הגדרה של אפליקציית SAML בהתאמה אישית

שימוש בכניסה יחידה (SSO) מבוססת-SAML

כניסה יחידה (SSO) מאפשרת למשתמשים להיכנס לכל האפליקציות לסביבה ארגונית בענן באמצעות פרטי הכניסה שלהם לחשבון Google המנוהל. ‫Google כוללת SSO משולב מראש ביותר מ-200 אפליקציות ענן פופולריות.

כדי להגדיר כניסת SSO מבוססת-SAML לאפליקציה בהתאמה אישית שאינה בקטלוג האפליקציות המשולבות מראש, צריך לפעול לפי השלבים הבאים.

הגדרה של אפליקציית SAML בהתאמה אישית

שלב 1: הוספה של אפליקציית SAML בהתאמה אישית

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציות ואז אפליקציות לאינטרנט ולניידים.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על הוספת אפליקציה ואז הוספה של אפליקציית SAML בהתאמה אישית.
    מזינים את השם של האפליקציה וגם אפשר להעלות סמל עבורה. סמל האפליקציה מופיע ברשימת האפליקציות לאינטרנט ולנייד, בדף ההגדרות של האפליקציות ובמרכז האפליקציות. אם לא מעלים סמל לאפליקציה, נוצר סמל שמורכב משתי האותיות הראשונות בשם של האפליקציה.
  3. לוחצים על המשך.
  4. בדף פרטי ספק זהויות של Google‏, מקבלים את פרטי ההגדרות שדרושים לספק השירות באמצעות אחת מהאפשרויות הבאות:
    1. מורידים את המטא-נתונים של ה-IdP.
    2. מעתיקים את כתובת ה-URL ל-SSO‏ ואת מזהה הישות ב-SAML‏, ומורידים את האישור (או טביעת אצבע SHA-256, אם צריך).
  5. (אופציונלי) כדי להזין את המידע בדף ההגדרות המתאים של SSO: בכרטיסייה או בחלון נפרדים בדפדפן, נכנסים לספק השירות ומזינים את המידע שהעתקתם בשלב 5, ולאחר מכן חוזרים למסוף Admin.
  6. לוחצים על המשך.
  7. יוצרים קשר עם ספק השירות כדי לקבל את ערכי השדות האלה. בחלון פרטי ספק השירות, מזינים:
    1. כתובת אתר של ACS‏ – כתובת ה-URL של Assertion Consumer Service של ספק השירות מקבלת את תגובת SAML. כתובת ה-URL חייבת להתחיל ב-https://‎.
    2. מזהה ישות ב-SAML‏ – שם ייחודי בעולם.
    3. כתובת URL להתחלה – (אופציונלי) משמשת להגדרת הפרמטר RelayState בבקשת SAML, והיא יכולה להיות כתובת URL להפניה אוטומטית אחרי האימות.
  8. (אופציונלי) כדי לציין שספק השירות דורש חתימה על כל תגובת האימות של SAML, צריך לסמן את התיבה תגובה חתומה. אם התיבה לא מסומנת (זו ברירת המחדל), רק טענת הנכוֹנוּת (assertion) בתוך התשובה היא חתומה.
  9. (אופציונלי) מגדירים פורמט למזהה השם וערך למזהה השם של אפליקציית SAML בהתאמה אישית. כברירת מחדל, מזהה השם הוא כתובת האימייל הראשית.
    טיפ: כדאי לעיין במאמרים בנושא הגדרות בקטלוג האפליקציות של SAML כדי למצוא מיפויים של מזהי שמות שנדרשים לאפליקציות בקטלוג. אפשר גם ליצור מאפיינים בהתאמה אישית באמצעות מסוף Admin או ממשקי API של Google Admin SDK, ולמפות אותם.
  10. לוחצים על המשך.
  11. במידת הצורך, לוחצים על הוספת מיפוי כדי למפות מאפייני משתמש על סמך הדרישות של ספק השירות.
    הערה: אפשר להגדיר עד 10,000 מאפיינים בכל האפליקציות. מכיוון שלכל אפליקציה יש מאפיין ברירת מחדל אחד, כמות המאפיינים כוללת גם את מאפיין ברירת המחדל וגם כל מאפיין בהתאמה אישית שמוסיפים.
    1. עבור מאפיינים של ספריית Google‏, לוחצים על התפריט בחירת שדה כדי לבחור שם של שדה. לא כל המאפיינים של ספריית Google זמינים ברשימה הנפתחת. אם המאפיין שאתם רוצים למפות לא זמין (לדוגמה, כתובת האימייל של המנהל), אפשר להוסיף אותו בתור מאפיין בהתאמה אישית. אם תעשו זאת, המאפיין יופיע ברשימה הנפתחת.
    2. עבור מאפייני אפליקציה, מזינים את המאפיין התואם לאפליקציית SAML בהתאמה אישית.
  12. (אופציונלי) אפשר להזין שמות של קבוצות שרלוונטיות לאפליקציה הזאת:
    1. בשביל חברות בקבוצה (אופציונלי), לוחצים על חיפוש של קבוצה, ואז מזינים אות אחת או יותר מהשם של הקבוצה ובוחרים את הקבוצה הרצויה.
    2. מוסיפים עוד קבוצות לפי הצורך (אפשר להוסיף עד 75 קבוצות).
    3. בשדה מאפיין אפליקציה, מזינים את שם המאפיין של הקבוצות הרלוונטיות של ספק השירות.

