Thiết lập tính năng Đăng nhập một lần (SSO)

Bạn có thể thiết lập dịch vụ đăng nhập một lần (SSO) với Google là nhà cung cấp dịch vụ theo nhiều cách, tuỳ thuộc vào nhu cầu của tổ chức. Google Workspace hỗ trợ cả dịch vụ SSO dựa trên SAML và SSO dựa trên OIDC.

Nếu người dùng sử dụng URL dịch vụ dành riêng cho miền để truy cập vào các dịch vụ của Google (ví dụ: https://mail.google.com/a/example.com), bạn cũng có thể quản lý cách các URL này hoạt động với dịch vụ SSO.

Nếu tổ chức của bạn cần chuyển hướng có điều kiện bằng dịch vụ SSO dựa trên địa chỉ IP hoặc dịch vụ SSO cho quản trị viên cấp cao, bạn cũng có thể định cấu hình cấu hình SSO cũ profile.

Thiết lập dịch vụ SSO bằng SAML

Trước khi bắt đầu

Để thiết lập cấu hình SSO dựa trên SAML, bạn cần có một số thông tin định cấu hình cơ bản từ nhóm hỗ trợ hoặc tài liệu của IdP:

  • Mã nhận dạng thực thể của IdP: Đây là cách IdP xác định chính mình khi giao tiếp với Google.
  • URL trang đăng nhập: URL này còn được gọi là URL SSO hoặc Điểm cuối SAML 2.0 (HTTP). Đây là nơi người dùng đăng nhập vào IdP của bạn.
  • URL trang đăng xuất: Trang mà người dùng truy cập sau khi thoát khỏi ứng dụng hoặc dịch vụ của Google.
  • URL thay đổi mật khẩu: Trang mà người dùng SSO sẽ truy cập để thay đổi mật khẩu (thay vì thay đổi mật khẩu bằng Google).
  • Chứng chỉ: Chứng chỉ X.509 PEM từ IdP của bạn. Chứng chỉ này chứa khoá công khai dùng để xác minh quá trình đăng nhập từ IdP.

Yêu cầu về chứng chỉ

  • Chứng chỉ phải là chứng chỉ X.509 có định dạng PEM hoặc DER và chứa một khoá công khai được nhúng.
  • Khóa công cộng phải được tạo bằng thuật toán DSA hoặc RSA.
  • Khoá công khai trong chứng chỉ phải khớp với khoá riêng tư dùng để ký phản hồi SAML.

Thông thường, bạn sẽ nhận được các chứng chỉ này từ IdP. Tuy nhiên, bạn cũng có thể tự tạo các chứng chỉ này.

Tạo cấu hình SSO dựa trên SAML

Hãy làm theo các bước sau để tạo cấu hình SSO của bên thứ ba. Bạn có thể tạo tối đa 1.000 cấu hình trong tổ chức của mình.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Xác thực sau đó Đăng nhập một lần (SSO) thông qua IdP bên thứ ba.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. Trong mục Cấu hình SSO của bên thứ ba, hãy nhấp vào Thêm cấu hình SAML.
  3. Đối với Cấu hình SSO dựa trên SAML, hãy nhập tên cấu hình.
  4. (Không bắt buộc) Đối với Tự động điền email, hãy chọn tuỳ chọn phù hợp với định dạng gợi ý đăng nhập được IdP của bạn hỗ trợ. Để biết thông tin chi tiết, hãy chuyển đến phần Sử dụng tính năng Tự động điền email để đơn giản hoá quy trình đăng nhập một lần.
  5. Trong mục Thông tin chi tiết về IdP, hãy hoàn tất các bước sau:
    1. Nhập mã nhận dạng thực thể của IdP, URL trang đăng nhậpURL trang đăng xuất mà bạn nhận được từ IdP.
    2. Đối với URL thay đổi mật khẩu, hãy nhập URL thay đổi mật khẩu cho IdP của bạn. Người dùng sẽ truy cập vào URL này để đặt lại mật khẩu.

