Logowanie jednokrotne możesz skonfigurować jako dostawcę tożsamości w Google na kilka sposobów w zależności od potrzeb Twojej organizacji. Google Workspace obsługuje protokoły SSO oparte zarówno na SAML, jak i na OIDC.
- Profile logowania jednokrotnego, które zawierają ustawienia dostawcy tożsamości, umożliwiają stosowanie różnych ustawień logowania jednokrotnego do różnych kont użytkowników w organizacji. Utwórz profile oparte na protokole SAML albo niestandardowe profile OIDC lub użyj domyślnego profilu OIDC Microsoft Entra, który nie wymaga konfiguracji.
- Po utworzeniu profili logowania jednokrotnego przypisz je do jednostek organizacyjnych lub grup, aby ustawić dostawcę tożsamości dla tych użytkowników. Możesz też wyłączyć logowanie jednokrotne w przypadku określonych jednostek organizacyjnych lub grup.
Jeśli użytkownicy korzystają z usług Google za pomocą adresów URL specyficznych dla domeny (na przykład https://mail.google.com/a/example.com), możesz też zarządzać sposobem współdziałania tych adresów z logowaniem jednokrotnym.
Jeśli Twoja organizacja potrzebuje warunkowego przekierowania logowania jednokrotnego na podstawie adresu IP lub logowania jednokrotnego dla superadministratorów, możesz też skonfigurować starszy profil SSO.
Konfigurowanie logowania jednokrotnego przez SAML
Zanim zaczniesz
Aby skonfigurować profil logowania jednokrotnego przez SAML, potrzebujesz pewnych danych konfiguracyjnych, które możesz otrzymać od zespołu pomocy dostawcy tożsamości lub znaleźć w dokumentacji:
- Identyfikator jednostki dostawcy tożsamości: w ten sposób dostawca tożsamości przedstawia tożsamość podczas komunikacji z Google.
- Adres URL strony logowania: określany też jako adres URL logowania jednokrotnego lub punkt końcowy SAML 2.0 (HTTP). Na tej stronie użytkownicy logują się w systemie dostawcy tożsamości.
- Adres URL strony wylogowania: strona, na którą trafia użytkownik po zakończeniu korzystania z aplikacji lub usługi Google.
- Adres URL strony zmiany hasła: strona, na której użytkownicy logowania jednokrotnego mogą zmieniać hasła (zamiast robić to przez Google).
- Certyfikat: certyfikat PEM X.509 uzyskany od dostawcy tożsamości. Certyfikat zawiera klucz publiczny, który weryfikuje logowanie w sposób logowania u dostawcy tożsamości.
Wymagania dotyczące certyfikatów
- Musi to być certyfikat X.509 w formacie PEM lub DER zawierający klucz publiczny.
- Klucz publiczny musi być wygenerowany przy użyciu algorytmu DSA lub RSA.
- Klucz publiczny w certyfikacie musi być zgodny z kluczem prywatnym użytym do podpisywania odpowiedzi SAML.
Zazwyczaj otrzymasz te certyfikaty od dostawcy tożsamości. Możesz je jednak też wygenerować samodzielnie.
Tworzenie profilu logowania jednokrotnego przez SAML
Aby utworzyć zewnętrzny profil SSO, wykonaj te czynności. W organizacji możesz utworzyć maksymalnie 1000 profili.
-
W konsoli administracyjnej Google otwórz Menu
BezpieczeństwoUwierzytelnianieLogowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.Wymaga uprawnień administratora Ustawienia zabezpieczeń.
- W sekcji Zewnętrzne profile SSO kliknij Dodaj profil SAML.
- W polu Profil logowania jednokrotnego przez SAML wpisz nazwę profilu.
- (Opcjonalnie) W polu Autouzupełnianie adresu e-mail wybierz opcję, która odpowiada formatowi podpowiedzi logowania obsługiwanemu przez dostawcę tożsamości. Więcej informacji znajdziesz w sekcji Korzystanie z autouzupełniania adresu e-mail do upraszczania logowania jednokrotnego.
- W sekcji Szczegóły dostawcy tożsamości wykonaj te czynności:
- Wpisz identyfikator jednostki dostawcy tożsamości, adres URL strony logowania i adres URL strony wylogowania, które zostały uzyskane od dostawcy tożsamości.
- W polu Adres URL strony zmiany hasła wpisz adres URL strony zmiany hasła dla dostawcy tożsamości. Użytkownicy będą resetować swoje hasła pod tym adresem URL.
Kliknij Prześlij certyfikat.
Możesz przesłać maksymalnie 2 certyfikaty, co pozwoli Ci w razie potrzeby je wymieniać.
Kliknij Zapisz.
