Thiết lập ứng dụng SAML tuỳ chỉnh của riêng bạn

Sử dụng dịch vụ đăng nhập một lần (SSO) dựa trên SAML

Dịch vụ đăng nhập một lần (SSO) cho phép người dùng đăng nhập vào tất cả các ứng dụng trên đám mây dành cho doanh nghiệp bằng thông tin đăng nhập Tài khoản Google được quản lý. Google cung cấp dịch vụ SSO đã tích hợp sẵn với hơn 200 ứng dụng đám mây phổ biến.

Hãy thực hiện các bước sau để thiết lập dịch vụ SSO dựa trên SAML với một ứng dụng tuỳ chỉnh không có trong danh mục ứng dụng đã tích hợp sẵn.

Thiết lập ứng dụng SAML tuỳ chỉnh của riêng bạn

Bước 1: Thêm ứng dụng SAML tuỳ chỉnh

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Ứng dụng sau đó Ứng dụng web và ứng dụng di động.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Nhấp vào Thêm ứng dụng sau đó Thêm ứng dụng SAML tuỳ chỉnh.
    Nhập tên ứng dụng và tải biểu tượng lên cho ứng dụng (không bắt buộc). Biểu tượng ứng dụng sẽ xuất hiện trên danh sách Ứng dụng web và ứng dụng di động, trên trang cài đặt ứng dụng và trong trình chạy ứng dụng. Nếu bạn không tải biểu tượng lên, thì một biểu tượng sẽ được tạo bằng hai chữ cái đầu tiên của tên ứng dụng.
  3. Nhấp vào Tiếp tục.
  4. Trên trang Thông tin chi tiết về nhà cung cấp danh tính của Google, hãy lấy thông tin thiết lập mà nhà cung cấp dịch vụ cần bằng một trong các cách sau:
    1. Tải siêu dữ liệu của nhà cung cấp danh tính xuống.
    2. Sao chép URL SSOMã nhận dạng thực thể rồi tải Chứng chỉ xuống (hoặc Dấu vân tay SHA-256, nếu cần).
  5. (Không bắt buộc) Để nhập thông tin vào trang định cấu hình Đăng nhập một lần (SSO) thích hợp, trong một thẻ hoặc cửa sổ trình duyệt riêng, hãy đăng nhập vào nhà cung cấp dịch vụ của bạn và nhập thông tin mà bạn đã sao chép ở Bước 5, sau đó quay lại Bảng điều khiển dành cho quản trị viên.
  6. Nhấp vào Tiếp tục.
  7. Hãy liên hệ với nhà cung cấp dịch vụ của bạn để biết các giá trị trường này. Trong cửa sổ Thông tin chi tiết về nhà cung cấp dịch vụ, hãy nhập:
    1. URL ACS—URL Dịch vụ xác nhận người dùng của nhà cung cấp dịch vụ nhận phản hồi SAML. URL này phải bắt đầu bằng https://.
    2. Mã nhận dạng thực thể—Tên riêng biệt trên toàn cầu.
    3. URL bắt đầu—(Không bắt buộc) Thuộc tính này đặt tham số RelayState trong Yêu cầu SAML. Đây có thể là một URL để chuyển hướng đến sau khi xác thực.
  8. (Không bắt buộc) Để cho biết rằng nhà cung cấp dịch vụ của bạn yêu cầu ký toàn bộ phản hồi xác thực SAML, hãy đánh dấu vào hộp Phản hồi đã ký. Nếu bạn không đánh dấu vào hộp này (giá trị mặc định), thì chỉ xác nhận trong phản hồi mới được ký.
  9. (Không bắt buộc) Đặt định dạng Mã nhận dạng tên và giá trị Mã nhận dạng tên cho ứng dụng SAML tuỳ chỉnh của bạn. Mã nhận dạng tên mặc định là email chính.
    Mẹo: Hãy xem các bài viết thiết lập trong danh mục ứng dụng SAML của chúng tôi để biết mọi thông tin ánh xạ Mã nhận dạng tên cần thiết cho các ứng dụng trong danh mục. Bạn cũng có thể tạo các thuộc tính tùy chỉnh, trong Bảng điều khiển dành cho quản trị viên hoặc thông qua API SDK dành cho quản trị viên của Google, rồi ánh xạ đến các thuộc tính đó.
  10. Nhấp vào Tiếp tục.
  11. Nếu cần, hãy nhấp vào Thêm thông tin ánh xạ để ánh xạ các thuộc tính của người dùng dựa trên yêu cầu của nhà cung cấp dịch vụ.
    Lưu ý: Bạn có thể xác định tối đa 10.000 thuộc tính trên tất cả các ứng dụng. Vì mỗi ứng dụng có một thuộc tính mặc định, nên số lượng này bao gồm thuộc tính mặc định cộng với mọi thuộc tính tuỳ chỉnh mà bạn thêm.
    1. Đối với Thuộc tính của Google Directory, hãy nhấp vào trình đơn Chọn trường để chọn tên trường. Không phải tất cả các thuộc tính của Google Directory đều có trong danh sách thả xuống. Nếu một thuộc tính mà bạn muốn ánh xạ (ví dụ: Email của người quản lý) không có sẵn, bạn có thể thêm thuộc tính đó dưới dạng thuộc tính tùy chỉnh. Thuộc tính này sẽ có sẵn để bạn chọn tại đây.
    2. Đối với Thuộc tính của ứng dụng, hãy nhập thuộc tính tương ứng cho ứng dụng SAML tuỳ chỉnh của bạn.
  12. (Không bắt buộc) Cách nhập tên nhóm có liên quan đến ứng dụng này:
    1. Đối với Tư cách thành viên trong nhóm (không bắt buộc), hãy nhấp vào Tìm kiếm một nhóm, nhập một hoặc nhiều chữ cái trong tên nhóm rồi chọn tên nhóm.
    2. Thêm các nhóm bổ sung nếu cần (tối đa 75 nhóm).
    3. Đối với Thuộc tính của ứng dụng, hãy nhập tên thuộc tính nhóm tương ứng của nhà cung cấp dịch vụ.

