位,因此使用者只需輸入密碼。當您在建立新的傳入 SAML SSO 設定檔或更新現有設定檔時,即可開啟「自動填入電子郵件地址」。
此功能會使用登入提示參數,將使用者的電子郵件地址安全傳送至 IdP。許多第三方 IdP 都支援這項參數,可供 IdP 啟動的登入程序使用。
由於登入提示的參數未經標準化處理,各個 IdP 會使用不同版本,例如:
- login_hint:(由 Microsoft Entra 等 IdP 支援)
- LoginHint:(由 Okta 等 IdP 支援)
有鑑於這些版本,您必須確認 IdP 支援哪種格式,並在 Google 管理控制台中選擇相應設定。
開啟「自動填入電子郵件地址」的方式
在新設定檔中開啟「自動填入電子郵件地址」
-
使用「管理員」帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。必須具備安全性設定管理員權限。
- 在「第三方單一登入 (SSO) 設定檔」部分,按一下「新增 SAML 設定檔」。
- 在「SAML 單一登入 (SSO) 設定檔」,輸入設定檔名稱。
- 在「自動填入電子郵件地址」,選取與 IdP 支援的登入提示格式相符的選項。
- 在「IdP 詳細資料」部分,完成下列步驟:
- 輸入您從 IdP 取得的 IdP 實體 ID、登入網頁網址和登出網頁網址。
- 在「變更密碼網址」,輸入 IdP 的變更密碼網址。
使用者會前往這個網址重設密碼。
- 按一下「儲存」,然後繼續建立設定檔。
在現有設定檔中開啟「自動填入電子郵件地址」
管理網域專屬的服務網址
「網域專屬的服務網址」設定可讓您控管使用者透過服務網址 (例如 https://mail.google.com/a/example.com) 登入時的處理方式。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。必須具備安全性設定管理員權限。
- 按一下「網域專屬的服務網址」,開啟設定。
系統提供以下兩個選項:
將使用者重新導向第三方 IdP。選擇這個選項,即可將這些使用者一律轉送至您在單一登入 (SSO) 設定檔下拉式清單中選取的第三方 IdP。這可以是貴機構的單一登入 (SSO) 設定檔,或是其他第三方設定檔 (如果有的話)。
重要事項:如果您有機構單位或群組「並未」使用單一登入 (SSO) 服務,請勿選擇這項設定。否則,您的非單一登入 (SSO) 使用者將自動轉送至 IdP,且無法登入。
要求使用者在 Google 登入頁面輸入使用者名稱。如果採用這個選項,使用者輸入專屬的服務網址後,會先由系統傳送至 Google 登入網頁。如果他們是單一登入 (SSO) 使用者,就會重新導向至 IdP 登入頁面。
網路對應結果
網路遮罩是以無類別跨網域路由 (CIDR) 標記法所表示的 IP 位址,CIDR 會指定包含的 IP 位址位元數目。貴機構的單一登入 (SSO) 設定檔可根據網路遮罩,判斷要在哪些 IP 位址或 IP 位址範圍提供單一登入 (SSO) 服務。
注意:就網路遮罩設定而言,目前只有特定網域的服務網址 (例如 <服務>.google.com/a/example.com) 會重新導向至 SSO 登入網頁。
每個網路遮罩都必須使用正確格式。在以下的 IPv6 範例中,斜線 (/) 和其後的數字代表 CIDR。最後 96 個位元不列入考量,而在這個網路範圍內的所有 IP 位址均會受到影響。
- 2001:db8::/32
在這個 IPv4 範例中,最後 8 個位元 (零) 不列入考量,而在 64.233.187.0 至 64.233.187.255 這個範圍內的所有 IP 位址均會受到影響。
- 64.233.187.0/24
在沒有網路遮罩的網域中,您必須將不具超級管理員權限的使用者加入身分識別提供者 (IdP)。
造訪 Google 服務網址時的單一登入 (SSO) 使用者體驗
下表列出在有/無網路遮罩的情況下,使用者若直接點選 Google 服務網址,會發生什麼情況:
