Menyiapkan SSO

Anda dapat menyiapkan SSO dengan Google sebagai penyedia layanan melalui beberapa cara, bergantung pada kebutuhan organisasi. Google Workspace mendukung SSO berbasis SAML dan OIDC.

Jika pengguna menggunakan URL layanan khusus domain untuk mengakses layanan Google (misalnya, https://mail.google.com/a/example.com), Anda juga dapat mengelola cara URL berfungsi dengan SSO.

Jika organisasi Anda memerlukan pengalihan SSO bersyarat berdasarkan alamat IP, atau SSO untuk admin super, Anda juga memiliki opsi untuk mengonfigurasi profil SSO lama.

Menyiapkan SSO dengan SAML

Sebelum memulai

Untuk menyiapkan profil SSO SAML, Anda memerlukan beberapa konfigurasi dasar dari tim dukungan atau dokumentasi IdP:

  • ID entitas IdP: ID ini digunakan IdP Anda sebagai identifikasi saat berkomunikasi dengan Google.
  • URL halaman login: URL ini juga dikenal sebagai URL SSO atau Endpoint SAML 2.0 (HTTP). Halaman ini merupakan tempat pengguna login ke IdP Anda.
  • URL halaman logout: Halaman tempat pengguna diarahkan setelah keluar dari aplikasi atau layanan Google.
  • URL ubah sandi: Halaman tempat pengguna SSO dapat mengubah sandi mereka (bukan mengubah sandi mereka dengan Google).
  • Sertifikat: Sertifikat X.509 PEM dari IdP Anda. Sertifikat ini berisi kunci publik yang memverifikasi login dari IdP.

Persyaratan sertifikat

  • Sertifikat harus berupa sertifikat X.509 berformat PEM atau DER dengan kunci publik yang tersemat.
  • Kunci publik harus dibuat dengan algoritma DSA atau RSA.
  • Kunci publik dalam sertifikat harus cocok dengan kunci pribadi yang digunakan untuk menandatangani respons SAML.

Anda biasanya akan mendapatkan sertifikat tersebut dari IdP. Namun, Anda juga dapat membuatnya sendiri.

Membuat profil SSO SAML

Ikuti langkah-langkah berikut untuk membuat profil SSO pihak ketiga. Anda dapat membuat hingga 1.000 profil di organisasi Anda.

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan IdP pihak ketiga.

    Memerlukan hak istimewa administrator Setelan Keamanan.

  2. Di bagian Profil SSO pihak ketiga, klik Tambahkan profil SAML.
  3. Untuk Profil SSO SAML, masukkan nama profil.
  4. (Opsional) Untuk Isi otomatis email, pilih opsi yang cocok dengan format petunjuk login yang didukung IdP Anda. Untuk mengetahui detailnya, buka Menggunakan Isi otomatis email untuk menyederhanakan login SSO.
  5. Di bagian Detail IdP, selesaikan langkah-langkah berikut:
    1. Masukkan ID entitas IdP, URL halaman login, dan URL halaman logout yang Anda dapatkan dari IdP Anda.
    2. Untuk URL ubah sandi, masukkan URL ubah sandi untuk IdP Anda. Pengguna akan membuka URL ini untuk mereset sandi mereka.

  6. Klik Upload sertifikat.

    Anda dapat mengupload hingga dua sertifikat, sehingga memiliki opsi untuk merotasi sertifikat jika diperlukan.

  7. Klik Simpan.

  8. Di bagian SP Details, salin dan simpan Entity ID dan ACS URL. Anda memerlukan nilai ini untuk mengonfigurasi SSO dengan Google di panel kontrol admin IdP.

  9. (Opsional) Jika IdP mendukung enkripsi pernyataan, Anda dapat membuat dan membagikan sertifikat kepada IdP untuk mengaktifkan enkripsi. Setiap profil SSO SAML dapat memiliki hingga 2 sertifikat SP.