  6. Nhấp vào Tải chứng chỉ lên.

    Bạn có thể tải tối đa 2 chứng chỉ lên, cho phép bạn có tùy chọn để luân phiên chứng chỉ khi cần.

  7. Nhấp vào Lưu.

  8. Trong mục Thông tin chi tiết về SP, hãy sao chép và lưu mã nhận dạng thực thểURL ACS. Bạn cần có các giá trị này để định cấu hình dịch vụ Đăng nhập một lần (SSO) bằng Google trong bảng điều khiển quyền kiểm soát của quản trị viên IdP (nhà cung cấp danh tính).

  9. (Không bắt buộc) Nếu IdP của bạn hỗ trợ mã hoá câu nhận định, bạn có thể tạo và chia sẻ chứng chỉ với IdP để bật tính năng mã hoá. Mỗi cấu hình SSO dựa trên SAML có thể có tối đa 2 chứng chỉ SP.

    1. Nhấp vào mục Thông tin chi tiết về SP để chuyển sang chế độ chỉnh sửa.
    2. Đối với Chứng chỉ SP, hãy nhấp vào Tạo chứng chỉ.
    3. Nhấp vào Lưu. Sao chép nội dung chứng chỉ hoặc tải chứng chỉ xuống dưới dạng tệp.
    4. Chia sẻ chứng chỉ với IdP của bạn.
    5. (Không bắt buộc) Để luân phiên chứng chỉ, hãy quay lại phần Thông tin chi tiết về SP rồi nhấp vào Tạo chứng chỉ khác, sau đó chia sẻ chứng chỉ mới với IdP của bạn. Sau khi bạn chắc chắn rằng IdP đang sử dụng chứng chỉ mới, hãy xoá chứng chỉ gốc.

Định cấu hình IdP

Để định cấu hình IdP sử dụng cấu hình SSO này, hãy nhập thông tin từ mục Thông tin chi tiết về nhà cung cấp dịch vụ (SP) của cấu hình vào các trường thích hợp trong phần cài đặt SSO của IdP. Cả URL ACS và mã nhận dạng thực thể đều là duy nhất đối với cấu hình này.

Định cấu hình cấu hình SSO cũ

Cấu hình SSO cũ được hỗ trợ cho những người dùng chưa di chuyển sang cấu hình SSO. Cấu hình này chỉ hỗ trợ việc sử dụng với một IdP.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Xác thực sau đó Đăng nhập một lần (SSO) thông qua IdP bên thứ ba.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. Trong phần Cấu hình SSO của bên thứ ba, hãy nhấp vào Thêm cấu hình SAML.
  3. Ở cuối trang Thông tin chi tiết về IdP, hãy nhấp vào Chuyển đến phần cài đặt cấu hình SSO cũ.
  4. Trên trang Cấu hình SSO cũ, hãy đánh dấu vào hộp Bật dịch vụ SSO với nhà cung cấp danh tính bên thứ ba.
  5. Điền thông tin sau cho IdP của bạn:
    • Nhập URL trang đăng nhậpURL trang đăng xuất cho IdP của bạn.

      Lưu ý: Bạn phải nhập tất cả URL và sử dụng HTTPS, ví dụ: https://sso.example.com.

    • Nhấp vào Tải chứng chỉ lên rồi tìm và tải chứng chỉ X.509 do IdP của bạn cung cấp lên. Để biết thêm thông tin, hãy xem phần Yêu cầu về chứng chỉ.
    • Chọn xem có sử dụng tổ chức phát hành dành riêng cho miền trong yêu cầu SAML từ Google hay không.

      Nếu bạn có nhiều miền sử dụng dịch vụ Đăng nhập một lần (SSO) với IdP (nhà cung cấp danh tính), hãy sử dụng tổ chức phát hành dành riêng cho miền để xác định miền chính xác phát hành yêu cầu SAML.

