Thiết lập ứng dụng SAML tuỳ chỉnh của riêng bạn

Sử dụng tính năng đăng nhập một lần dựa trên SAML

Tính năng đăng nhập một lần (SSO) cho phép người dùng đăng nhập vào tất cả các ứng dụng đám mây dành cho doanh nghiệp bằng thông tin đăng nhập của Tài khoản Google do họ quản lý. Google cung cấp tính năng SSO được tích hợp sẵn với hơn 200 ứng dụng đám mây phổ biến.

Hãy thực hiện các bước sau để thiết lập tính năng SSO dựa trên SAML với một ứng dụng tuỳ chỉnh không có trong danh mục ứng dụng đã tích hợp sẵn.

Thiết lập ứng dụng SAML tuỳ chỉnh của riêng bạn

Bước 1: Thêm ứng dụng SAML tuỳ chỉnh

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụngsau đóỨng dụng web và ứng dụng di động.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Nhấp vào Thêm ứng dụng sau đó Thêm ứng dụng SAML tuỳ chỉnh.
    Nhập tên ứng dụng và bạn có thể tải biểu tượng lên cho ứng dụng (không bắt buộc). Biểu tượng ứng dụng sẽ xuất hiện trong danh sách ứng dụng web và ứng dụng di động, trên trang cài đặt ứng dụng và trong trình chạy ứng dụng. Nếu bạn không tải biểu tượng lên, thì biểu tượng sẽ được tạo bằng 2 chữ cái đầu tiên của tên ứng dụng.
  3. Nhấp vào Tiếp tục.
  4. Trên trang Thông tin chi tiết về nhà cung cấp danh tính của Google, hãy lấy thông tin thiết lập mà nhà cung cấp dịch vụ cần bằng một trong các cách sau:
    1. Tải siêu dữ liệu IDP xuống.
    2. Sao chép URL SSOMã nhận dạng thực thể rồi tải Chứng chỉ xuống (hoặc Vân tay số SHA-256 nếu cần).
  5. (Không bắt buộc) Để nhập thông tin vào trang cấu hình SSO thích hợp, trong một thẻ hoặc cửa sổ trình duyệt riêng biệt, hãy đăng nhập vào nhà cung cấp dịch vụ của bạn rồi nhập thông tin mà bạn đã sao chép ở Bước 5, sau đó quay lại Bảng điều khiển dành cho quản trị viên.
  6. Nhấp vào Tiếp tục.
  7. Hãy liên hệ với nhà cung cấp dịch vụ của bạn để biết các giá trị trường này. Trong cửa sổ Thông tin chi tiết về nhà cung cấp dịch vụ, hãy nhập:
    1. URL ACS – URL của dịch vụ Assertion Consumer Service của nhà cung cấp dịch vụ nhận được phản hồi SAML. URL này phải bắt đầu bằng https://.
    2. Mã nhận dạng thực thể – Tên riêng biệt trên toàn cầu.
    3. URL bắt đầu – (Không bắt buộc) Chế độ này đặt tham số RelayState trong Yêu cầu SAML. Tham số này có thể là một URL để chuyển hướng đến sau khi xác thực.
  8. (Không bắt buộc) Để cho biết nhà cung cấp dịch vụ của bạn yêu cầu toàn bộ phản hồi xác thực SAML phải được ký, hãy đánh dấu vào hộp Phản hồi đã ký. Nếu bạn bỏ đánh dấu (mặc định), chỉ có câu khẳng định trong phản hồi được ký.
  9. (Không bắt buộc) Đặt định dạng Mã nhận dạng tên và giá trị Mã nhận dạng tên cho ứng dụng SAML tuỳ chỉnh. Mã nhận dạng tên mặc định là email chính.
    Lưu ý: Hãy xem các bài viết thiết lập trong danh mục ứng dụng SAML của chúng tôi để biết mọi thông tin về việc liên kết Mã nhận dạng tên bắt buộc đối với các ứng dụng trong danh mục. Bạn cũng có thể tạo các thuộc tính tuỳ chỉnh (trong Bảng điều khiển dành cho quản trị viên hoặc thông qua API SDK dành cho quản trị viên của Google) và liên kết với các thuộc tính đó.
  10. Nhấp vào Tiếp tục.
  11. Nếu cần, hãy nhấp vào Thêm mối liên kết để liên kết các thuộc tính người dùng dựa trên yêu cầu của nhà cung cấp dịch vụ.
    Lưu ý: Bạn có thể xác định tối đa 10.000 thuộc tính trên tất cả các ứng dụng. Vì mỗi ứng dụng có một thuộc tính mặc định, nên số lượng này bao gồm thuộc tính mặc định và mọi thuộc tính tuỳ chỉnh mà bạn thêm.
    1. Đối với Thuộc tính trong Danh bạ Google, hãy nhấp vào trình đơn Chọn trường để chọn tên trường. Không phải tất cả các thuộc tính trong danh bạ của Google đều có trong danh sách thả xuống. Nếu không có thuộc tính mà bạn muốn liên kết (ví dụ: Email của người quản lý), bạn có thể thêm thuộc tính đó làm thuộc tính tuỳ chỉnh. Nhờ đó, bạn có thể chọn thuộc tính đó tại đây.
    2. Đối với Thuộc tính ứng dụng, hãy nhập thuộc tính tương ứng cho ứng dụng SAML tuỳ chỉnh của bạn.
  12. (Không bắt buộc) Để nhập tên nhóm có liên quan đến ứng dụng này:
    1. Đối với Tư cách thành viên nhóm (không bắt buộc), hãy nhấp vào Tìm kiếm nhóm, nhập một hoặc nhiều chữ cái của tên nhóm rồi chọn tên nhóm.
    2. Thêm các nhóm khác nếu cần (tối đa 75 nhóm).
    3. Đối với Thuộc tính ứng dụng, hãy nhập tên thuộc tính nhóm tương ứng của nhà cung cấp dịch vụ.