    Bất kể bạn nhập bao nhiêu tên nhóm, phản hồi SAML chỉ bao gồm các nhóm mà người dùng là thành viên (trực tiếp hoặc gián tiếp). Để biết thêm thông tin, hãy chuyển đến phần Giới thiệu về việc ánh xạ tư cách thành viên trong nhóm.

  13. Nhấp vào Hoàn tất.

Bước 2: Bật ứng dụng SAML

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Ứng dụng sau đó Ứng dụng web và ứng dụng di động.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Chọn ứng dụng SAML.
  3. Nhấp vào Quyền truy cập của người dùng.

  4. Để bật hoặc tắt một dịch vụ cho mọi người trong tổ chức, hãy nhấp vào Bật cho mọi người hoặc Tắt cho mọi người, rồi nhấp vào Lưu.

  5. (Không bắt buộc) Cách bật hoặc tắt một dịch vụ cho một đơn vị tổ chức:
    1. Ở bên trái, hãy chọn đơn vị tổ chức đó.
    2. Để thay đổi Trạng thái dịch vụ, hãy chọn Bật hoặc Tắt.
    3. Chọn một phương án:
      • Nếu Trạng thái dịch vụ được đặt thành Đã kế thừa và bạn muốn giữ chế độ cài đặt đã cập nhật, ngay cả khi cài đặt gốc thay đổi, hãy nhấp vào Ghi đè.
      • Nếu Trạng thái dịch vụ được đặt thành Đã ghi đè, hãy nhấp vào Kế thừa để quay về chế độ cài đặt giống với chế độ gốc hoặc nhấp vào Lưu để giữ chế độ cài đặt mới, ngay cả khi chế độ cài đặt gốc thay đổi.

        Tìm hiểu thêm về cơ cấu tổ chức.

  6. (Không bắt buộc) Để bật một dịch vụ cho một nhóm người dùng thuộc nhiều đơn vị tổ chức hoặc trong nội bộ đơn vị tổ chức, hãy chọn một nhóm quản lý quyền truy cập. Để biết thông tin chi tiết, hãy xem bài viết Tuỳ chỉnh quyền truy cập vào dịch vụ bằng nhóm quản lý quyền truy cập.
  7. Đảm bảo rằng địa chỉ email mà người dùng sử dụng để đăng nhập vào ứng dụng SAML khớp với địa chỉ email mà họ dùng để đăng nhập vào miền mua qua Google của bạn.
Các thay đổi có thể mất đến 24 giờ để có hiệu lực nhưng thường có hiệu lực nhanh hơn. Tìm hiểu thêm

Bước 3: Xác minh rằng dịch vụ SSO đang hoạt động với ứng dụng tuỳ chỉnh của bạn

Bạn có thể kiểm tra cả dịch vụ SSO do nhà cung cấp danh tính (IdP) khởi tạo và dịch vụ SSO do nhà cung cấp dịch vụ (SP) khởi tạo.

Do IdP khởi tạo

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Ứng dụng sau đó Ứng dụng web và ứng dụng di động.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Chọn ứng dụng SAML tuỳ chỉnh.
  3. Ở trên cùng bên trái, hãy nhấp vào Kiểm tra tính năng đăng nhập SAML.

    Ứng dụng của bạn sẽ mở ra trong một thẻ riêng. Nếu không, hãy sử dụng thông tin trong thông báo lỗi ứng dụng SAML kết quả để cập nhật chế độ cài đặt IdP và SP nếu cần, sau đó kiểm tra lại tính năng đăng nhập SAML.

Do SP khởi tạo

  1. Mở URL SSO cho ứng dụng SAML mới. Bạn sẽ tự động được chuyển hướng đến trang đăng nhập của Google.
  2. Nhập tên người dùng và mật khẩu của bạn.

    Sau khi thông tin đăng nhập của bạn được xác thực, bạn sẽ được chuyển hướng trở lại ứng dụng SAML mới.