Konfigurowanie własnej aplikacji SAML

Używanie logowania jednokrotnego opartego na SAML

Dzięki logowaniu jednokrotnemu (SSO) użytkownicy mogą uzyskać dostęp do wszystkich firmowych aplikacji internetowych, logując się tylko raz przy użyciu danych zarządzanego konta Google. Google oferuje wstępnie zintegrowane logowanie jednokrotne (SSO) dla ponad 200 popularnych aplikacji internetowych.

Aby skonfigurować logowanie jednokrotne oparte na SAML w aplikacji niestandardowej, która nie znajduje się w katalogu wstępnych integracji, wykonaj te czynności.

Konfigurowanie własnej aplikacji SAML

Krok 1. Dodaj własną aplikację SAML

  1. W konsoli administracyjnej Google otwórz Menu a potem Aplikacjea potemAplikacje internetowe i mobilne.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. Kliknij Dodaj aplikacjęa potemDodaj własną aplikację SAML.
    Wpisz nazwę aplikacji i opcjonalnie prześlij ikonę aplikacji. Ikona aplikacji pojawia się na liście aplikacji internetowych i mobilnych, na stronie ustawień aplikacji i w Menu z aplikacjami. Jeśli nie prześlesz ikony, zostanie ona utworzona na podstawie pierwszych 2 liter nazwy aplikacji.
  3. Kliknij Dalej.
  4. Na stronie Informacje o dostawcy tożsamości Google uzyskaj dane konfiguracyjne wymagane przez dostawcę usług, korzystając z jednego z tych sposobów:
    1. Pobierz metadane dostawcy tożsamości.
    2. Skopiuj wartości z pól Adres URL logowania jednokrotnego oraz Identyfikator jednostki i pobierz certyfikat (lub w razie potrzeby odcisk cyfrowy SHA-256).
  5. (Opcjonalnie) Aby wpisać informacje na odpowiedniej stronie konfiguracji logowania jednokrotnego, na oddzielnej karcie lub w oddzielnym oknie przeglądarki zaloguj się u dostawcy usług i wpisz informacje skopiowane w kroku 5, a następnie wróć do konsoli administracyjnej.
  6. Kliknij Dalej.
  7. Aby poznać wartości tych pól, skontaktuj się z dostawcą usług. W oknie Szczegóły usługodawcy wpisz:
    1. Adres URL usługi ACS – adres URL usługi konsumenta potwierdzenia pobiera odpowiedź SAML. Musi zaczynać się od https://.
    2. Identyfikator jednostki – unikatowa nazwa globalna.
    3. URL początkowy – (opcjonalny) ustawia parametr RelayState w żądaniu SAML, które może być adresem URL do przekierowania po uwierzytelnieniu.
  8. (Opcjonalnie) Jeśli dostawca usług wymaga podpisania całej odpowiedzi uwierzytelniającej SAML, zaznacz pole Podpisana odpowiedź. Jeśli ta opcja nie jest zaznaczona (ustawienie domyślne), podpisywane jest tylko potwierdzenie w odpowiedzi.
  9. (Opcjonalnie) Ustaw format Identyfikatora nazwy i wartość Identyfikatora nazwy dla własnej aplikacji SAML. Domyślną wartością w polu Identyfikator nazwy jest główny adres e-mail.
    Wskazówka: mapowania identyfikatorów nazw wymagane przez aplikacje w katalogu można znaleźć w artykułach na temat konfiguracji w Katalogu aplikacji SAML. Można też utworzyć (w konsoli administracyjnej lub za pomocą interfejsów API pakietu Google Admin SDK) atrybuty niestandardowe i użyć ich do mapowania.
  10. Kliknij Dalej.
  11. W razie potrzeby kliknij Dodaj mapowanie, aby zmapować atrybuty użytkownika na podstawie wymagań dostawcy usług.
    Uwaga: możesz zdefiniować maksymalnie 10 tys. atrybutów we wszystkich aplikacjach. Każda aplikacja ma 1 atrybut domyślny, który jest wliczany do tego limitu.
    1. W sekcji Atrybuty katalogu Google kliknij menu Wybierz pole i wybierz nazwę pola. Nie wszystkie atrybuty katalogu Google są dostępne na liście. Jeśli atrybut, który chcesz zmapować (np. adres e-mail menedżera), jest niedostępny, możesz dodać go jako atrybut niestandardowy, dzięki czemu będzie on tutaj dostępny do wyboru.
    2. W sekcji Atrybuty aplikacji wpisz odpowiedni atrybut własnej aplikacji SAML.
  12. (Opcjonalnie) Aby wpisać nazwy grup odpowiednie dla tej aplikacji:
    1. W polu Członkostwo w grupie (opcjonalne) kliknij Wyszukaj grupę, wpisz co najmniej jedną literę nazwy grupy i wybierz nazwę grupy.
    2. W razie potrzeby dodaj kolejne grupy (maksymalnie 75 grup).
    3. W polu Atrybut aplikacji wpisz odpowiednią nazwę atrybutu grup usługodawcy.