| 沒有網路遮罩 | 超級管理員: | 使用者: |
|---|---|---|
| service.google.com | 系統會提示他們輸入 Google 電子郵件地址和密碼。 | 系統會提示使用者輸入電子郵件地址,然後將他們重新導向至單一登入 (SSO) 頁面。 |
| 有網路遮罩 | 超級管理員和使用者: | |
| service.google.com | 系統會提示他們輸入電子郵件地址和密碼。 | |
| <服務>.google.com /a/<您的網域>.com* (在網路遮罩「內」) |
系統會重新導向至單一登入 (SSO) 頁面。 | |
| <服務>.google.com /a/<您的網域>.com (在網路遮罩「外」 ) |
系統會提示他們輸入電子郵件地址和密碼。 | |
| accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com |
使用者如果透過 login_hint 網址參數存取 Google 的 OAuth 2.0 端點,系統會將他們重新導向至單一登入 (SSO) 頁面。 |
|
* 不是所有服務都支援這種網址模式。例如 Gmail 和 Google 雲端硬碟。
工作階段在網路遮罩已設定的情況下到期
系統可能會終止使用者現有的 Google 工作階段,並且在下列情況下提示使用者重新驗證:
- 使用者工作階段的持續時間已達到 Google 工作階段控制設定 (位於管理控制台設定) 所指定的時間上限。
- 管理員透過管理控制台或 Admin SDK 修改了使用者的帳戶設定,包括變更密碼或要求使用者在下次登入時變更密碼。
使用者體驗
如果使用者是透過第三方 IdP 啟動工作階段,系統會清除工作階段,並將使用者重新導向至 Google 登入頁面。
由於使用者是透過第三方 IdP 啟動 Google 工作階段,所以他們可能不知道為何需要登入 Google 才能取回帳戶存取權。系統可能會將使用者重新導向至 Google 登入頁面,即使他們嘗試前往其他 Google 網址也一樣。
如果您打算進行的維護工作需要終止使用者目前的工作階段,而且想避免對使用者造成困擾,請指示使用者登出工作階段,並且在維護作業完成前保持登出狀態。
使用者復原
如果使用者是因為現有工作階段遭終止才看到 Google 登入網頁,他們可以採取下列任一行動以取回帳戶存取權:
- 如果使用者看到「如果系統誤將您導向這個頁面,請按這裡登出,然後試著重新登入」訊息,他們可以點選訊息中的連結。
- 如果使用者沒有看到以上訊息或連結,則需要前往 https://accounts.google.com/logout 登出再重新登入。
- 使用者可以清除自己的瀏覽器 Cookie。
使用者用了上述任一復原方式後,他們的 Google 工作階段就會徹底終止,而且隨即可以登入帳戶。
設定兩步驟驗證和 SSO
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「驗證」「登入身分確認問題」。必須具備使用者安全性管理管理員權限。
在左側選取要設定政策的機構單位。
如要為所有使用者套用設定,請選取頂層機構單位。根據預設,機構單位會沿用上層機構的設定。
按一下「單一登入 (SSO) 後驗證」。
根據您在貴機構使用單一登入 (SSO) 設定檔的方式選擇設定。您可以為採用舊版 SSO 設定檔的使用者和透過其他 SSO 設定檔登入的使用者套用設定。
按一下右下方的「儲存」。
Google 會在管理員稽核記錄中建立項目,表示已變更這項政策。
預設的單一登入 (SSO) 後驗證設定,取決於單一登入 (SSO) 使用者類型:
- 如果使用者透過舊版 SSO 設定檔登入,系統預設會略過額外的登入身分確認問題和兩步驟驗證機制。
- 如果使用者透過單一登入 (SSO) 設定檔登入,預設設定會套用額外的登入身分確認問題和兩步驟驗證機制。
另請參閱
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。