راه اندازی SSO

بسته به نیازهای سازمانتان، می‌توانید SSO را به روش‌های مختلفی با گوگل به عنوان ارائه‌دهنده خدمات خود راه‌اندازی کنید. Google Workspace از SSO مبتنی بر SAML و OIDC پشتیبانی می‌کند.

اگر کاربران شما از URL های سرویس خاص دامنه برای دسترسی به سرویس‌های گوگل استفاده می‌کنند (برای مثال، https://mail.google.com/a/example.com)، می‌توانید نحوه عملکرد این URL ها را با SSO نیز مدیریت کنید .

اگر سازمان شما به تغییر مسیر مشروط SSO بر اساس آدرس IP یا SSO برای مدیران ارشد نیاز دارد، می‌توانید پروفایل SSO قدیمی را نیز پیکربندی کنید .

راه‌اندازی SSO با SAML

قبل از اینکه شروع کنی

برای راه‌اندازی پروفایل SAML SSO، به برخی تنظیمات اولیه از تیم پشتیبانی یا مستندات IdP خود نیاز دارید:

  • شناسه موجودیت IdP : شناسه موجودیت IdP شما هنگام برقراری ارتباط با گوگل، اینگونه شناسایی می‌شود.
  • آدرس اینترنتی صفحه ورود : این آدرس همچنین به عنوان آدرس اینترنتی SSO یا نقطه پایانی SAML 2.0 (HTTP) شناخته می‌شود. این جایی است که کاربران به IdP شما وارد می‌شوند.
  • آدرس صفحه خروج : صفحه‌ای که کاربر پس از خروج از برنامه یا سرویس گوگل به آن وارد می‌شود.
  • تغییر آدرس رمز عبور : صفحه‌ای که کاربران SSO برای تغییر رمز عبور خود به آن مراجعه می‌کنند (به جای تغییر رمز عبور از طریق گوگل).
  • گواهی : گواهی X.509 PEM از IdP شما. این گواهی حاوی کلید عمومی است که ورود به سیستم از IdP را تأیید می‌کند.

الزامات گواهینامه

  • این گواهی باید یک گواهی X.509 با فرمت PEM یا DER به همراه یک کلید عمومی تعبیه شده باشد.
  • کلید عمومی باید با الگوریتم‌های DSA یا RSA تولید شود.
  • کلید عمومی موجود در گواهی باید با کلید خصوصی استفاده شده برای امضای پاسخ SAML مطابقت داشته باشد.

معمولاً این گواهینامه‌ها را از IdP خود دریافت خواهید کرد. با این حال، می‌توانید خودتان نیز آنها را تولید کنید .

ایجاد پروفایل SAML SSO

برای ایجاد یک پروفایل SSO شخص ثالث، این مراحل را دنبال کنید. شما می‌توانید تا ۱۰۰۰ پروفایل در سازمان خود ایجاد کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس SSO با IdP شخص ثالث.

    نیاز به داشتن امتیاز مدیر تنظیمات امنیتی دارد.

  2. در بخش پروفایل‌های SSO شخص ثالث ، روی افزودن پروفایل SAML کلیک کنید.
  3. برای پروفایل SAML SSO ، نام پروفایل را وارد کنید.
  4. (اختیاری) برای ایمیل تکمیل خودکار ، گزینه‌ای را انتخاب کنید که با قالب راهنمای ورود پشتیبانی‌شده توسط IdP شما مطابقت داشته باشد. برای جزئیات بیشتر، به «استفاده از ایمیل تکمیل خودکار برای ساده‌سازی ورود به سیستم SSO» بروید.
  5. در بخش جزئیات IdP ، مراحل زیر را انجام دهید:
    1. شناسه موجودیت IDP ، آدرس اینترنتی صفحه ورود و آدرس اینترنتی صفحه خروج را که از IdP خود دریافت کرده‌اید، وارد کنید.
    2. برای تغییر آدرس رمز عبور ، یک آدرس اینترنتی تغییر رمز عبور برای شناسه کاربری خود وارد کنید. کاربران برای تنظیم مجدد رمز عبور خود به این آدرس اینترنتی مراجعه می‌کنند.

