Создайте собственное пользовательское SAML-приложение

Использование единого входа на основе SAML

Единый вход (SSO) позволяет пользователям входить во все корпоративные облачные приложения, используя учетные данные своей управляемой учетной записи Google. Google предлагает предварительно интегрированный SSO с более чем 200 популярными облачными приложениями.

Выполните следующие шаги, чтобы настроить единый вход (SSO) на основе SAML для пользовательского приложения, которого нет в предварительно интегрированном каталоге.

Создайте собственное пользовательское SAML-приложение

Шаг 1: Добавьте пользовательское SAML-приложение

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Веб- и мобильные приложения .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Нажмите «Добавить приложение». а потом Добавить пользовательское SAML-приложение .
    Введите название приложения и, при желании, загрузите значок для вашего приложения. Значок приложения отобразится в списке веб- и мобильных приложений, на странице настроек приложения и в панели запуска приложения. Если вы не загрузите значок, он будет создан из первых двух букв названия приложения.
  3. Нажмите «Продолжить» .
  4. На странице с подробной информацией о поставщике услуг Google Identity Provider получите необходимые для настройки данные, используя один из следующих вариантов:
    1. Загрузите метаданные IDP .
    2. Скопируйте URL-адрес SSO и идентификатор сущности и загрузите сертификат (или отпечаток SHA-256 , если необходимо).
  5. (Необязательно) Чтобы ввести информацию на соответствующей странице конфигурации SSO, войдите в свою учетную запись у поставщика услуг в отдельной вкладке или окне и введите информацию, скопированную на шаге 5, затем вернитесь в консоль администратора.
  6. Нажмите «Продолжить» .
  7. Для получения значений этих полей обратитесь к своему поставщику услуг. В окне «Сведения о поставщике услуг» введите:
    1. URL ACS — URL службы обработки утверждений поставщика услуг получает ответ SAML. Он должен начинаться с https:// .
    2. Идентификатор сущности — уникальное имя во всем мире.
    3. Начальный URL — (Необязательно) Этот параметр задает RelayState в SAML-запросе и может представлять собой URL-адрес для перенаправления после аутентификации.
  8. (Необязательно) Чтобы указать, что ваш поставщик услуг требует подписания всего ответа на аутентификацию SAML, установите флажок «Подписанный ответ ». Если этот флажок снят (по умолчанию), подписывается только утверждение в ответе.
  9. (Необязательно) Укажите формат и значение идентификатора имени для вашего пользовательского приложения SAML. По умолчанию используется основной адрес электронной почты.
    Совет : Ознакомьтесь со статьями по настройке в нашем каталоге приложений SAML, чтобы узнать о необходимых сопоставлениях идентификаторов имен для приложений в каталоге. Вы также можете создавать пользовательские атрибуты либо в консоли администратора , либо с помощью API Google Admin SDK и сопоставлять их.
  10. Нажмите «Продолжить» .
  11. При необходимости нажмите «Добавить сопоставление» , чтобы сопоставить атрибуты пользователей в соответствии с требованиями поставщика услуг.
    Примечание : Вы можете задать максимум 10 000 атрибутов для всех приложений. Поскольку у каждого приложения есть один атрибут по умолчанию, подсчет включает в себя атрибут по умолчанию плюс любые добавленные вами пользовательские атрибуты.
    1. Для атрибутов каталога Google нажмите меню «Выбрать поле» , чтобы выбрать имя поля. Не все атрибуты каталога Google доступны в раскрывающемся списке. Если нужный вам атрибут (например, адрес электронной почты руководителя ) недоступен, вы можете добавить его как пользовательский атрибут , после чего он станет доступен для выбора.
    2. В поле «Атрибуты приложения» введите соответствующий атрибут для вашего пользовательского SAML-приложения.
  12. (Необязательно) Чтобы ввести названия групп, имеющих отношение к этому приложению:
    1. Для выбора членства в группе (необязательно) нажмите «Поиск группы» , введите одну или несколько букв названия группы и выберите название группы.
    2. При необходимости добавьте дополнительные группы (максимум 75 групп).
    3. В поле «Атрибут приложения» введите соответствующее имя атрибута группы поставщика услуг.

    Независимо от количества введенных вами названий групп, ответ SAML будет включать только те группы, в которые пользователь входит (прямо или косвенно). Для получения дополнительной информации перейдите в раздел «О сопоставлении членства в группах» .

  13. Нажмите «Готово» .

Шаг 2: Включите ваше SAML-приложение

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Веб- и мобильные приложения .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Выберите ваше SAML-приложение.
  3. Нажмите «Доступ пользователя» .

  4. Чтобы включить или выключить службу для всех сотрудников вашей организации, нажмите «Включить для всех» или «Выключить для всех» , а затем нажмите «Сохранить» .

  5. (Необязательно) Чтобы включить или выключить службу для организационного подразделения:
    1. В левой части экрана выберите организационное подразделение.
    2. Чтобы изменить статус службы, выберите «Вкл. » или «Выкл.» .
    3. Выберите один вариант:
      • Если для параметра «Статус службы» установлено значение «Наследуется» , и вы хотите сохранить обновленную настройку, даже если изменится родительская настройка, нажмите «Переопределить» .
      • Если для параметра «Статус службы» установлено значение «Переопределено» , нажмите «Наследовать» , чтобы вернуться к настройкам родительского параметра, или нажмите «Сохранить» , чтобы сохранить новые настройки, даже если настройки родительского параметра изменятся.
        Узнайте больше об организационной структуре .
  6. (Необязательно) Чтобы включить службу для группы пользователей в рамках организационных подразделений или внутри них, выберите группу доступа. Подробности см. в разделе «Настройка доступа к службе с помощью групп доступа» .
  7. Убедитесь, что адреса электронной почты, которые ваши пользователи используют для входа в приложение SAML, совпадают с адресами электронной почты, которые они используют для входа в ваш домен Google.
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Шаг 3: Убедитесь, что SSO работает с вашим пользовательским приложением.

Вы можете протестировать как идентификационный SSO, инициированный поставщиком идентификации (IdP), так и SSO, инициированный поставщиком услуг (SP).

Инициированный IDP

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Веб- и мобильные приложения .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Выберите своё пользовательское SAML-приложение.
  3. В левом верхнем углу нажмите «Проверить вход по SAML» .

    Ваше приложение должно открыться в отдельной вкладке. Если этого не происходит, используйте информацию из сообщений об ошибках приложения SAML, чтобы при необходимости обновить настройки IdP и SP, а затем повторно проверьте вход через SAML.

инициированный СП

  1. Откройте URL-адрес SSO для вашего нового приложения SAML. Вас автоматически перенаправит на страницу входа в Google.
  2. Введите ваше имя пользователя и пароль.

    После подтверждения ваших учетных данных для входа вы будете перенаправлены обратно в ваше новое SAML-приложение.