הגדרת SSO

יש כמה דרכים להגדיר SSO עם Google כספק השירות, בהתאם לצרכים של הארגון. ‫Google Workspace תומך ב-SSO מבוסס SAML וגם ב-SSO מבוסס OIDC.

אם המשתמשים שלכם משתמשים בכתובות URL של שירותים שספציפיות לדומיין כדי לגשת לשירותי Google (לדוגמה, https://mail.google.com/a/example.com), אתם יכולים גם לנהל את אופן הפעולה של כתובות ה-URL האלה עם SSO.

אם הארגון שלכם צריך הפניה מותנית ל-SSO על סמך כתובת IP, או SSO לסופר-אדמינים, יש לכם גם אפשרות להגדיר את פרופיל ה-SSO מדור קודם.

הגדרת SSO באמצעות SAML

לפני שמתחילים

כדי להגדיר פרופיל של כניסה יחידה (SSO) ב-SAML, תצטרכו לבצע הגדרה בסיסית מסוימת בעזרת צוות התמיכה או התיעוד של ספק הזהויות (IdP):

  • מזהה ישות ב-SAML של ה-IdP: כך ה-IdP מזהה את עצמו כשהוא מתקשר עם Google.
  • כתובת ה-URL של דף הכניסה: נקראת גם כתובת ה-URL של הכניסה היחידה או נקודת הקצה של SAML 2.0 ‏(HTTP). כאן המשתמשים נכנסים ל-IdP שלכם.
  • כתובת URL של דף יציאה: הדף שאליו המשתמש מגיע אחרי שהוא יוצא מאפליקציית Google או מהשירות של Google.
  • כתובת ה-URL לשינוי הסיסמה: הדף שאליו משתמשי SSO יועברו כדי לשנות את הסיסמה שלהם (במקום לשנות את הסיסמה שלהם ב-Google).
  • אישור: אישור X.509 PEM מ-IdP. האישור מכיל את המפתח הציבורי שמאמת את הכניסה מספק הזהויות.

דרישות לאישורים

  • האישור צריך להיות אישור X.509 בפורמט PEM או DER עם מפתח ציבורי מוטמע.
  • יש ליצור את המפתח הציבורי באמצעות האלגוריתמים DSA או RSA.
  • המפתח הציבורי באישור חייב להיות זהה למפתח הפרטי שמשמש לחתימה על תגובת SAML.

בדרך כלל מקבלים את האישורים האלה מספק הזהויות (IdP), אבל אפשר גם ליצור אותם בעצמכם.

יצירת פרופיל SAML SSO

כדי ליצור פרופיל SSO של צד שלישי: אתם יכולים ליצור עד 1,000 פרופילים בארגון.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז אימות ואז SSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילים של צד שלישי ל-SSO, לוחצים על הוספת פרופיל SAML.
  3. בשדה פרופיל SSO ב-SAML, מזינים שם לפרופיל.
  4. (אופציונלי) בשדה מילוי אוטומטי של כתובת אימייל, בוחרים באפשרות שמתאימה לפורמט הרמזים להתחברות שנתמך על ידי ספק הזהויות. לפרטים, אפשר לעבור אל שימוש במילוי אוטומטי של כתובת אימייל כדי לפשט את הכניסה באמצעות SSO.
  5. בקטע IdP details (פרטי ספק הזהויות), מבצעים את הפעולות הבאות:
    1. מזינים את מזהה ישות ב-SAML, את כתובת ה-URL של דף הכניסה ואת כתובת ה-URL של דף היציאה שקיבלתם מספק ה-IdP.
    2. בשדה כתובת URL לשינוי סיסמה, מזינים כתובת URL לשינוי סיסמה עבור ספק ה-IdP. המשתמשים יופנו אל כתובת ה-URL הזו כדי לאפס את הסיסמאות שלהם.

  6. לוחצים על העלאת אישור.

    אפשר להעלות עד שני אישורים, וכך יש לכם אפשרות להחליף אישורים כשצריך.

  7. לוחצים על שמירה.

  8. בקטע SP Details, מעתיקים ושומרים את מזהה ישות ב-SAML ואת ACS URL. תצטרכו את הערכים האלה כדי להגדיר SSO עם Google באמצעי בקרה לאדמינים בספק הזהויות (IdP).

  9. (אופציונלי) אם ספק הזהויות תומך בהצפנת טענות נכוֹנוּת (assertion), אתם יכולים ליצור אישור ולשתף אותו עם ספק הזהויות כדי להפעיל הצפנה. בכל פרופיל של SAML SSO יכולים להיות עד 2 אישורי SP.