    תגובת SAML תכלול רק קבוצות שמשתמש חבר בהן (באופן ישיר או עקיף), בלי קשר לכמות של שמות הקבוצות שמזינים. מידע נוסף זמין במאמר מידע על מיפוי של חברוּת בקבוצות.

  13. לוחצים על סיום.

שלב 2: הפעלת אפליקציית SAML

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציות ואז אפליקציות לאינטרנט ולניידים.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בחרו את אפליקציית SAML שהגדרתם.
  3. לוחצים על גישת משתמשים.

  4. כדי להפעיל או להשבית שירות לכולם בארגון, לוחצים על מופעל לכולם או על מושבת לכולם, ואז לוחצים על שמירה.

  5. (אופציונלי) אם רוצים להפעיל או להשבית שירות ביחידה ארגונית:
    1. בצד ימין, בוחרים את היחידה הארגונית.
    2. כדי לשנות את סטטוס השירות, לוחצים על מופעל או מושבת.
    3. בוחרים אחת מהאפשרויות הבאות:
      • אם ההגדרה של סטטוס השירות היא עבר בירושה ואתם רוצים שההגדרה שעדכנתם תישמר גם אם ההגדרה הראשית תשתנה, לחצו על שינוי.
      • אם ההגדרה של סטטוס השירות היא בוטל ואתם רוצים לחזור לערך של ההגדרה הראשית, לחצו על ירושה. לחלופין, אם אתם רוצים שההגדרה החדשה תישמר גם אם ההגדרה הראשית תשתנה, לחצו על שמירה.
        מידע נוסף על מבנה ארגוני
  6. (אופציונלי) כדי להפעיל שירות לקבוצה של משתמשים בתוך יחידה ארגונית או בכמה יחידות ארגוניות שונות, צריך להגדיר קבוצת גישה. מידע נוסף מופיע במאמר התאמה אישית של גישה לשירותים באמצעות קבוצות גישה.
  7. צריך לוודא שכתובות האימייל שבאמצעותן המשתמשים נכנסים לאפליקציית SAML, תואמות לכתובות האימייל שבאמצעותן הם נכנסים לדומיין Google שלכם.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

שלב 3: מוודאים שכניסת ה-SSO עובדת עם האפליקציה בהתאמה אישית

אתם יכולים לבדוק כניסת SSO יזומה גם של ספק זהויות (IdP) וגם של ספק שירות (SP).

כניסה יזומה של IdP

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציות ואז אפליקציות לאינטרנט ולניידים.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בוחרים את אפליקציית SAML בהתאמה אישית.
  3. בפינה הימנית העליונה, לוחצים על בדיקת התחברות ל-SAML.

    האפליקציה אמורה להיפתח בכרטיסייה נפרדת. אם היא לא נפתחת, ניתן להשתמש במידע שמופיע בהודעות השגיאה של אפליקציות SAML כדי לעדכן את הגדרות ה-IdP וה-SP לפי הצורך. לאחר מכן אפשר לבדוק מחדש את ההתחברות ל-SAML.

כניסה יזומה של SP

  1. פותחים את כתובת ה-URL של ה-SSO לאפליקציית SAML החדשה. המערכת אמורה להפנות אתכם אוטומטית לדף של כניסה באמצעות חשבון Google.
  2. מזינים את שם המשתמש והסיסמה.

    אחרי שהמערכת תאמת את פרטי הכניסה שלכם, תופנו בחזרה לאפליקציית SAML החדשה.