הגדרת SSO

יש כמה דרכים להגדיר SSO עם Google כספק השירות, בהתאם לצרכים של הארגון. ‫Google Workspace תומך ב-SSO מבוסס SAML וגם ב-SSO מבוסס OIDC.

אם המשתמשים שלכם משתמשים בכתובות URL של שירותים הספציפיות לדומיין כדי לגשת לשירותי Google (לדוגמה, https://mail.google.com/a/example.com), אתם יכולים גם לנהל את אופן הפעולה של כתובות ה-URL האלה עם SSO.

אם הארגון שלכם צריך הפניה מותנית ל-SSO על סמך כתובת IP, או SSO לסופר-אדמינים, יש לכם גם אפשרות להגדיר את פרופיל ה-SSO מדור קודם.

הגדרת SSO באמצעות SAML

לפני שמתחילים

כדי להגדיר פרופיל של SAML SSO, תצטרכו לבצע הגדרה בסיסית בעזרת צוות התמיכה או התיעוד של ספק הזהויות (IdP):

  • מזהה ישות ב-IdP: כך ה-IdP מזהה את עצמו כשהוא מתקשר עם Google.
  • כתובת ה-URL של דף הכניסה: נקראת גם כתובת ה-URL של הכניסה היחידה (SSO) או נקודת הקצה של SAML 2.0 ‏(HTTP). כאן המשתמשים נכנסים לספק הזהויות שלכם.
  • כתובת ה-URL של דף היציאה: הדף שאליו המשתמש מגיע אחרי שהוא יוצא מהאפליקציה או מהשירות של Google.
  • כתובת ה-URL לשינוי הסיסמה: הדף שאליו משתמשי SSO יועברו כדי לשנות את הסיסמה שלהם (במקום לשנות את הסיסמה שלהם ב-Google).
  • אישור: אישור X.509 PEM מ-IdP. האישור מכיל את המפתח הציבורי שמאמת את הכניסה מספק הזהויות.

דרישות לאישורים

  • האישור צריך להיות אישור X.509 בפורמט PEM או DER עם מפתח ציבורי מוטמע.
  • המפתח הציבורי צריך להיווצר באמצעות אלגוריתמי DSA או RSA.
  • המפתח הציבורי באישור חייב להיות זהה למפתח הפרטי שמשמש לחתימה על תגובת SAML.

בדרך כלל מקבלים את האישורים האלה מ-IdP. עם זאת, אפשר גם ליצור אותם בעצמכם.

יצירת פרופיל SAML SSO

כדי ליצור פרופיל SSO של צד שלישי: אתם יכולים ליצור עד 1,000 פרופילים בארגון.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזSSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילים של צד שלישי ל-SSO, לוחצים על הוספת פרופיל SAML.
  3. בשדה פרופיל SSO ב-SAML, מזינים שם לפרופיל.
  4. (אופציונלי) באפשרות מילוי אוטומטי של כתובת האימייל, בוחרים את האפשרות שמתאימה לפורמט הרמזים להתחברות שנתמך על ידי ספק ה-IdP. פרטים נוספים מופיעים במאמר בנושא שימוש במילוי אוטומטי של כתובת אימייל כדי לפשט את הכניסה באמצעות SSO.
  5. בקטע פרטי ספק הזהויות, מבצעים את הפעולות הבאות:
    1. מזינים את מזהה הישות ב-IdP, את כתובת ה-URL של דף הכניסה ואת כתובת ה-URL של דף היציאה שקיבלתם מה-IdP.
    2. בשדה כתובת URL לשינוי סיסמה, מזינים כתובת URL לשינוי סיסמה עבור ספק ה-IdP. המשתמשים יופנו אל כתובת ה-URL הזו כדי לאפס את הסיסמאות שלהם.

  6. לוחצים על העלאת אישור.

    אפשר להעלות עד שני אישורים, וכך יש לכם אפשרות להחליף אישורים כשצריך.

  7. לוחצים על שמירה.

  8. בקטע SP Details (פרטי ספק השירות), מעתיקים ושומרים את Entity ID (מזהה הישות) ואת ACS URL (כתובת ה-URL של ACS). תצטרכו את הערכים האלה כדי להגדיר כניסה יחידה (SSO) עם Google בלוח הבקרה של ספק הזהויות (IdP).

  9. (אופציונלי) אם ה-IdP שלכם תומך בהצפנת טענות נכוֹנוּת (assertion), אתם יכולים ליצור אישור ולשתף אותו עם ה-IdP כדי להפעיל הצפנה. בכל פרופיל SAML SSO יכולים להיות עד 2 אישורי SP.

