הגדרה של אפליקציית SAML בהתאמה אישית

שימוש בכניסה יחידה (SSO) מבוססת-SAML

כניסה יחידה (SSO) מאפשרת למשתמשים להיכנס לכל האפליקציות לסביבה ארגונית בענן באמצעות פרטי הכניסה שלהם לחשבון Google המנוהל. ‫Google כוללת SSO משולב מראש ביותר מ-200 אפליקציות ענן פופולריות.

כדי להגדיר כניסת SSO מבוססת-SAML לאפליקציה בהתאמה אישית שאינה בקטלוג האפליקציות המשולבות מראש, צריך לפעול לפי השלבים הבאים.

הגדרה של אפליקציית SAML בהתאמה אישית

שלב 1: הוספה של אפליקציית SAML בהתאמה אישית

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותואזאפליקציות לאינטרנט ולניידים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על הוספת אפליקציהואזהוספה של אפליקציית SAML בהתאמה אישית.
    מזינים את שם האפליקציה וגם אפשר להעלות סמל עבורה. סמל האפליקציה מופיע ברשימה של האפליקציות לאינטרנט ולנייד, בדף ההגדרות של האפליקציות ובמרכז האפליקציות. אם לא מעלים סמל לאפליקציה, נוצר סמל שמורכב משתי האותיות הראשונות בשם של האפליקציה.
  3. לוחצים על המשך.
  4. בדף פרטי ספק זהויות של Google‏, מקבלים את פרטי ההגדרות שדרושים לספק השירות באמצעות אחת מהאפשרויות הבאות:
    1. מורידים את המטא-נתונים של ה-IdP.
    2. מעתיקים את כתובת ה-URL ל-SSO‏ ואת מזהה הישות ב-SAML‏, ומורידים את האישור (או טביעת אצבע SHA-256, אם צריך).
  5. (אופציונלי) כדי להזין את המידע בדף ההגדרות המתאים של SSO: בכרטיסייה או בחלון נפרדים בדפדפן, נכנסים לספק השירות ומזינים את המידע שהעתקתם בשלב 5, ולאחר מכן חוזרים למסוף Admin.
  6. לוחצים על המשך.
  7. יוצרים קשר עם ספק השירות כדי לקבל את ערכי השדות האלה. בחלון פרטי ספק השירות, מזינים:
    1. כתובת אתר של ACS‏ – כתובת ה-URL של Assertion Consumer Service של ספק השירות מקבלת את תגובת SAML. כתובת ה-URL חייבת להתחיל ב-https://‎.
    2. מזהה ישות ב-SAML‏ – שם ייחודי בעולם.
    3. כתובת URL להתחלה – (אופציונלי) משמשת להגדרת הפרמטר RelayState בבקשת SAML, והיא יכולה להיות כתובת URL להפניה אוטומטית אחרי האימות.
  8. (אופציונלי) כדי לציין שספק השירות דורש חתימה על כל תגובת האימות של SAML, צריך לסמן את התיבה תגובה חתומה. אם התיבה לא מסומנת (זו ברירת המחדל), רק טענת הנכוֹנוּת (assertion) בתוך התשובה היא חתומה.
  9. (אופציונלי) מגדירים פורמט למזהה השם וערך למזהה השם של אפליקציית SAML בהתאמה אישית. כברירת מחדל, מזהה השם הוא כתובת האימייל הראשית.
    טיפ: כדאי לעיין במאמרים בנושא הגדרות בקטלוג האפליקציות של SAML כדי למצוא מיפויים של מזהי שמות שנדרשים לאפליקציות בקטלוג. אפשר גם ליצור מאפיינים בהתאמה אישית באמצעות מסוף Admin או ממשקי API של Google Admin SDK, ולמפות אותם.
  10. לוחצים על המשך.
  11. במידת הצורך, לוחצים על הוספת מיפוי כדי למפות מאפייני משתמש על סמך הדרישות של ספק השירות.
    הערה: אפשר להגדיר עד 10,000 מאפיינים בכל האפליקציות. מכיוון שלכל אפליקציה יש מאפיין ברירת מחדל אחד, כמות המאפיינים כוללת גם את מאפיין ברירת המחדל וגם כל מאפיין בהתאמה אישית שמוסיפים.
    1. בקטע מאפיינים של ספריית Google‏, לוחצים על התפריט בחירת שדה כדי לבחור שם של שדה. לא כל המאפיינים של ספריית Google זמינים ברשימה הנפתחת. אם המאפיין שאתם רוצים למפות לא זמין (לדוגמה, כתובת האימייל של המנהל), אפשר להוסיף אותו בתור מאפיין בהתאמה אישית. אם תעשו זאת, המאפיין יופיע ברשימה הנפתחת.
    2. בקטע מאפייני אפליקציה, מזינים את המאפיין התואם לאפליקציית SAML בהתאמה אישית.
  12. (אופציונלי) אפשר להזין שמות של קבוצות שרלוונטיות לאפליקציה הזאת:
    1. בקטע חברות בקבוצה (אופציונלי), לוחצים על חיפוש של קבוצה, מזינים אות אחת או יותר מהשם של הקבוצה ובוחרים את הקבוצה הרצויה.
    2. מוסיפים עוד קבוצות לפי הצורך (אפשר להוסיף עד 75 קבוצות).
    3. בשדה מאפיין אפליקציה, מזינים את שם המאפיין של הקבוצות הרלוונטיות של ספק השירות.