    1. Klik bagian Detail SP untuk menggunakan mode edit.
    2. Untuk Sertifikat SP, klik Buat sertifikat.
    3. Klik Simpan. Salin konten sertifikat atau download sebagai file.
    4. Bagikan sertifikat dengan IdP Anda.
    5. (Opsional) Untuk merotasi sertifikat, kembali ke Detail SP, lalu klik Buat sertifikat lain, lalu bagikan sertifikat baru tersebut kepada IdP. Setelah yakin bahwa IdP Anda menggunakan sertifikat baru, hapus sertifikat asli.

Mengonfigurasi IdP Anda

Untuk mengonfigurasi IdP agar menggunakan profil SSO ini, masukkan informasi dari bagian Detail Penyedia Layanan (SP) profil ke kolom yang sesuai di setelan SSO IdP Anda. URL ACS dan ID Entitas bersifat unik untuk profil ini.

Mengonfigurasi profil SSO lama

Profil SSO lama didukung untuk pengguna yang belum bermigrasi ke profil SSO. Fitur ini hanya mendukung penggunaan dengan satu IdP.

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan IdP pihak ketiga.

    Memerlukan hak istimewa administrator Setelan Keamanan.

  2. Pada bagian Profil SSO pihak ketiga, klik Tambahkan profil SAML.
  3. Di bagian bawah halaman Detail IdP, klik Buka setelan profil SSO lama.
  4. Di halaman Profil SSO lama, centang kotak Aktifkan SSO dengan penyedia identitas pihak ketiga.
  5. Isi informasi berikut untuk IdP Anda:
    • Masukkan URL halaman login dan URL halaman logout untuk IdP Anda.

      Catatan: Semua URL harus dimasukkan dan menggunakan HTTPS, misalnya https://sso.example.com.

    • Klik Upload certificate, lalu temukan dan upload sertifikat X.509 yang diberikan oleh IdP Anda. Untuk mengetahui informasi selengkapnya, lihat Persyaratan sertifikat.
    • Pilih apakah akan menggunakan penerbit khusus domain dalam permintaan SAML dari Google.

      Jika Anda memiliki beberapa domain yang menggunakan SSO dengan IdP, gunakan penerbit khusus domain untuk mengidentifikasi domain yang benar yang mengeluarkan permintaan SAML.

      • Dicentang Google mengirimkan penerbit khusus untuk domain Anda: google.com/a/example.com (dengan example.com adalah nama domain Google Workspace utama Anda)
      • Tidak dicentang Google mengirimkan penerbit standar dalam permintaan SAML: google.com
    • (Opsional) Untuk menerapkan SSO ke sekumpulan pengguna dalam rentang alamat IP tertentu, masukkan network mask. Untuk mengetahui informasi selengkapnya, lihat Hasil pemetaan jaringan.

      Catatan: Anda juga dapat menyiapkan SSO parsial dengan menetapkan profil SSO ke unit organisasi atau grup tertentu.

    • Masukkan URL ubah sandi untuk IdP Anda. Pengguna akan membuka URL ini (bukan halaman ubah sandi Google) untuk mereset sandi mereka. Semua pengguna, selain administrator super, yang mencoba mengubah sandi mereka di https://myaccount.google.com/ akan dialihkan ke URL yang Anda tentukan. Setelan ini berlaku meskipun Anda tidak mengaktifkan SSO. Selain itu, network mask tidak berlaku.

      Catatan: Jika Anda memasukkan URL di sini, pengguna akan diarahkan ke halaman ini meskipun jika Anda tidak mengaktifkan SSO untuk organisasi.

  6. Klik Simpan.

Setelah disimpan, profil SSO lama akan tercantum dalam tabel Profil SSO.

Mengonfigurasi IdP Anda

Untuk mengonfigurasi IdP agar menggunakan profil SSO ini, masukkan informasi dari bagian Detail Penyedia Layanan (SP) profil ke kolom yang sesuai di setelan SSO IdP Anda. URL ACS dan ID Entitas bersifat unik untuk profil ini.