    1. לוחצים על הקטע פרטי ספק השירות כדי להיכנס למצב עריכה.
    2. בקטע SP certificate (אישור של ספק שירות), לוחצים על Generate certificate (יצירת אישור).
    3. לוחצים על שמירה. מעתיקים את התוכן של האישור או מורידים אותו כקובץ.
    4. משתפים את האישור עם ספק הזהויות.
    5. (אופציונלי) כדי להחליף אישור, חוזרים אל פרטי ספק השירות, לוחצים על יצירת אישור נוסף ומשתפים את האישור החדש עם ספק הזהויות. אחרי שמוודאים שספק הזהויות משתמש באישור החדש, מוחקים את האישור המקורי.

הגדרת ספק הזהויות

כדי להגדיר את ספק הזהויות (IdP) לשימוש בפרופיל ה-SSO הזה, מזינים את המידע מהקטע פרטי ספק השירות (SP) בפרופיל בשדות המתאימים בהגדרות ה-SSO של ספק הזהויות. גם כתובת ה-URL של ACS וגם מזהה הישות ייחודיים לפרופיל הזה.

הגדרת פרופיל SSO מדור קודם

פרופיל ה-SSO מדור קודם נתמך למשתמשים שלא עברו לפרופילי SSO. הוא תומך רק בשימוש עם ספק זהויות יחיד.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזSSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילי SSO של צד שלישי, לוחצים על הוספת פרופיל SAML.
  3. בתחתית הדף פרטי ספק הזהויות, לוחצים על מעבר להגדרות של פרופיל SSO מדור קודם.
  4. בדף פרופיל SSO מדור קודם, מסמנים את התיבה הפעלת SSO עם ספק זהויות של צד שלישי.
  5. ממלאים את הפרטים הבאים של ספק הזהויות:
    • מזינים את כתובת ה-URL של דף הכניסה ואת כתובת ה-URL של דף היציאה של ספק ה-IdP.

      הערה: צריך להזין את כל כתובות ה-URL ולהשתמש ב-HTTPS, לדוגמה https://sso.example.com.

    • לוחצים על העלאת אישור, מאתרים את אישור X.509 שסופק על ידי ספק הזהויות ומעלים אותו. מידע נוסף זמין במאמר בנושא דרישות האישורים.
    • בוחרים אם להשתמש במנפיק ספציפי לדומיין בבקשת SAML מ-Google.

      אם יש לכם כמה דומיינים שמשתמשים ב-SSO עם ספק הזהויות שלכם, אתם יכולים להשתמש במנפיק ספציפי לדומיין כדי לזהות את הדומיין הנכון שמנפיק את בקשת SAML.

      • מסומן Google שולחת מנפיק שספציפי לדומיין שלכם: google.com/a/example.com (כאשר example.com הוא שם הדומיין הראשי שלכם ב-Google Workspace)
      • Unchecked Google sends the standard issuer in the SAML request: google.com
    • (אופציונלי) כדי להחיל SSO על קבוצת משתמשים בטווחים ספציפיים של כתובות IP, מזינים מסיכת רשת. מידע נוסף זמין במאמר בנושא תוצאות של מיפוי רשת.

      הערה: אפשר גם להגדיר SSO חלקי על ידי הקצאת פרופיל ה-SSO ליחידות ארגוניות או לקבוצות ספציפיות.

    • מזינים כתובת URL לשינוי סיסמה עבור ספק ה-IdP. המשתמשים יעברו לכתובת ה-URL הזו (ולא לדף של Google לשינוי סיסמה) כדי לאפס את הסיסמאות שלהם. כל המשתמשים, למעט סופר-אדמינים, שמנסים לשנות את הסיסמה שלהם בכתובת https://myaccount.google.com/ יופנו לכתובת ה-URL שציינתם. ההגדרה הזו חלה גם אם לא הפעלתם כניסה יחידה (SSO). בנוסף, לא חלות מסכות רשת.

      הערה: אם מזינים כאן כתובת URL, המשתמשים מופנים לדף הזה גם אם לא מפעילים SSO בארגון.

  6. לוחצים על שמירה.

אחרי השמירה, פרופיל ה-SSO מדור קודם מופיע בטבלה פרופילי SSO.

הגדרת ספק הזהויות

כדי להגדיר את ספק הזהויות (IdP) לשימוש בפרופיל ה-SSO הזה, צריך להזין את המידע מהקטע 'פרטי ספק השירות (SP)' בפרופיל בשדות המתאימים בהגדרות ה-SSO של ספק הזהויות. גם כתובת ה-URL של ACS וגם מזהה הישות ייחודיים לפרופיל הזה.