    תגובת SAML תכלול רק קבוצות שמשתמש חבר בהן (באופן ישיר או עקיף), בלי קשר לכמות של שמות הקבוצות שמזינים. מידע נוסף זמין במאמר מידע על מיפוי של חברוּת בקבוצות.

  13. לוחצים על סיום.

שלב 2: הפעלת אפליקציית SAML

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותואזאפליקציות לאינטרנט ולניידים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בוחרים את אפליקציית SAML.
  3. לוחצים על גישת משתמשים.

  4. כדי להפעיל או להשבית שירות לכולם בארגון, לוחצים על מופעל לכולם או על מושבת לכולם ואז לוחצים על שמירה.

  5. (אופציונלי) כדי להפעיל או להשבית שירות ביחידה ארגונית:
    1. בצד ימין, בוחרים את היחידה הארגונית.
    2. כדי לשנות את סטטוס השירות, בוחרים באפשרות מופעל או מושבת.
    3. בוחרים אפשרות:
      • אם ההגדרה של סטטוס השירות היא הועבר בירושה ואתם רוצים שההגדרה שעדכנתם תישמר גם אם הגדרת ההורה תשתנה, לוחצים על שינוי.
      • אם ההגדרה של סטטוס השירות היא בוטל ואתם רוצים לחזור להגדרה שיש להורה, לוחצים על העברה בירושה. לחלופין, אם אתם רוצים שההגדרה החדשה תישמר גם אם ההגדרה של ההורה תשתנה, לוחצים על שמירה.
        מידע נוסף על מבנה ארגוני
  6. (אופציונלי) כדי להפעיל שירות לקבוצה של משתמשים בתוך יחידה ארגונית או בכמה יחידות ארגוניות שונות, צריך לבחור בקבוצת גישה. מידע נוסף מופיע במאמר בנושא הגדרה של קבוצות גישה כדי לתת הרשאות לשירותים שונים בהתאם לצרכים.
  7. צריך לוודא שכתובות האימייל שבאמצעותן המשתמשים נכנסים לאפליקציית SAML, תואמות לכתובות האימייל שבאמצעותן הם נכנסים לדומיין Google שלכם.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

שלב 3: לוודא שכניסת ה-SSO עובדת עם האפליקציה בהתאמה אישית

אתם יכולים לבדוק כניסת SSO יזומה גם של ספק זהויות (IdP) וגם של ספק שירות (SP).

כניסה יזומה של IdP

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותואזאפליקציות לאינטרנט ולניידים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בוחרים את אפליקציית SAML בהתאמה אישית.
  3. בפינה הימנית העליונה, לוחצים על בדיקת התחברות ל-SAML.

    האפליקציה אמורה להיפתח בכרטיסייה נפרדת. אם היא לא נפתחת, ניתן להשתמש במידע שמופיע בהודעות השגיאה של אפליקציות SAML כדי לעדכן את הגדרות ה-IdP וה-SP לפי הצורך. לאחר מכן אפשר לבדוק מחדש את ההתחברות ל-SAML.

כניסה יזומה של SP

  1. פותחים את כתובת ה-URL של ה-SSO לאפליקציית SAML החדשה. המערכת אמורה להפנות אתכם אוטומטית לדף של כניסה באמצעות חשבון Google.
  2. מזינים שם משתמש וסיסמה.

    אחרי שהמערכת תאמת את פרטי הכניסה שלכם, תופנו בחזרה לאפליקציית SAML החדשה.