    1. לוחצים על הקטע פרטי ספק השירות כדי להיכנס למצב עריכה.
    2. בקטע SP certificate (אישור של ספק שירות), לוחצים על Generate certificate (יצירת אישור).
    3. לוחצים על שמירה. מעתיקים את תוכן האישור או מורידים אותו כקובץ.
    4. משתפים את האישור עם ספק הזהויות.
    5. (אופציונלי) כדי להחליף אישור, חוזרים אל פרטי ספק השירות, לוחצים על יצירת אישור נוסף ומשתפים את האישור החדש עם ספק הזהויות. אחרי שמוודאים שספק הזהויות משתמש באישור החדש, מוחקים את האישור המקורי.

הגדרת ספק הזהויות

כדי להגדיר את ספק הזהויות לשימוש בפרופיל ה-SSO הזה, צריך להזין את המידע מהקטע פרטי ספק השירות (SP) בפרופיל בשדות המתאימים בהגדרות ה-SSO של ספק הזהויות. כתובת אתר של ACS ומזהה ישות ב-SAML הם ייחודיים לפרופיל הזה.

הגדרת פרופיל SSO מדור קודם

פרופיל ה-SSO מדור קודם נתמך למשתמשים שלא עברו לפרופילי SSO. הוא תומך בשימוש רק עם ספק זהויות אחד.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז אימות ואז SSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילי SSO של צד שלישי, לוחצים על הוספת פרופיל SAML.
  3. בתחתית הדף פרטי ספק הזהויות, לוחצים על מעבר להגדרות של פרופיל SSO מדור קודם.
  4. בדף פרופיל SSO מדור קודם, מסמנים את התיבה הפעלת SSO עם ספק זהויות של צד שלישי.
  5. ממלאים את הפרטים הבאים של ספק הזהויות:
    • מזינים את כתובת ה-URL של דף הכניסה ואת כתובת ה-URL של דף היציאה של ספק ה-IdP.

      הערה: צריך להזין את כל כתובות ה-URL ולהשתמש ב-HTTPS, לדוגמה https://sso.example.com.

    • לוחצים על העלאת אישור, מאתרים את אישור X.509 שסופק על ידי ספק הזהויות ומעלים אותו. מידע נוסף זמין במאמר בנושא דרישות האישורים.
    • בוחרים אם להשתמש במנפיק ספציפי לדומיין בבקשת SAML מ-Google.

      אם יש לכם כמה דומיינים שמשתמשים בכניסה יחידה (SSO) עם ספק הזהויות (IdP), אתם יכולים להשתמש במנפיק ספציפי לדומיין כדי לזהות את הדומיין הנכון שמנפיק את בקשת SAML.

      • מסומן Google שולחת מנפיק שספציפי לדומיין שלכם: google.com/a/example.com (כאשר example.com הוא שם הדומיין הראשי שלכם ב-Google Workspace)
      • לא מסומן Google שולחת את המנפיק הרגיל בבקשת SAML: ‏ google.com
    • (אופציונלי) כדי להחיל כניסה יחידה על קבוצת משתמשים בטווחים ספציפיים של כתובות IP, מזינים מסכת רשת. מידע נוסף זמין במאמר תוצאות של מיפוי רשת.

      הערה: אפשר גם להגדיר SSO חלקי על ידי הקצאת פרופיל ה-SSO ליחידות ארגוניות או לקבוצות ספציפיות.

    • מזינים כתובת URL לשינוי סיסמה עבור ספק ה-IdP. המשתמשים יעברו לכתובת ה-URL הזו (ולא לדף של Google לשינוי סיסמה) כדי לאפס את הסיסמאות שלהם. כל המשתמשים, מלבד סופר-אדמינים, שמנסים לשנות את הסיסמה שלהם בכתובת https://myaccount.google.com/ יופנו לכתובת ה-URL שתציינו. ההגדרה הזו חלה גם אם לא מפעילים כניסה יחידה (SSO). בנוסף, לא חלות מסכות רשת.

      הערה: אם מזינים כאן כתובת URL, המשתמשים מופנים לדף הזה גם אם לא מפעילים SSO בארגון.

  6. לוחצים על שמירה.

אחרי השמירה, פרופיל ה-SSO מדור קודם מופיע בטבלה פרופילי SSO.

הגדרת ספק הזהויות

כדי להגדיר את ספק הזהויות (IdP) לשימוש בפרופיל ה-SSO הזה, צריך להזין את המידע מהקטע 'פרטי ספק השירות (SP)' בפרופיל בשדות המתאימים בהגדרות ה-SSO של ספק הזהויות. גם כתובת אתר של ACS וגם מזהה ישות ב-SAML ייחודיים לפרופיל הזה.

