הגדרת SSO

יש כמה דרכים להגדיר SSO עם Google כספק השירות, בהתאם לצרכים של הארגון. ‫Google Workspace תומך ב-SSO מבוסס SAML וגם ב-SSO מבוסס OIDC.

אם המשתמשים שלכם משתמשים בכתובות URL של שירותים שספציפיות לדומיין כדי לגשת לשירותי Google (לדוגמה, https://mail.google.com/a/example.com), אתם יכולים גם לנהל את אופן הפעולה של כתובות ה-URL האלה עם SSO.

אם הארגון שלכם צריך הפניה אוטומטית מ-SSO על סמך כתובת IP, או SSO לסופר-אדמינים, יש לכם גם אפשרות להגדיר את פרופיל ה-SSO מדור קודם.

הגדרת SSO באמצעות SAML

לפני שמתחילים

כדי להגדיר פרופיל SSO של SAML, תצטרכו לבצע הגדרה בסיסית מסוימת בעזרת צוות התמיכה או התיעוד של ספק הזהויות (IdP):

  • מזהה ישות ב-SAML של ה-IdP: כך ה-IdP מזהה את עצמו כשהוא מתקשר עם Google.
  • כתובת ה-URL של דף הכניסה: נקראת גם כתובת ה-URL של הכניסה היחידה (SSO) או נקודת הקצה של SAML 2.0 ‏(HTTP). כאן המשתמשים נכנסים ל-IdP שלכם.
  • כתובת ה-URL של דף היציאה: הדף שאליו המשתמש מגיע אחרי שהוא יוצא מאפליקציית Google או מהשירות.
  • כתובת ה-URL לשינוי הסיסמה: הדף שאליו משתמשי ה-SSO יועברו כדי לשנות את הסיסמה שלהם (במקום לשנות את הסיסמה שלהם ב-Google).
  • אישור: אישור X.509 PEM מ-IdP. האישור מכיל את המפתח הציבורי שמאמת את הכניסה מספק הזהויות.

דרישות לאישורים

  • האישור צריך להיות אישור X.509 בפורמט PEM או DER עם מפתח ציבורי מוטמע.
  • יש ליצור את המפתח הציבורי באמצעות האלגוריתמים DSA או RSA.
  • המפתח הציבורי באישור חייב להיות זהה למפתח הפרטי שמשמש לחתימה על תגובת SAML.

בדרך כלל מקבלים את האישורים האלה מ-IdP. אבל אתם יכולים גם ליצור אותם בעצמכם.

יצירת פרופיל SAML SSO

כדי ליצור פרופיל SSO של צד שלישי: אתם יכולים ליצור עד 1,000 פרופילים בארגון.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז אימות ואז SSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילים של צד שלישי ל-SSO, לוחצים על הוספת פרופיל SAML.
  3. בשדה פרופיל SSO ב-SAML, מזינים שם לפרופיל.
  4. (אופציונלי) באפשרות מילוי אוטומטי של כתובת האימייל, בוחרים את האפשרות שמתאימה לפורמט הרמזים להתחברות שנתמך על ידי ה-IdP. פרטים נוספים זמינים במאמר בנושא שימוש במילוי אוטומטי של כתובת אימייל כדי לפשט את הכניסה באמצעות SSO.
  5. בקטע פרטי ספק הזהויות, מבצעים את הפעולות הבאות:
    1. מזינים את מזהה ישות ב-SAML, את כתובת ה-URL של דף הכניסה ואת כתובת ה-URL של דף היציאה שקיבלתם מספק ה-IdP.
    2. בשדה כתובת URL לשינוי סיסמה, מזינים כתובת URL לשינוי סיסמה עבור ספק ה-IdP. המשתמשים יופנו אל כתובת ה-URL הזו כדי לאפס את הסיסמאות שלהם.

  6. לוחצים על העלאת אישור.

    אפשר להעלות עד שני אישורים, וכך יש לכם אפשרות להחליף אישורים כשצריך.

  7. לוחצים על שמירה.

  8. בקטע SP Details, מעתיקים ושומרים את מזהה ישות ב-SAML ואת ACS URL. תצטרכו את הערכים האלה כדי להגדיר כניסה יחידה (SSO) עם Google בלוח הבקרה של ספק הזהויות (IdP).

  9. (אופציונלי) אם ספק הזהויות שלכם תומך בהצפנת טענות נכוֹנוּת (assertion), אתם יכולים ליצור אישור ולשתף אותו עם ספק הזהויות כדי להפעיל הצפנה. בכל פרופיל של SAML SSO אפשר להוסיף עד 2 אישורי SP.