      • Đã đánh dấu Google gửi một tổ chức phát hành dành riêng cho miền của bạn: google.com/a/example.com (trong đó example.com là tên miền chính của Google Workspace)
      • Chưa đánh dấu Google gửi tổ chức phát hành tiêu chuẩn trong yêu cầu SAML: google.com
    • (Không bắt buộc) Để áp dụng dịch vụ SSO cho một nhóm người dùng trong các dải địa chỉ IP cụ thể, hãy nhập mặt nạ mạng. Để biết thêm thông tin, hãy xem phần Kết quả ánh xạ mạng.

      Lưu ý: Bạn cũng có thể thiết lập dịch vụ SSO một phần bằng cách chỉ định cấu hình SSO cho các nhóm hoặc đơn vị tổ chức cụ thể.

    • Nhập URL thay đổi mật khẩu cho IdP của bạn. Người dùng sẽ truy cập vào URL này (thay vì trang thay đổi mật khẩu của Google) để đặt lại mật khẩu. Tất cả người dùng (ngoại trừ quản trị viên cấp cao) cố gắng thay đổi mật khẩu tại https://myaccount.google.com/ sẽ được chuyển hướng đến URL mà bạn chỉ định. Chế độ cài đặt này áp dụng ngay cả khi bạn không bật dịch vụ SSO. Ngoài ra, mặt nạ mạng không áp dụng.

      Lưu ý: Nếu bạn nhập URL tại đây, người dùng sẽ được chuyển hướng đến trang này ngay cả khi bạn không bật dịch vụ SSO cho tổ chức của mình.

  6. Nhấp vào Lưu.

Sau khi lưu, cấu hình SSO cũ sẽ được liệt kê trong bảng Cấu hình SSO.

Định cấu hình IdP

Để định cấu hình IdP sử dụng cấu hình SSO này, hãy nhập thông tin từ mục Thông tin chi tiết về nhà cung cấp dịch vụ (SP) của cấu hình vào các trường thích hợp trong phần cài đặt SSO của IdP. Cả URL ACS và mã nhận dạng thực thể đều là duy nhất đối với cấu hình này.

Định dạng
URL ACS https://accounts.google.com/a/{domain.com}/acs
Trong đó {domain.com} là tên miền Workspace của tổ chức
Mã nhận dạng thực thể Một trong những mã sau:
  • google.com
  • google.com/a/customerprimarydomain (nếu bạn chọn sử dụng tổ chức phát hành dành riêng cho miền khi định cấu hình cấu hình cũ).

Tắt cấu hình SSO cũ

  1. Trong danh sách Cấu hình SSO của bên thứ ba, hãy nhấp vào Cấu hình SSO cũ.
  2. Trong phần cài đặt Cấu hình SSO cũ, hãy bỏ đánh dấu vào Bật dịch vụ SSO với nhà cung cấp dịch vụ danh tính bên thứ ba.
  3. Xác nhận rằng bạn muốn tiếp tục, sau đó nhấp vào Lưu.

Trong danh sách Cấu hình SSO, Cấu hình SSO cũ hiện hiển thị là Đã tắt.

  • Các đơn vị tổ chức được chỉ định cấu hình SSO cũ sẽ hiển thị một cảnh báo trong cột Cấu hình được chỉ định.
  • Đơn vị tổ chức cấp cao nhất sẽ hiển thị Không có trong cột Cấu hình được chỉ định.
  • Trong phần Quản lý số lượt chỉ định cấu hình SSO, cấu hình SSO cũ hiển thị là không hoạt động.

Di chuyển từ SAML cũ sang cấu hình SSO

Nếu tổ chức của bạn đang sử dụng cấu hình SSO cũ, bạn nên di chuyển sang cấu hình SSO. Cấu hình này có một số ưu điểm, bao gồm hỗ trợ OIDC, API hiện đại hơn và tính linh hoạt cao hơn trong việc áp dụng chế độ cài đặt SSO cho các nhóm người dùng. Tìm hiểu thêm.