  6. روی آپلود گواهی کلیک کنید.

    شما می‌توانید تا دو گواهی آپلود کنید، که به شما این امکان را می‌دهد که در صورت لزوم گواهی‌ها را تغییر دهید .

  7. روی ذخیره کلیک کنید.

  8. در بخش جزئیات SP ، شناسه موجودیت و آدرس اینترنتی ACS را کپی و ذخیره کنید. برای پیکربندی SSO با گوگل در پنل مدیریت IdP خود به این مقادیر نیاز خواهید داشت.

  9. (اختیاری) اگر IdP شما از رمزگذاری پشتیبانی می‌کند، می‌توانید برای فعال کردن رمزگذاری، یک گواهی با IdP خود ایجاد و به اشتراک بگذارید. هر پروفایل SAML SSO می‌تواند حداکثر ۲ گواهی SP داشته باشد.

    1. برای ورود به حالت ویرایش، روی بخش جزئیات SP کلیک کنید.
    2. برای گواهی SP ، روی «ایجاد گواهی» کلیک کنید.
    3. روی ذخیره کلیک کنید. محتویات گواهی را کپی کنید یا آن را به عنوان یک فایل دانلود کنید.
    4. گواهی را با IdP خود به اشتراک بگذارید.
    5. (اختیاری) برای تغییر یک گواهی، به SP Details برگردید و روی Generate another certificate کلیک کنید، سپس گواهی جدید را با IdP خود به اشتراک بگذارید. پس از اطمینان از اینکه IdP شما از گواهی جدید استفاده می‌کند، گواهی اصلی را حذف کنید.

IdP خود را پیکربندی کنید

برای پیکربندی IdP خود برای استفاده از این پروفایل SSO، اطلاعات بخش جزئیات ارائه دهنده خدمات (SP) پروفایل را در فیلدهای مربوطه در تنظیمات IdP SSO خود وارد کنید. هم URL ACS و هم شناسه موجودیت برای این پروفایل منحصر به فرد هستند.

پیکربندی پروفایل SSO قدیمی

پروفایل SSO قدیمی برای کاربرانی که به پروفایل‌های SSO مهاجرت نکرده‌اند پشتیبانی می‌شود. این پروفایل فقط از استفاده با یک IdP واحد پشتیبانی می‌کند.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس SSO با IdP شخص ثالث.

    نیاز به داشتن امتیاز مدیر تنظیمات امنیتی دارد.

  2. در پروفایل‌های SSO شخص ثالث ، روی افزودن پروفایل SAML کلیک کنید.
  3. در پایین صفحه جزئیات IdP ، روی «برو به تنظیمات پروفایل SSO قدیمی» کلیک کنید.
  4. در صفحه پروفایل Legacy SSO ، گزینه Enable SSO with third-party identity provide r را تیک بزنید.
  5. اطلاعات زیر را برای IdP خود پر کنید:
    • آدرس اینترنتی صفحه ورود و خروج را برای شناسه کاربری خود وارد کنید.

      توجه : همه URL ها باید وارد شوند و باید از HTTPS استفاده کنند، به عنوان مثال https://sso.example.com.

    • روی «بارگذاری گواهی» کلیک کنید و گواهی X.509 ارائه شده توسط IdP خود را پیدا کرده و بارگذاری کنید. برای اطلاعات بیشتر، به «الزامات گواهی» مراجعه کنید.
    • انتخاب کنید که آیا در درخواست SAML از گوگل از صادرکننده‌ی مختص دامنه استفاده شود یا خیر.

      اگر چندین دامنه دارید که از SSO با IdP خود استفاده می‌کنند، از یک صادرکننده خاص دامنه برای شناسایی دامنه صحیح صادرکننده درخواست SAML استفاده کنید.