    1. לוחצים על הקטע פרטי ספק השירות כדי להיכנס למצב עריכה.
    2. בקטע SP certificate (אישור של ספק שירות), לוחצים על Generate certificate (יצירת אישור).
    3. לוחצים על שמירה. מעתיקים את תוכן האישור או מורידים אותו כקובץ.
    4. משתפים את האישור עם ספק הזהויות.
    5. (אופציונלי) כדי להחליף אישור, חוזרים אל פרטי SP, לוחצים על יצירת אישור נוסף ומשתפים את האישור החדש עם ספק ה-IdP. אחרי שמוודאים שספק הזהויות משתמש באישור החדש, מוחקים את האישור המקורי.

הגדרת ספק הזהויות

כדי להגדיר את ספק הזהויות (IdP) לשימוש בפרופיל ה-SSO הזה, צריך להזין את המידע מהקטע פרטי ספק השירות (SP) בפרופיל בשדות המתאימים בהגדרות ה-SSO של ספק הזהויות. גם כתובת ה-URL של ACS וגם מזהה הישות ייחודיים לפרופיל הזה.

הגדרת פרופיל SSO מדור קודם

פרופיל ה-SSO מדור קודם נתמך למשתמשים שלא עברו לפרופילי SSO. הוא תומך רק בשימוש עם ספק זהויות אחד.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז אימות ואז SSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילי SSO של צד שלישי, לוחצים על הוספת פרופיל SAML.
  3. בתחתית הדף פרטי IdP, לוחצים על מעבר להגדרות של פרופיל SSO מדור קודם.
  4. בדף פרופיל SSO מדור קודם, מסמנים את התיבה הפעלת SSO עם ספק זהויות של צד שלישי.
  5. ממלאים את הפרטים הבאים של ספק הזהויות:
    • מזינים את כתובת ה-URL של דף הכניסה ואת כתובת ה-URL של דף היציאה של ספק ה-IdP.

      הערה: צריך להזין את כל כתובות ה-URL ולהשתמש ב-HTTPS, לדוגמה https://sso.example.com.

    • לוחצים על העלאת אישור, מאתרים את אישור X.509 שסופק על ידי ספק הזהויות ומעלים אותו. מידע נוסף זמין במאמר בנושא דרישות האישורים.
    • בוחרים אם להשתמש במנפיק ספציפי לדומיין בבקשת SAML מ-Google.

      אם יש לכם כמה דומיינים שמשתמשים ב-SSO עם ספק הזהויות שלכם, אתם יכולים להשתמש במנפיק ספציפי לדומיין כדי לזהות את הדומיין הנכון שמנפיק את בקשת SAML.

      • מסומן Google שולחת מנפיק שספציפי לדומיין שלכם: google.com/a/example.com (כאשר example.com הוא שם הדומיין הראשי שלכם ב-Google Workspace)
      • לא מסומן Google שולחת את המנפיק הרגיל בבקשת SAML: ‏ google.com
    • (אופציונלי) כדי להחיל SSO על קבוצת משתמשים בטווחים ספציפיים של כתובות IP, מזינים מסיכת רשת. מידע נוסף זמין במאמר בנושא תוצאות של מיפוי רשת.

      הערה: אפשר גם להגדיר SSO חלקי על ידי הקצאת פרופיל ה-SSO ליחידות ארגוניות או לקבוצות ספציפיות.

    • מזינים כתובת URL לשינוי סיסמה עבור ספק ה-IdP. המשתמשים יעברו לכתובת ה-URL הזו (ולא לדף של Google לשינוי סיסמה) כדי לאפס את הסיסמאות שלהם. כל המשתמשים, למעט סופר-אדמינים, שמנסים לשנות את הסיסמה שלהם בכתובת https://myaccount.google.com/ יופנו לכתובת ה-URL שתציינו. ההגדרה הזו חלה גם אם לא מפעילים כניסה יחידה (SSO). בנוסף, לא חלות מסכות רשת.

      הערה: אם מזינים כאן כתובת URL, המשתמשים מופנים לדף הזה גם אם לא מפעילים SSO בארגון.

  6. לוחצים על שמירה.

אחרי השמירה, פרופיל ה-SSO מדור קודם מופיע בטבלה פרופילי SSO.

הגדרת ספק הזהויות

כדי להגדיר את ספק הזהויות (IdP) לשימוש בפרופיל ה-SSO הזה, צריך להזין את המידע מהקטע Service Provider (SP) Details (פרטי ספק השירות) בפרופיל בשדות המתאימים בהגדרות ה-SSO של ספק הזהויות. גם כתובת אתר של ACS וגם מזהה ישות ב-SAML ייחודיים לפרופיל הזה.