    Bất kể bạn nhập bao nhiêu tên nhóm, phản hồi SAML chỉ bao gồm những nhóm mà người dùng là thành viên (trực tiếp hoặc gián tiếp). Để biết thêm thông tin, hãy xem bài viết Giới thiệu về tính năng liên kết tư cách thành viên của nhóm.

  13. Nhấp vào Hoàn tất.

Bước 2: Bật ứng dụng SAML

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụngsau đóỨng dụng web và ứng dụng di động.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Chọn ứng dụng SAML của bạn.
  3. Nhấp vào Quyền truy cập của người dùng.

  4. Để bật hoặc tắt một dịch vụ cho mọi người trong tổ chức, hãy nhấp vào Bật cho mọi người hoặc Tắt cho mọi người, rồi nhấp vào Lưu.

  5. (Không bắt buộc) Cách bật hoặc tắt một dịch vụ cho một đơn vị tổ chức:
    1. Ở bên trái, hãy chọn đơn vị tổ chức đó.
    2. Để thay đổi Trạng thái dịch vụ, hãy chọn Bật hoặc Tắt.
    3. Chọn một trong các lựa chọn sau:
      • Nếu Trạng thái dịch vụ được đặt thành Đã kế thừa và bạn muốn giữ chế độ cài đặt đã cập nhật, ngay cả khi chế độ cài đặt gốc thay đổi, hãy nhấp vào Ghi đè.
      • Nếu Trạng thái dịch vụ được đặt thành Đã ghi đè, hãy nhấp vào Kế thừa để quay về chế độ cài đặt giống với chế độ gốc hoặc nhấp vào Lưu để giữ chế độ cài đặt mới, ngay cả khi chế độ cài đặt gốc thay đổi.
        Tìm hiểu thêm về cơ cấu tổ chức.
  6. (Không bắt buộc) Để bật một dịch vụ cho một nhóm người dùng thuộc nhiều đơn vị tổ chức hoặc trong nội bộ đơn vị tổ chức, hãy chọn một nhóm quản lý quyền truy cập. Để biết thông tin chi tiết, hãy xem bài viết Tuỳ chỉnh quyền truy cập vào dịch vụ bằng nhóm quản lý quyền truy cập.
  7. Đảm bảo rằng địa chỉ email mà người dùng sử dụng để đăng nhập vào ứng dụng SAML khớp với địa chỉ email mà họ sử dụng để đăng nhập vào miền Google của bạn.
Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Bước 3: Xác minh rằng tính năng SSO đang hoạt động với ứng dụng tuỳ chỉnh của bạn

Bạn có thể kiểm thử cả SSO do nhà cung cấp danh tính (IdP) khởi tạo và SSO do nhà cung cấp dịch vụ (SP) khởi tạo.

Do IdP khởi tạo

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụngsau đóỨng dụng web và ứng dụng di động.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Chọn ứng dụng SAML tuỳ chỉnh.
  3. Ở trên cùng bên trái, hãy nhấp vào Kiểm thử tính năng đăng nhập bằng SAML.

    Ứng dụng của bạn sẽ mở trong một thẻ riêng. Nếu không, hãy sử dụng thông tin trong thông báo lỗi ứng dụng SAML thu được để cập nhật chế độ cài đặt IdP và SP nếu cần, sau đó kiểm tra lại tính năng đăng nhập SAML.

Do SP khởi tạo

  1. Mở URL SSO cho ứng dụng SAML mới. Bạn sẽ được tự động chuyển hướng đến trang đăng nhập của Google.
  2. Nhập tên người dùng và mật khẩu của bạn.

    Sau khi thông tin đăng nhập của bạn được xác thực, bạn sẽ được chuyển hướng trở lại ứng dụng SAML mới.