      • گوگل یک صادرکننده خاص برای دامنه شما ارسال می‌کند : google.com/a/example.com (که example.com نام دامنه اصلی Google Workspace شما است)
      • گوگلِ تیک نخورده، صادرکننده استاندارد را در درخواست SAML ارسال می‌کند: google.com
    • (اختیاری) برای اعمال SSO به مجموعه‌ای از کاربران در محدوده‌های آدرس IP خاص، یک ماسک شبکه وارد کنید. برای اطلاعات بیشتر به نتایج نگاشت شبکه مراجعه کنید.

      توجه: شما همچنین می‌توانید با اختصاص دادن پروفایل SSO به واحدها یا گروه‌های سازمانی خاص، SSO جزئی راه‌اندازی کنید.

    • یک URL برای تغییر رمز عبور IdP خود وارد کنید. کاربران برای تنظیم مجدد رمز عبور خود به این URL (به جای صفحه تغییر رمز عبور گوگل) مراجعه می‌کنند. همه کاربران، به غیر از مدیران ارشد، که سعی در تغییر رمز عبور خود در https://myaccount.google.com/ دارند، به URL ای که شما مشخص می‌کنید هدایت می‌شوند. این تنظیم حتی اگر SSO را فعال نکرده باشید نیز اعمال می‌شود. همچنین، ماسک‌های شبکه اعمال نمی‌شوند.

      توجه: اگر اینجا یک URL وارد کنید، حتی اگر SSO را برای سازمان خود فعال نکرده باشید، کاربران به این صفحه هدایت می‌شوند.

  6. روی ذخیره کلیک کنید.

پس از ذخیره، پروفایل SSO قدیمی در جدول پروفایل‌های SSO فهرست می‌شود.

IdP خود را پیکربندی کنید

برای پیکربندی IdP خود برای استفاده از این پروفایل SSO، اطلاعات بخش جزئیات ارائه دهنده خدمات (SP) پروفایل را در فیلدهای مربوطه در تنظیمات IdP SSO خود وارد کنید. هم URL ACS و هم شناسه موجودیت برای این پروفایل منحصر به فرد هستند.

قالب
آدرس اینترنتی ACS https://accounts.google.com/a/{domain.com }/ acs
که در آن {domain.com} نام دامنه Workspace سازمان شما است.
شناسه نهاد هر یک از موارد زیر:
  • گوگل
  • google.com/a/customerprimarydomain (اگر هنگام پیکربندی نمایه قدیمی، تصمیم به استفاده از یک صادرکننده خاص دامنه دارید).

غیرفعال کردن پروفایل SSO قدیمی

  1. در لیست پروفایل‌های SSO شخص ثالث ، روی پروفایل Legacy SSO کلیک کنید.
  2. در تنظیمات پروفایل Legacy SSO ، تیک گزینه‌ی «فعال کردن SSO با ارائه‌دهنده‌ی هویت شخص ثالث» را بردارید.
  3. تأیید کنید که می‌خواهید ادامه دهید، سپس روی ذخیره کلیک کنید.

در لیست پروفایل‌های SSO ، پروفایل Legacy SSO اکنون به صورت Disabled نمایش داده می‌شود.

  • واحدهای سازمانی که پروفایل Legacy SSO به آنها اختصاص داده شده است، هشداری را در ستون پروفایل اختصاص داده شده نمایش می‌دهند.
  • واحد سازمانی سطح بالا، عبارت «هیچکدام» را در ستون نمایه اختصاص داده شده نمایش خواهد داد.
  • در بخش مدیریت تخصیص‌های پروفایل SSO ، پروفایل Legacy SSO غیرفعال نشان داده می‌شود.

مهاجرت از پروفایل‌های قدیمی SAML به SSO

اگر سازمان شما از پروفایل SSO قدیمی استفاده می‌کند، توصیه می‌کنیم به پروفایل‌های SSO مهاجرت کنید که مزایای متعددی از جمله پشتیبانی از OIDC، APIهای مدرن‌تر و انعطاف‌پذیری بیشتر در اعمال تنظیمات SSO به گروه‌های کاربری شما را ارائه می‌دهند. اطلاعات بیشتر .