Thiết lập dịch vụ SSO bằng OIDC

Hãy làm theo các bước sau để sử dụng dịch vụ SSO dựa trên OIDC:

  1. Chọn một tuỳ chọn OIDC – tạo cấu hình OIDC tuỳ chỉnh (trong đó bạn cung cấp thông tin cho đối tác OIDC) hoặc sử dụng cấu hình OIDC Microsoft Entra được định cấu hình sẵn.
  2. Làm theo các bước trong phần Quyết định người dùng nào nên sử dụng dịch vụ SSO để chỉ định cấu hình OIDC được định cấu hình sẵn cho các nhóm/đơn vị tổ chức đã chọn.

Nếu có người dùng trong một đơn vị tổ chức (ví dụ: trong một đơn vị tổ chức phụ) mà họ không cần dịch vụ SSO, bạn cũng có thể sử dụng tính năng chỉ định để tắt dịch vụ SSO cho những người dùng đó.

Lưu ý: Giao diện dòng lệnh của Google Cloud hiện không hỗ trợ xác thực lại bằng OIDC.

Trước khi bắt đầu

Để thiết lập cấu hình OIDC tuỳ chỉnh, bạn cần có một số thông tin định cấu hình cơ bản từ nhóm hỗ trợ hoặc tài liệu của IdP:

  • URL của tổ chức phát hành URL hoàn chỉnh của máy chủ uỷ quyền IdP (nhà cung cấp danh tính).
  • Một ứng dụng OAuth, được xác định bằng Mã ứng dụng khách và được xác thực bằng Khoá bí mật của ứng dụng khách.
  • URL thay đổi mật khẩu Trang mà người dùng SSO sẽ truy cập để thay đổi mật khẩu (thay vì thay đổi mật khẩu bằng Google).

Ngoài ra, Google cần IdP của bạn thực hiện việc này:

  • Yêu cầu khai báo email từ IdP của bạn phải khớp với địa chỉ email chính của người dùng trên Google.
  • Yêu cầu này phải sử dụng quy trình sử dụng mã uỷ quyền.

Tạo cấu hình OIDC tuỳ chỉnh

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Xác thực sau đó Đăng nhập một lần (SSO) thông qua IdP bên thứ ba.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. Trong phần Cấu hình SSO của bên thứ ba, hãy nhấp vào Thêm cấu hình OIDC.
  3. Đặt tên cho cấu hình OIDC.
  4. Nhập thông tin chi tiết về OIDC: Mã ứng dụng khách, URL của nhà phát hành, Khoá bí mật của ứng dụng khách.
  5. Nhấp vào Lưu.
  6. Trên trang cài đặt SSO OIDC cho cấu hình mới, hãy sao chép URI chuyển hướng. Bạn cần cập nhật ứng dụng OAuth trên IdP để phản hồi các yêu cầu bằng URI này.

Để chỉnh sửa chế độ cài đặt, hãy di chuột qua Thông tin chi tiết về OIDC, sau đó nhấp vào Chỉnh sửa .

Sử dụng cấu hình OIDC Microsoft Entra

Đảm bảo bạn đã định cấu hình các điều kiện tiên quyết sau đây cho OIDC trong đối tượng thuê Microsoft Entra ID của tổ chức:

  • Đối tượng thuê Microsoft Entra ID cần được xác minh miền.
  • Người dùng cuối phải có giấy phép Microsoft 365.
  • Tên người dùng (email chính) của quản trị viên Google Workspace chỉ định cấu hình SSO phải khớp với địa chỉ email chính của tài khoản quản trị viên đối tượng thuê Azure AD.

Quyết định người dùng nào nên sử dụng dịch vụ SSO

Bật dịch vụ SSO cho một nhóm hoặc đơn vị tổ chức bằng cách chỉ định cấu hình SSO và IdP được liên kết. Hoặc tắt dịch vụ SSO bằng cách chỉ định "Không có" cho cấu hình SSO. Bạn cũng có thể áp dụng chính sách SSO hỗn hợp trong một nhóm hoặc đơn vị tổ chức, ví dụ: bật dịch vụ SSO cho toàn bộ đơn vị tổ chức, sau đó tắt dịch vụ này cho một đơn vị tổ chức phụ.