    Bez względu na to, ile nazw grup wpiszesz, odpowiedź SAML będzie zawierać tylko grupy, do których należy użytkownik (bezpośrednio lub pośrednio). Więcej informacji znajdziesz w artykule Mapowanie członkostwa w grupie.

  13. Kliknij Zakończ.

Krok 2. Włącz aplikację SAML

  1. W konsoli administracyjnej Google otwórz Menu a potem Aplikacjea potemAplikacje internetowe i mobilne.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. Wybierz aplikację SAML.
  3. Kliknij Dostęp użytkownika.

  4. Aby włączyć lub wyłączyć usługę dla wszystkich użytkowników w organizacji, kliknij Włączone dla wszystkich lub Wyłączone dla wszystkich, a następnie Zapisz.

  5. (Opcjonalnie) Aby włączyć lub wyłączyć usługę w jednostce organizacyjnej:
    1. Po lewej stronie wybierz jednostkę organizacyjną.
    2. Aby zmienić stan usługi, wybierz Wł. lub Wył..
    3. Wybierz jedną z tych opcji:
      • Jeśli stan usługi to Dziedziczone i chcesz zachować zaktualizowane ustawienie, nawet jeśli ustawienie nadrzędne ulegnie zmianie, kliknij Zastąp.
      • Jeśli stan usługi to Zastąpione, kliknij Odziedzicz, aby przywrócić to samo ustawienie co jego ustawienie nadrzędne, lub Zapisz, aby zachować nowe ustawienie nawet wtedy, gdy ustawienie nadrzędne ulegnie zmianie.
        Dowiedz się więcej o strukturze organizacyjnej.
  6. (Opcjonalnie) Aby włączyć usługę dla grupy użytkowników w jednej lub kilku jednostkach organizacyjnych, wybierz grupę dostępu. Więcej informacji znajdziesz w artykule Dostosowywanie dostępu do usług za pomocą grup dostępu.
  7. Upewnij się, że adresy e-mail używane przez użytkowników do logowania się w aplikacji SAML są zgodne z adresami używanymi do logowania się w Twojej domenie Google.
Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

Krok 3. Sprawdź, czy logowanie jednokrotne działa w aplikacji niestandardowej

Możesz przetestować zarówno logowanie jednokrotne inicjowane przez dostawcę tożsamości, jak i przez dostawcę usługi.

Logowanie jednokrotne inicjowane przez dostawcę tożsamości

  1. W konsoli administracyjnej Google otwórz Menu a potem Aplikacjea potemAplikacje internetowe i mobilne.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. Wybierz niestandardową aplikację SAML.
  3. W lewym górnym rogu kliknij Testuj logowanie SAML.

    Aplikacja powinna otworzyć się w osobnej karcie. Jeśli się tak nie stanie, użyj informacji z komunikatów o błędach aplikacji SAML, aby zaktualizować ustawienia dostawcy tożsamości i dostawcy usługi, a następnie ponownie przetestuj logowanie SAML.

Logowanie jednokrotne inicjowane przez dostawcę usługi

  1. Otwórz adres URL logowania jednokrotnego do nowej aplikacji SAML. Powinno nastąpić automatyczne przekierowanie na stronę logowania Google.
  2. Wpisz nazwę użytkownika i hasło.

    Gdy dane logowania zostaną uwierzytelnione, nastąpi przekierowanie z powrotem do nowej aplikacji SAML.