راه‌اندازی SSO با OIDC

برای استفاده از SSO مبتنی بر OIDC، این مراحل را دنبال کنید:

  1. یک گزینه OIDC را انتخاب کنید—یا یک پروفایل OIDC سفارشی ایجاد کنید، که در آن اطلاعاتی را برای شریک OIDC خود ارائه می‌دهید، یا از پروفایل OIDC از پیش تنظیم‌شده Microsoft Entra استفاده کنید.
  2. مراحل موجود در بخش «تصمیم بگیرید کدام کاربران باید از SSO استفاده کنند» را برای اختصاص پروفایل OIDC از پیش پیکربندی شده به واحدها/گروه‌های سازمانی انتخاب شده دنبال کنید.

اگر کاربرانی در یک واحد سازمانی (مثلاً در یک واحد زیرمجموعه سازمانی) دارید که به SSO نیاز ندارند ، می‌توانید از طریق تخصیص‌ها، SSO را برای آن کاربران غیرفعال کنید.

توجه: رابط خط فرمان گوگل کلود در حال حاضر از احراز هویت مجدد با OIDC پشتیبانی نمی‌کند.

قبل از اینکه شروع کنی

برای تنظیم یک پروفایل OIDC سفارشی، به برخی تنظیمات اولیه از تیم پشتیبانی یا مستندات IdP خود نیاز دارید:

  • URL صادرکننده، URL کامل سرور احراز هویت IdP.
  • یک کلاینت OAuth که با شناسه کلاینت (Client ID) خود شناسایی و توسط یک رمز کلاینت (Client secret) احراز هویت می‌شود.
  • آدرس اینترنتی تغییر رمز عبور صفحه‌ای که کاربران SSO برای تغییر رمز عبور خود به آن مراجعه می‌کنند (به جای تغییر رمز عبور از طریق گوگل).

همچنین، گوگل برای انجام این کار به IdP شما نیاز دارد:

  • email درخواستی از IdP شما باید با آدرس ایمیل اصلی کاربر در سمت گوگل مطابقت داشته باشد.
  • باید از جریان کد مجوز استفاده کند.

یک پروفایل OIDC سفارشی ایجاد کنید

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس SSO با IdP شخص ثالث.

    نیاز به داشتن امتیاز مدیر تنظیمات امنیتی دارد.

  2. در پروفایل‌های SSO شخص ثالث ، روی افزودن پروفایل OIDC کلیک کنید.
  3. مشخصات OIDC را نام ببرید.
  4. جزئیات OIDC را وارد کنید: شناسه مشتری، نشانی اینترنتی صادرکننده، رمز مشتری.
  5. روی ذخیره کلیک کنید.
  6. در صفحه تنظیمات OIDC SSO برای پروفایل جدید، Redirect URI را کپی کنید. برای پاسخ به درخواست‌ها با استفاده از این URI، باید کلاینت OAuth خود را در IdP به‌روزرسانی کنید.

برای ویرایش تنظیمات، نشانگر ماوس را روی جزئیات OIDC ببرید، سپس روی ویرایش کلیک کنید. .

از پروفایل Microsoft Entra OIDC استفاده کنید

مطمئن شوید که پیش‌نیازهای زیر را برای OIDC در Microsoft Entra ID tenant سازمان خود پیکربندی کرده‌اید:

تصمیم بگیرید کدام کاربران باید از SSO استفاده کنند

با اختصاص یک پروفایل SSO و IdP مرتبط با آن، SSO را برای یک واحد یا گروه سازمانی فعال کنید. یا با اختصاص دادن «هیچکدام» برای پروفایل SSO، SSO را غیرفعال کنید. همچنین می‌توانید یک سیاست SSO ترکیبی را در یک واحد یا گروه سازمانی اعمال کنید، به عنوان مثال SSO را برای کل واحد سازمانی فعال کنید، سپس آن را برای یک واحد فرعی سازمانی غیرفعال کنید.