Nếu bạn chưa tạo cấu hình SAML hoặc OIDC, hãy tạo cấu hình đó trước khi tiếp tục. Hoặc bạn có thể chỉ định cấu hình OIDC được định cấu hình sẵn.

  1. Nhấp vào Quản lý số lượt chỉ định cấu hình SSO.
  2. Nếu đây là lần đầu tiên bạn chỉ định cấu hình SSO, hãy nhấp vào Bắt đầu. Nếu không, hãy nhấp vào Quản lý lượt chỉ định.
  3. Ở bên trái, hãy chọn nhóm hoặc đơn vị tổ chức mà bạn đang chỉ định cấu hình SSO.
    • Nếu lượt chỉ định cấu hình SSO cho một nhóm hoặc đơn vị tổ chức khác với lượt chỉ định cấu hình trên toàn miền, thì một cảnh báo ghi đè sẽ xuất hiện khi bạn chọn nhóm hoặc đơn vị tổ chức đó.
    • Bạn không thể chỉ định cấu hình SSO trên cơ sở từng người dùng. Chế độ xem Người dùng cho phép bạn kiểm tra chế độ cài đặt cho một người dùng cụ thể.
  4. Chọn lượt chỉ định cấu hình SSO cho nhóm hoặc đơn vị tổ chức đã chọn:
    • Để loại trừ nhóm hoặc đơn vị tổ chức khỏi dịch vụ SSO, hãy chọn Không có. Người dùng trong nhóm hoặc đơn vị tổ chức sẽ đăng nhập trực tiếp bằng Google.
    • Để chỉ định một IdP khác cho nhóm hoặc đơn vị tổ chức, hãy chọn Cấu hình SSO khác, sau đó chọn cấu hình SSO trong danh sách thả xuống.

  5. (Chỉ cấu hình SSO dựa trên SAML) Sau khi chọn cấu hình SAML, hãy chọn một tuỳ chọn đăng nhập cho những người dùng truy cập trực tiếp vào một dịch vụ của Google mà không đăng nhập trước vào IdP bên thứ ba của cấu hình SSO. Bạn có thể nhắc người dùng nhập tên người dùng Google của họ, sau đó chuyển hướng họ đến IdP hoặc yêu cầu người dùng nhập tên người dùng và mật khẩu Google.

    Lưu ý: Nếu bạn chọn yêu cầu người dùng nhập tên người dùng và mật khẩu Google, thì chế độ cài đặt URL thay đổi mật khẩu cho cấu hình SSO dựa trên SAML này (có trong phần Cấu hình SSO > Thông tin chi tiết về IdP) sẽ bị bỏ qua. Điều này đảm bảo rằng người dùng có thể thay đổi mật khẩu Google khi cần.

  6. Nhấp vào Lưu.

  7. (Không bắt buộc) Chỉ định cấu hình SSO cho các nhóm hoặc đơn vị tổ chức khác khi cần.

Sau khi đóng thẻ Quản lý số lượt chỉ định cấu hình SSO, bạn sẽ thấy các lượt chỉ định đã cập nhật cho các nhóm và đơn vị tổ chức trong mục Quản lý số lượt chỉ định cấu hình SSO.

Xoá lượt chỉ định cấu hình SSO

  1. Nhấp vào tên nhóm hoặc đơn vị tổ chức để mở phần cài đặt chỉ định cấu hình.
  2. Thay thế chế độ cài đặt chỉ định hiện có bằng chế độ cài đặt đơn vị tổ chức gốc:
    • Đối với lượt chỉ định đơn vị tổ chức – nhấp vào Kế thừa.
    • Đối với lượt chỉ định nhóm – nhấp vào Huỷ đặt.

Lưu ý: Đơn vị tổ chức cấp cao nhất của bạn luôn có trong danh sách chỉ định cấu hình, ngay cả khi Cấu hình được đặt thành Không có.

Xem thêm


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.