אופן הלימוד
כתובת URL של ACS https://accounts.google.com/a/{domain.com}/acs
כאשר {domain.com} הוא שם הדומיין של הארגון ב-Workspace
מזהה ישות אחת מהאפשרויות הבאות:
  • google.com
  • ‫google.com/a/customerprimarydomain (אם בחרתם להשתמש במונפק ספציפי לדומיין כשמגדירים את הפרופיל מדור קודם).

השבתת פרופיל SSO מדור קודם

  1. ברשימה פרופילי SSO של צד שלישי, לוחצים על פרופיל SSO מדור קודם.
  2. בהגדרות של פרופיל SSO מדור קודם, מבטלים את הסימון של הפעלת SSO עם ספק זהויות של צד שלישי.
  3. מאשרים שרוצים להמשיך ולוחצים על שמירה.

ברשימה פרופילי SSO, פרופיל ה-SSO מדור קודם מופיע עכשיו כמושבת.

  • ביחידות ארגוניות שהוקצה להן פרופיל SSO מדור קודם תוצג התראה בעמודה פרופיל שהוקצה.
  • ביחידה הארגונית ברמה העליונה יופיע None בעמודה Assigned profile.
  • בקטע ניהול הקצאות של פרופיל SSO, פרופיל ה-SSO מדור קודם מופיע כלא פעיל.

מעבר מ-SAML מדור קודם לפרופילי SSO

אם הארגון שלכם משתמש בפרופיל ה-SSO מדור קודם, מומלץ לעבור לפרופילי SSO. יש להם כמה יתרונות, כולל תמיכה ב-OIDC, ממשקי API מודרניים יותר וגמישות רבה יותר בהחלת הגדרות SSO על קבוצות משתמשים. מידע נוסף

הגדרת כניסה יחידה (SSO) באמצעות OIDC

כדי להשתמש ב-SSO מבוסס OIDC:

  1. בוחרים באפשרות OIDC – אפשר ליצור פרופיל OIDC בהתאמה אישית, שבו מספקים מידע על שותף ה-OIDC, או להשתמש בפרופיל OIDC של Microsoft Entra שהוגדר מראש.
  2. פועלים לפי השלבים במאמר קביעה של המשתמשים שצריכים להשתמש ב-SSO כדי להקצות את פרופיל ה-OIDC שהוגדר מראש ליחידות ארגוניות או לקבוצות נבחרות.

אם יש לכם משתמשים ביחידה ארגונית (לדוגמה, ביחידת משנה ארגונית) שלא צריכים SSO, אתם יכולים להשתמש גם בהקצאות כדי להשבית את ה-SSO עבור המשתמשים האלה.

הערה: בשלב הזה, ממשק שורת הפקודה של Google Cloud לא תומך באימות מחדש באמצעות OIDC.

לפני שמתחילים

כדי להגדיר פרופיל OIDC בהתאמה אישית, תצטרכו לקבל מצוות התמיכה או ממסמכי התיעוד של ספק ה-IdP את ההגדרות הבסיסיות הבאות:

  • כתובת ה-URL של המנפיק: כתובת ה-URL המלאה של שרת ההרשאות של ספק ה-IdP.
  • לקוח OAuth, שמזוהה באמצעות מזהה הלקוח שלו ומאומת באמצעות הסוד של הלקוח.
  • כתובת ה-URL לשינוי הסיסמה הדף שאליו משתמשי SSO יועברו כדי לשנות את הסיסמה שלהם (במקום לשנות את הסיסמה שלהם ב-Google).

בנוסף, Google צריכה שספק הזהויות שלכם יעשה את הפעולות הבאות:

  • הטענה email מספק הזהויות (IdP) צריכה להיות זהה לכתובת האימייל הראשית של המשתמש בצד של Google.
  • חובה להשתמש בתהליך קוד ההרשאה.

יצירת פרופיל OIDC בהתאמה אישית

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזSSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילי SSO של צד שלישי, לוחצים על הוספת פרופיל OIDC.
  3. נותנים שם לפרופיל ה-OIDC.
  4. מזינים את פרטי OIDC: מזהה לקוח, כתובת URL של המנפיק וסוד לקוח.
  5. לוחצים על שמירה.
  6. בדף ההגדרות של OIDC SSO לפרופיל החדש, מעתיקים את ה-URI של ההפניה. תצטרכו לעדכן את לקוח ה-OAuth בספק הזהויות כדי להגיב לבקשות באמצעות ה-URI הזה.