اگر هنوز پروفایل SAML یا OIDC ایجاد نکرده‌اید، قبل از ادامه این کار را انجام دهید. یا می‌توانید پروفایل OIDC از پیش تنظیم‌شده را اختصاص دهید.

  1. روی مدیریت تخصیص‌های پروفایل SSO کلیک کنید.
  2. اگر این اولین باری است که پروفایل SSO را اختصاص می‌دهید، روی «شروع» کلیک کنید. در غیر این صورت، روی «مدیریت تکالیف» کلیک کنید.
  3. در سمت چپ، واحد یا گروه سازمانی که می‌خواهید نمایه SSO را به آن اختصاص دهید، انتخاب کنید.
    • اگر تخصیص پروفایل SSO برای یک واحد یا گروه سازمانی با تخصیص پروفایل در سطح دامنه شما متفاوت باشد، هنگام انتخاب آن واحد یا گروه سازمانی، یک هشدار لغو نمایش داده می‌شود.
    • شما نمی‌توانید پروفایل SSO را برای هر کاربر اختصاص دهید. نمای کاربران به شما امکان می‌دهد تنظیمات را برای یک کاربر خاص بررسی کنید.
  4. یک پروفایل SSO برای واحد یا گروه سازمانی انتخاب شده انتخاب کنید:
    • برای حذف واحد یا گروه سازمانی از SSO، گزینه None را انتخاب کنید. کاربران در واحد یا گروه سازمانی مستقیماً با گوگل وارد سیستم می‌شوند.
    • برای اختصاص یک IdP دیگر به واحد یا گروه سازمانی، گزینه Another SSO profile را انتخاب کنید، سپس پروفایل SSO را از لیست کشویی انتخاب کنید.

  5. (فقط پروفایل‌های SAML SSO) پس از انتخاب پروفایل SAML، برای کاربرانی که مستقیماً بدون ورود به IdP شخص ثالث پروفایل SSO به یک سرویس گوگل می‌روند، گزینه ورود به سیستم را انتخاب کنید. می‌توانید از کاربران نام کاربری گوگلشان را بخواهید، سپس آنها را به IdP هدایت کنید، یا از کاربران بخواهید نام کاربری و رمز عبور گوگل خود را وارد کنند.

    توجه: اگر تصمیم دارید که کاربران را ملزم به وارد کردن نام کاربری و رمز عبور گوگل خود کنید، تنظیم تغییر آدرس رمز عبور برای این پروفایل SAML SSO (موجود در پروفایل SSO > جزئیات IDP) نادیده گرفته می‌شود. این تضمین می‌کند که کاربران می‌توانند در صورت نیاز رمزهای عبور گوگل خود را تغییر دهند.

  6. روی ذخیره کلیک کنید.

  7. (اختیاری) در صورت نیاز، پروفایل‌های SSO را به سایر واحدها یا گروه‌های سازمانی اختصاص دهید.

پس از بستن کارت مدیریت تخصیص‌های پروفایل SSO ، تخصیص‌های به‌روز شده برای واحدها و گروه‌های سازمانی را در بخش مدیریت تخصیص‌های پروفایل SSO مشاهده خواهید کرد.

حذف یک تخصیص پروفایل SSO

  1. برای باز کردن تنظیمات مربوط به تخصیص پروفایل، روی نام یک گروه یا واحد سازمانی کلیک کنید.
  2. تنظیمات تخصیص موجود را با تنظیمات واحد سازمانی والد جایگزین کنید:
    • برای تخصیص واحدهای سازمانی — روی Inherit کلیک کنید.
    • برای تکالیف گروهی — روی لغو تنظیم کلیک کنید.

توجه : واحد سازمانی ارشد شما همیشه در لیست تخصیص پروفایل وجود دارد، حتی اگر پروفایل روی «هیچ» تنظیم شده باشد.

همچنین ببینید


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.