Format
URL ACS https://accounts.google.com/a/{domain.com}/acs
dengan {domain.com} adalah nama domain Workspace organisasi Anda
ID Entitas Salah satu dari hal berikut:
  • google.com
  • google.com/a/customerprimarydomain (jika Anda memilih untuk menggunakan penerbit khusus domain saat mengonfigurasi profil lama).

Menonaktifkan profil SSO lama

  1. Pada daftar Profil SSO pihak ketiga, klik Profil SSO lama.
  2. Di setelan Profil SSO lama, hapus centang Aktifkan SSO dengan penyedia identitas pihak ketiga.
  3. Konfirmasi bahwa Anda ingin melanjutkan, lalu klik Simpan.

Dalam daftar Profil SSO, Profil SSO lama sekarang ditampilkan sebagai Nonaktif.

  • Unit organisasi yang telah menetapkan profil SSO Lama akan menampilkan notifikasi di kolom Profil yang ditetapkan.
  • Unit organisasi tingkat teratas akan menampilkan Tidak ada di kolom Profil yang ditetapkan.
  • Di Kelola penetapan profil SSO, Profil SSO Lama ditampilkan sebagai tidak aktif.

Bermigrasi dari SAML lama ke profil SSO

Jika organisasi Anda menggunakan profil SSO lama, sebaiknya bermigrasi ke profil SSO, yang menawarkan beberapa manfaat termasuk dukungan OIDC, API yang lebih modern, dan fleksibilitas yang lebih baik dalam menerapkan setelan SSO ke grup pengguna Anda. Pelajari lebih lanjut.

Menyiapkan SSO dengan OIDC

Ikuti langkah-langkah berikut untuk menggunakan SSO berbasis OIDC:

  1. Pilih opsi OIDC—buat profil OIDC kustom, tempat Anda memberikan informasi untuk partner OIDC, atau gunakan profil OIDC Microsoft Entra yang telah dikonfigurasi sebelumnya.
  2. Ikuti langkah-langkah di Menentukan pengguna mana yang harus menggunakan SSO guna menetapkan profil OIDC yang telah dikonfigurasi sebelumnya ke unit organisasi/grup yang dipilih.

Jika memiliki pengguna di unit organisasi (misalnya di sub-unit organisasi) yang tidak memerlukan SSO, Anda juga dapat menggunakan penetapan untuk menonaktifkan SSO bagi pengguna tersebut.

Catatan: Antarmuka Command Line Google Cloud saat ini tidak mendukung autentikasi ulang dengan OIDC.

Sebelum memulai

Untuk menyiapkan profil OIDC kustom, Anda memerlukan beberapa konfigurasi dasar dari tim dukungan atau dokumentasi IdP:

  • URL Penerbit URL lengkap server otorisasi IdP.
  • Klien OAuth, yang diidentifikasi oleh Client ID dan diautentikasi oleh Rahasia klien.
  • URL ubah sandi Halaman tempat pengguna SSO dapat mengubah sandi mereka (bukan mengubah sandi mereka dengan Google).

Selain itu, Google memerlukan IdP Anda untuk melakukan hal berikut:

  • Klaim email dari IdP Anda harus cocok dengan alamat email utama pengguna di sisi Google.
  • IdP harus menggunakan alur kode otorisasi.

Membuat profil OIDC kustom

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan IdP pihak ketiga.

    Memerlukan hak istimewa administrator Setelan Keamanan.

  2. Pada bagian Profil SSO pihak ketiga, klik Tambahkan profil OIDC.
  3. Beri nama profil OIDC.
  4. Masukkan detail OIDC: Client ID, URL Penerbit, Rahasia klien.
  5. Klik Simpan.
  6. Di halaman setelan SSO OIDC untuk profil baru, salin URI Pengalihan. Anda harus memperbarui klien OAuth di IdP untuk merespons permintaan menggunakan URI ini.