פורמט
כתובת אתר של ACS ‫https://accounts.google.com/a/{domain.com}/acs
כאשר {domain.com} הוא שם הדומיין של הארגון ב-Workspace
מזהה ישות ב-SAML אחת מהאפשרויות הבאות:
  • google.com
  • ‫google.com/a/customerprimarydomain (אם בחרתם להשתמש במונפק ספציפי לדומיין כשמגדירים את הפרופיל מדור קודם).

השבתת פרופיל SSO מדור קודם

  1. ברשימה פרופילי SSO של צד שלישי, לוחצים על פרופיל SSO מדור קודם.
  2. בהגדרות של פרופיל SSO מדור קודם, מבטלים את הסימון של הפעלת SSO עם ספק זהויות של צד שלישי.
  3. מאשרים שרוצים להמשיך ולוחצים על שמירה.

ברשימה פרופילי SSO, פרופיל ה-SSO מדור קודם מופיע עכשיו כמושבת.

  • ביחידות ארגוניות שהוקצה להן פרופיל SSO מדור קודם תוצג התראה בעמודה פרופיל שהוקצה.
  • ביחידה הארגונית ברמה העליונה יופיע None בעמודה Assigned profile.
  • בקטע ניהול הקצאות של פרופיל SSO, פרופיל ה-SSO מדור קודם מופיע כלא פעיל.

מעבר מ-SAML מדור קודם לפרופילי SSO

אם הארגון שלכם משתמש בפרופיל ה-SSO מדור קודם, מומלץ לעבור לפרופילי SSO. יש להם כמה יתרונות, כולל תמיכה ב-OIDC, ממשקי API מודרניים יותר וגמישות רבה יותר בהחלת הגדרות SSO על קבוצות משתמשים. מידע נוסף

הגדרת כניסה יחידה באמצעות OIDC

כדי להשתמש ב-SSO מבוסס OIDC:

  1. בוחרים באפשרות OIDC – אפשר ליצור פרופיל OIDC בהתאמה אישית, שבו מספקים מידע לשותף OIDC, או להשתמש בפרופיל Microsoft Entra OIDC שהוגדר מראש.
  2. פועלים לפי השלבים במאמר קביעה של המשתמשים שצריכים להשתמש ב-SSO כדי להקצות את פרופיל ה-OIDC שהוגדר מראש ליחידות ארגוניות או לקבוצות נבחרות.

אם יש לכם משתמשים ביחידה ארגונית (לדוגמה, ביחידה ארגונית משנית) שלא צריכים SSO, אתם יכולים להשתמש גם בהקצאות כדי להשבית את ה-SSO עבור המשתמשים האלה.

הערה: ממשק שורת הפקודה של Google Cloud לא תומך כרגע באימות מחדש באמצעות OIDC.

לפני שמתחילים

כדי להגדיר פרופיל OIDC בהתאמה אישית, תצטרכו לבצע הגדרה בסיסית בעזרת צוות התמיכה או מסמכי התיעוד של ספק הזהויות שלכם:

  • כתובת ה-URL של המנפיק: כתובת ה-URL המלאה של שרת ההרשאות של ה-IdP.
  • לקוח OAuth, שמזוהה באמצעות מזהה הלקוח שלו ומאומת באמצעות סוד הלקוח.
  • כתובת ה-URL לשינוי הסיסמה הדף שאליו משתמשי ה-SSO יועברו כדי לשנות את הסיסמה שלהם (במקום לשנות את הסיסמה שלהם ב-Google).

בנוסף, Google צריכה שספק הזהויות שלכם יעשה את הפעולות הבאות:

  • הטענה email מספק הזהויות (IdP) צריכה להיות זהה לכתובת האימייל הראשית של המשתמש בצד של Google.
  • חובה להשתמש בתהליך הרשאה באמצעות קוד.

יצירת פרופיל OIDC בהתאמה אישית

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז אימות ואז SSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילי SSO של צד שלישי, לוחצים על הוספת פרופיל OIDC.
  3. נותנים שם לפרופיל ה-OIDC.
  4. מזינים את פרטי OIDC: מזהה לקוח, כתובת URL של המנפיק וסוד לקוח.
  5. לוחצים על שמירה.
  6. בדף ההגדרות של פרופיל ה-SSO החדש של OIDC, מעתיקים את URI של ההפניה האוטומטית. תצטרכו לעדכן את לקוח OAuth בספק הזהויות כדי להגיב לבקשות באמצעות ה-URI הזה.