פורמט
כתובת אתר של ACS ‫https://accounts.google.com/a/{domain.com}/acs
כאשר {domain.com} הוא שם הדומיין של הארגון ב-Workspace
מזהה ישות ב-SAML אחת מהאפשרויות הבאות:
  • google.com
  • ‫google.com/a/customerprimarydomain (אם בחרתם להשתמש במונפק ספציפי לדומיין כשמגדירים את הפרופיל מדור קודם).

השבתת פרופיל SSO מדור קודם

  1. ברשימה פרופילי SSO של צד שלישי, לוחצים על פרופיל SSO מדור קודם.
  2. בהגדרות של פרופיל SSO מדור קודם, מבטלים את הסימון של הפעלת SSO עם ספק זהויות של צד שלישי.
  3. מאשרים שרוצים להמשיך ולוחצים על שמירה.

ברשימה פרופילי SSO, האפשרות פרופיל SSO מדור קודם מופיעה עכשיו כמושבת.

  • ביחידות ארגוניות שהוקצה להן פרופיל SSO מדור קודם תוצג התראה בעמודה פרופיל שהוקצה.
  • ביחידה הארגונית ברמה העליונה יופיע None בעמודה Assigned profile.
  • בקטע ניהול הקצאות של פרופיל SSO, פרופיל ה-SSO מדור קודם מופיע כלא פעיל.

מעבר מ-SAML מדור קודם לפרופילי SSO

אם הארגון שלכם משתמש בפרופיל ה-SSO מדור קודם, מומלץ לעבור לפרופילי SSO. יש להם כמה יתרונות, כולל תמיכה ב-OIDC, ממשקי API מודרניים יותר וגמישות רבה יותר בהחלת הגדרות SSO על קבוצות משתמשים. מידע נוסף

הגדרת כניסה יחידה (SSO) באמצעות OIDC

כדי להשתמש ב-SSO מבוסס OIDC:

  1. בוחרים באפשרות OIDC – אפשר ליצור פרופיל OIDC בהתאמה אישית, שבו מספקים מידע לשותף OIDC, או להשתמש בפרופיל Microsoft Entra OIDC שהוגדר מראש.
  2. פועלים לפי השלבים במאמר החלטה אילו משתמשים צריכים להשתמש ב-SSO כדי להקצות את פרופיל ה-OIDC שהוגדר מראש ליחידות ארגוניות או לקבוצות נבחרות.

אם יש לכם משתמשים ביחידה ארגונית (לדוגמה, ביחידה ארגונית משנית) שלא צריכים SSO, אתם יכולים להשתמש גם בהקצאות כדי להשבית את ה-SSO עבור המשתמשים האלה.

הערה: בשלב הזה, ממשק שורת הפקודה של Google Cloud לא תומך באימות מחדש באמצעות OIDC.

לפני שמתחילים

כדי להגדיר פרופיל OIDC בהתאמה אישית, תצטרכו לבצע כמה הגדרות בסיסיות בעזרת צוות התמיכה או מסמכי התיעוד של ספק הזהויות:

  • כתובת ה-URL של המנפיק: כתובת ה-URL המלאה של שרת ההרשאות של ה-IdP.
  • לקוח OAuth, שמזוהה באמצעות מזהה הלקוח שלו ומאומת באמצעות סוד הלקוח.
  • כתובת ה-URL לשינוי הסיסמה הדף שאליו משתמשי ה-SSO יועברו כדי לשנות את הסיסמה שלהם (במקום לשנות את הסיסמה שלהם ב-Google).

בנוסף, Google צריכה שהספק הזהויות שלכם יעשה את הפעולות הבאות:

  • הטענה email מספק הזהויות (IdP) צריכה להיות זהה לכתובת האימייל הראשית של המשתמש בצד של Google.
  • היא חייבת להשתמש בתהליך הרשאה באמצעות קוד.

יצירת פרופיל OIDC בהתאמה אישית

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז אימות ואז SSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילי SSO של צד שלישי, לוחצים על הוספת פרופיל OIDC.
  3. נותנים שם לפרופיל ה-OIDC.
  4. מזינים את פרטי OIDC: מזהה לקוח, כתובת URL של מנפיק, סוד לקוח.
  5. לוחצים על שמירה.
  6. בדף ההגדרות של פרופיל ה-SSO החדש של OIDC, מעתיקים את URI של ההפניה האוטומטית. תצטרכו לעדכן את לקוח OAuth בספק הזהויות כדי להגיב לבקשות באמצעות ה-URI הזה.

כדי לערוך את ההגדרות, מעבירים את העכבר מעל פרטי OIDC ולוחצים על סמל העריכה .