כדי לערוך את ההגדרות, מעבירים את העכבר מעל פרטי OIDC ולוחצים על סמל העריכה .

שימוש בפרופיל Microsoft Entra OIDC

מוודאים שהגדרתם את הדרישות המוקדמות הבאות ל-OIDC בדייר Microsoft Entra ID של הארגון:

קובעים אילו משתמשים צריכים להשתמש ב-SSO

כדי להפעיל SSO ביחידה ארגונית או בקבוצה, צריך להקצות פרופיל SSO ואת ספק ה-IdP המשויך אליו. אפשר גם להשבית את ה-SSO על ידי הקצאת הערך 'ללא' לפרופיל ה-SSO. אפשר גם להחיל מדיניות SSO מעורבת בתוך יחידה ארגונית או קבוצה. לדוגמה, להפעיל SSO ליחידה הארגונית כולה, ואז להשבית אותו ליחידה ארגונית משנית.

אם לא יצרתם פרופיל SAML או OIDC, עליכם לעשות זאת לפני שתמשיכו. אפשר גם להקצות את פרופיל ה-OIDC שהוגדר מראש.

  1. לוחצים על ניהול הקצאות של פרופיל SSO.
  2. אם זו הפעם הראשונה שאתם מקצים את פרופיל ה-SSO, לוחצים על 'תחילת העבודה'. אחרת, לוחצים על ניהול מטלות.
  3. בצד ימין, בוחרים את היחידה הארגונית או הקבוצה שרוצים להקצות להן את פרופיל ה-SSO.
    • אם הקצאת פרופיל ה-SSO ליחידה ארגונית או לקבוצה שונה מהקצאת הפרופיל ברמת הדומיין, תוצג אזהרה על ביטול כשתבחרו את היחידה הארגונית או הקבוצה.
    • אי אפשר להקצות את פרופיל ה-SSO ברמת המשתמש. בתצוגת המשתמשים אפשר לבדוק את ההגדרה של משתמש ספציפי.
  4. בוחרים הקצאת פרופיל SSO ליחידה הארגונית או לקבוצה שנבחרו:
    • כדי להחריג את היחידה הארגונית או הקבוצה מ-SSO, בוחרים באפשרות ללא. המשתמשים ביחידה הארגונית או בקבוצה ייכנסו ישירות דרך Google.
    • כדי להקצות IdP אחר ליחידה הארגונית או לקבוצה, בוחרים באפשרות פרופיל SSO אחר ואז בוחרים את פרופיל ה-SSO מהרשימה הנפתחת.

  5. (פרופילי SSO של SAML בלבד) אחרי שבוחרים פרופיל SAML, בוחרים אפשרות כניסה למשתמשים שנכנסים ישירות לשירות Google בלי להתחבר קודם לספק הזהויות (IdP) של צד שלישי בפרופיל ה-SSO. אתם יכולים לבקש מהמשתמשים להזין את שם המשתמש שלהם ב-Google ואז להפנות אותם אל ה-IdP, או לחייב את המשתמשים להזין את שם המשתמש והסיסמה שלהם ב-Google.

    הערה: אם תבחרו לדרוש מהמשתמשים להזין את שם המשתמש והסיסמה שלהם ב-Google, המערכת תתעלם מההגדרה כתובת ה-URL לשינוי הסיסמה בפרופיל ה-SSO של SAML (שזמינה בקטע 'פרופיל SSO' > 'פרטי ספק הזהויות'). כך תוכלו לוודא שהמשתמשים יוכלו לשנות את סיסמאות Google שלהם לפי הצורך.

  6. לוחצים על שמירה.

  7. (אופציונלי) מקצים פרופילי SSO ליחידות ארגוניות או לקבוצות אחרות לפי הצורך.

אחרי שסוגרים את הכרטיס ניהול הקצאות של פרופילי SSO, ההקצאות המעודכנות של היחידות הארגוניות והקבוצות מופיעות בקטע ניהול הקצאות של פרופילי SSO.

הסרת הקצאה של פרופיל SSO

  1. לוחצים על שם של קבוצה או יחידה ארגונית כדי לפתוח את הגדרות הקצאת הפרופיל שלה.
  2. מחליפים את הגדרת ההקצאה הקיימת בהגדרה של היחידה הארגונית ברמה העליונה:
    • להקצאות של יחידות ארגוניות – לוחצים על ירושה.
    • למטלות קבוצתיות – לוחצים על ביטול ההגדרה.

הערה: היחידה הארגונית ברמה העליונה תמיד מופיעה ברשימת הקצאת הפרופילים, גם אם הפרופיל מוגדר כ'ללא'.

ראה גם


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.