Untuk mengedit setelan, arahkan kursor ke Detail OIDC, lalu klik Edit .

Menggunakan profil OIDC Microsoft Entra

Pastikan Anda telah mengonfigurasi prasyarat berikut untuk OIDC di tenant Microsoft Entra ID organisasi Anda:

Menentukan pengguna yang harus menggunakan SSO

Aktifkan SSO untuk unit organisasi atau grup dengan menetapkan profil SSO dan IdP terkait. Atau, nonaktifkan SSO dengan menetapkan 'Tidak Ada' untuk profil SSO. Anda juga dapat menerapkan kebijakan SSO campuran di dalam unit organisasi atau grup, misalnya mengaktifkan SSO untuk unit organisasi secara keseluruhan, lalu menonaktifkannya untuk sub-unit organisasi.

Jika Anda belum membuat profil SAML atau OIDC, buat terlebih dahulu sebelum melanjutkan. Atau, Anda dapat menetapkan profil OIDC yang telah dikonfigurasi sebelumnya.

  1. Klik Kelola penetapan profil SSO.
  2. Jika ini pertama kalinya Anda menetapkan profil SSO, klik Mulai. Jika tidak, klik Kelola tugas.
  3. Di sebelah kiri, pilih unit organisasi atau grup tempat Anda akan menetapkan profil SSO.
    • Jika penetapan profil SSO untuk unit organisasi atau grup berbeda dengan penetapan profil di seluruh domain, peringatan penggantian akan muncul saat Anda memilih unit organisasi atau grup tersebut.
    • Anda tidak dapat menetapkan profil SSO per pengguna. Tampilan Pengguna memungkinkan Anda memeriksa setelan untuk pengguna tertentu.
  4. Pilih Penetapan profil SSO untuk unit organisasi atau grup yang dipilih:
    • Untuk mengecualikan unit organisasi atau grup dari SSO, pilih Tidak ada. Pengguna di unit organisasi atau grup akan login secara langsung dengan Google.
    • Untuk menetapkan IdP lain ke unit organisasi atau grup, pilih Profil SSO lainnya, lalu pilih profil SSO dari menu dropdown.

  5. (Khusus profil SSO SAML) Setelah memilih profil SAML, pilih opsi login bagi pengguna yang langsung membuka layanan Google tanpa login terlebih dahulu ke IdP pihak ketiga profil SSO. Anda dapat meminta nama pengguna Google mereka, lalu mengalihkan mereka ke IdP, atau mewajibkan pengguna memasukkan nama pengguna dan sandi Google mereka.

    Catatan: Jika Anda memilih untuk mewajibkan pengguna memasukkan nama pengguna dan sandi Google mereka, setelan Ubah URL sandi untuk profil SSO SAML ini (tersedia di Profil SSO > detail IDP) diabaikan. Hal ini memastikan bahwa pengguna dapat mengubah sandi Google mereka sesuai kebutuhan.

  6. Klik Simpan.

  7. (Opsional) Tetapkan profil SSO ke unit organisasi atau grup lain sesuai kebutuhan.

Setelah menutup kartu Kelola penetapan profil SSO, Anda akan melihat penetapan yang diperbarui untuk unit organisasi dan grup di bagian Kelola penetapan profil SSO.

Menghapus penetapan profil SSO

  1. Klik nama grup atau unit organisasi untuk membuka setelan penetapan profilnya.
  2. Ganti setelan tugas yang ada dengan setelan unit organisasi induk:
    • Untuk penetapan unit organisasi—klik Wariskan.
    • Untuk penetapan grup—klik Batalkan penetapan.

Catatan: Unit organisasi teratas Anda selalu ada dalam daftar penetapan profil, meskipun Profil ditetapkan ke Tidak ada.

Lihat juga


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.