שימוש בפרופיל Microsoft Entra OIDC

מוודאים שהגדרתם את הדרישות המוקדמות הבאות ל-OIDC בדייר של Microsoft Entra ID בארגון:

קובעים אילו משתמשים צריכים להשתמש בכניסה יחידה (SSO)

מפעילים SSO ליחידה ארגונית או לקבוצה על ידי הקצאת פרופיל SSO וספק IdP משויך. אפשר גם להשבית את ה-SSO על ידי הקצאת הערך 'None' (ללא) לפרופיל ה-SSO. אפשר גם להחיל מדיניות SSO מעורבת בתוך יחידה ארגונית או קבוצה. לדוגמה, אפשר להפעיל SSO עבור היחידה הארגונית כולה, ואז להשבית אותו עבור יחידה ארגונית משנית.

אם לא יצרתם פרופיל SAML או OIDC, תצטרכו לעשות זאת לפני שתמשיכו. אפשר גם להקצות את פרופיל ה-OIDC שהוגדר מראש.

  1. לוחצים על ניהול הקצאות של פרופיל SSO.
  2. אם זו הפעם הראשונה שאתם מקצים את פרופיל ה-SSO, לוחצים על 'תחילת העבודה'. אחרת, לוחצים על ניהול מטלות.
  3. בצד ימין, בוחרים את היחידה הארגונית או הקבוצה שרוצים להקצות להן את פרופיל ה-SSO.
    • אם הקצאת פרופיל ה-SSO ליחידה ארגונית או לקבוצה שונה מהקצאת הפרופיל ברמת הדומיין, תוצג אזהרה על ביטול כשתבחרו את היחידה הארגונית או הקבוצה.
    • אי אפשר להקצות את פרופיל ה-SSO על בסיס משתמש. בתצוגת המשתמשים אפשר לבדוק את ההגדרה של משתמש ספציפי.
  4. בוחרים הקצאת פרופיל SSO ליחידה הארגונית או לקבוצה שנבחרו:
    • כדי להחריג את היחידה הארגונית או הקבוצה מ-SSO, בוחרים באפשרות ללא. המשתמשים ביחידה הארגונית או בקבוצה ייכנסו ישירות דרך Google.
    • כדי להקצות IdP אחר ליחידה הארגונית או לקבוצה, בוחרים באפשרות פרופיל SSO אחר ואז בוחרים את פרופיל ה-SSO מהתפריט הנפתח.

  5. (פרופילים של כניסה יחידה (SSO) ב-SAML בלבד) אחרי שבוחרים פרופיל SAML, בוחרים אפשרות כניסה למשתמשים שנכנסים ישירות לשירות Google בלי להתחבר קודם לספק הזהויות (IdP) של צד שלישי בפרופיל ה-SSO. אפשר לבקש מהמשתמשים את שם המשתמש שלהם ב-Google, ואז להפנות אותם אוטומטית לספק הזהויות, או לדרוש מהמשתמשים להזין את שם המשתמש והסיסמה שלהם ב-Google.

    הערה: אם תבחרו לדרוש מהמשתמשים להזין את שם המשתמש והסיסמה שלהם ב-Google, המערכת תתעלם מההגדרה כתובת ה-URL לשינוי הסיסמה בפרופיל ה-SSO של SAML (שזמינה בקטע 'פרופיל SSO' > 'פרטי ספק הזהויות'). כך המשתמשים יוכלו לשנות את הסיסמאות שלהם לחשבון Google לפי הצורך.

  6. לוחצים על שמירה.

  7. (אופציונלי) מקצים פרופילי SSO ליחידות ארגוניות או לקבוצות אחרות לפי הצורך.

אחרי שסוגרים את הכרטיס ניהול הקצאות של פרופיל SSO, ההקצאות המעודכנות של היחידות הארגוניות והקבוצות מוצגות בקטע ניהול הקצאות של פרופיל SSO.

הסרת הקצאה של פרופיל SSO

  1. לוחצים על שם של קבוצה או יחידה ארגונית כדי לפתוח את הגדרות הקצאת הפרופיל.
  2. מחליפים את הגדרת ההקצאה הקיימת בהגדרה של היחידה הארגונית שמוגדרת ברמה עליונה:
    • להקצאות של יחידות ארגוניות – לוחצים על ירושה.
    • כדי לבטל את ההקצאה לקבוצה, לוחצים על ביטול ההגדרה.

הערה: היחידה הארגונית ברמה העליונה תמיד מופיעה ברשימת ההקצאות של הפרופיל, גם אם הפרופיל מוגדר כ'ללא'.

מידע נוסף


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.