כדי לערוך את ההגדרות, מעבירים את העכבר מעל פרטי OIDC ולוחצים על סמל העריכה .

שימוש בפרופיל Microsoft Entra OIDC

מוודאים שהגדרתם את הדרישות המוקדמות הבאות ל-OIDC בדייר Microsoft Entra ID של הארגון:

קובעים אילו משתמשים צריכים להשתמש ב-SSO

מפעילים SSO ליחידה ארגונית או לקבוצה באמצעות הקצאה של פרופיל SSO וספק IdP משויך. אפשר גם להשבית את ה-SSO על ידי הקצאת הערך 'None' לפרופיל ה-SSO. אפשר גם להחיל מדיניות SSO מעורבת בתוך יחידה ארגונית או קבוצה. לדוגמה, אפשר להפעיל SSO עבור היחידה הארגונית כולה, ואז להשבית אותו עבור יחידה ארגונית משנית.

אם לא יצרתם פרופיל SAML או OIDC, תצטרכו לעשות זאת לפני שתמשיכו. אפשר גם להקצות את פרופיל ה-OIDC שהוגדר מראש.

  1. לוחצים על ניהול הקצאות של פרופיל SSO.
  2. אם זו הפעם הראשונה שאתם מקצים פרופיל SSO, לוחצים על 'שנתחיל?'. אחרת, לוחצים על ניהול מטלות.
  3. בצד ימין, בוחרים את היחידה הארגונית או הקבוצה שרוצים להקצות להן את פרופיל ה-SSO.
    • אם הקצאת פרופיל ה-SSO ליחידה ארגונית או לקבוצה שונה מהקצאת הפרופיל ברמת הדומיין, תוצג אזהרה על ביטול כשתבחרו את היחידה הארגונית או הקבוצה.
    • אי אפשר להקצות את פרופיל ה-SSO ברמת המשתמש. בתצוגת המשתמשים אפשר לבדוק את ההגדרה של משתמש ספציפי.
  4. בוחרים הקצאת פרופיל SSO ליחידה הארגונית או לקבוצה שנבחרו:
    • כדי להחריג את היחידה הארגונית או הקבוצה מ-SSO, בוחרים באפשרות ללא. המשתמשים ביחידה הארגונית או בקבוצה ייכנסו ישירות דרך Google.
    • כדי להקצות IdP אחר ליחידה הארגונית או לקבוצה, בוחרים באפשרות פרופיל SSO אחר ואז בוחרים את פרופיל ה-SSO מהתפריט הנפתח.

  5. (פרופילי SSO של SAML בלבד) אחרי שבוחרים פרופיל SAML, בוחרים אפשרות כניסה למשתמשים שנכנסים ישירות לשירות Google בלי להתחבר קודם לספק הזהויות (IdP) של צד שלישי בפרופיל ה-SSO. אפשר לבקש מהמשתמשים את שם המשתמש שלהם ב-Google ואז להפנות אותם אל ה-IdP, או לחייב את המשתמשים להזין את שם המשתמש והסיסמה שלהם ב-Google.

    הערה: אם תבחרו לדרוש מהמשתמשים להזין את שם המשתמש והסיסמה שלהם ב-Google, המערכת תתעלם מההגדרה כתובת ה-URL לשינוי הסיסמה בפרופיל ה-SSO הזה ב-SAML (שזמינה בקטע 'פרופיל SSO' > 'פרטי ספק הזהויות'). כך המשתמשים יוכלו לשנות את הסיסמאות שלהם לחשבון Google לפי הצורך.

  6. לוחצים על שמירה.

  7. (אופציונלי) מקצים פרופילי SSO ליחידות ארגוניות או לקבוצות אחרות לפי הצורך.

אחרי שסוגרים את הכרטיס ניהול הקצאות של פרופיל SSO, רואים את ההקצאות המעודכנות ליחידות ארגוניות ולקבוצות בקטע ניהול הקצאות של פרופיל SSO.

הסרת הקצאה של פרופיל SSO

  1. לוחצים על שם של קבוצה או יחידה ארגונית כדי לפתוח את הגדרות הקצאת הפרופיל.
  2. החלפת הגדרת ההקצאה הקיימת בהגדרה של היחידה הארגונית ברמה העליונה:
    • להקצאות של יחידות ארגוניות – לוחצים על ירושה.
    • למטלות קבוצתיות – לוחצים על ביטול ההגדרה.

הערה: היחידה הארגונית ברמה העליונה תמיד מופיעה ברשימת ההקצאות של הפרופיל, גם אם הפרופיל מוגדר כ'ללא'.

ראו בנוסף


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.