W sekcji Szczegółowe dane dostawcy usług skopiuj i zapisz wartości z pól Identyfikator jednostki oraz Adres URL usługi ACS. Te wartości będą potrzebne do skonfigurowania logowania jednokrotnego przez Google w panelu administracyjnym dostawcy tożsamości.
(Opcjonalnie) Jeśli dostawca tożsamości obsługuje szyfrowanie asercji, możesz wygenerować certyfikat i udostępnić go dostawcy tożsamości, aby włączyć szyfrowanie. Każdy profil logowania jednokrotnego przez SAML może mieć maksymalnie 2 certyfikaty dostawcy usług.
- Kliknij sekcję Szczegółowe dane dostawcy usług, aby przejść do trybu edycji.
- W sekcji Certyfikat dostawcy usług kliknij Wygeneruj certyfikat.
- Kliknij Zapisz. Skopiuj zawartość certyfikatu lub pobierz go jako plik.
- Udostępnij certyfikat dostawcy tożsamości.
- (Opcjonalnie) Aby wymienić certyfikat, wróć do szczegółowych danych dostawcy usługi i kliknij Wygeneruj kolejny certyfikat, a następnie udostępnij nowy certyfikat dostawcy tożsamości. Gdy będziesz mieć pewność, że dostawca tożsamości używa nowego certyfikatu, usuń pierwotny certyfikat.
Konfigurowanie dostawcy tożsamości
Aby skonfigurować dostawcę tożsamości pod kątem używania tego profilu SSO, w odpowiednich polach ustawień SSO dostawcy tożsamości wpisz informacje z sekcji Szczegółowe dane dostawcy usług profilu. Zarówno adres URL usługi ACS, jak i identyfikator jednostki są unikalne dla tego profilu.
Konfigurowanie starszego profilu SSO
Starszy profil SSO jest obsługiwany w przypadku użytkowników, którzy nie przeprowadzili migracji do profili SSO. Umożliwia on tylko korzystanie z jednego dostawcy tożsamości.
-
W konsoli administracyjnej Google otwórz Menu
BezpieczeństwoUwierzytelnianieLogowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.Wymaga uprawnień administratora Ustawienia zabezpieczeń.
- W sekcji Zewnętrzne profile SSO kliknij Dodaj profil SAML.
- Na dole strony Szczegółowe dane dostawcy tożsamości kliknij Przejdź do ustawień profilu SSO.
- Na stronie Starszy profil SSO zaznacz pole Włącz logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
- Podaj te informacje o dostawcy tożsamości:
- Wpisz adres URL strony logowania i adres URL strony wylogowania dla dostawcy tożsamości.
Uwaga: musisz wpisać wszystkie adresy URL i muszą one używać protokołu HTTPS, na przykład https://sso.example.com.
- Kliknij Prześlij certyfikat, a następnie znajdź i prześlij certyfikat X.509 otrzymany od dostawcy tożsamości. Więcej informacji znajdziesz w sekcji Wymagania dotyczące certyfikatów.
- Wybierz, czy w żądaniach SAML od Google chcesz używać wystawcy specyficznego dla domeny.
Jeśli masz kilka domen korzystających z logowania jednokrotnego przy użyciu dostawcy tożsamości, wybierz tę opcję, aby określić prawidłową domenę, z której są wysyłane żądania SAML.
- Jeśli opcja jest zaznaczona, Google wysyła dane wystawcy specyficznego dla domeny: google.com/a/example.com (gdzie example.com to nazwa Twojej domeny podstawowej Google Workspace).
- Jeśli opcja nie jest zaznaczona, Google wysyła w żądaniach SAML dane standardowego wystawcy, czyli google.com.
- (Opcjonalnie) Aby włączyć logowanie jednokrotne dla grupy użytkowników w ramach określonych zakresów adresów IP, podaj maskę sieci. Więcej informacji znajdziesz w artykule Wyniki mapowania sieci.
Uwaga: możesz też skonfigurować częściowe logowanie jednokrotne, przypisując profil logowania jednokrotnego do określonych jednostek organizacyjnych lub grup.
- Wpisz adres URL strony zmiany hasła dla dostawcy tożsamości. Użytkownicy będą resetować swoje hasła pod tym adresem (a nie na stronie zmiany hasła w Google). Wszyscy użytkownicy (oprócz superadministratorów) próbujący zmienić hasło na stronie https://myaccount.google.com/ będą przekierowywani na podany przez Ciebie adres URL. To ustawienie jest stosowane nawet wtedy, gdy nie włączysz logowania jednokrotnego. Maski sieci nie są stosowane.
Uwaga: jeśli w tym polu podasz adres URL, użytkownicy będą przekierowywani na tę stronę, nawet jeśli nie włączysz logowania jednokrotnego w swojej organizacji.
- Wpisz adres URL strony logowania i adres URL strony wylogowania dla dostawcy tożsamości.
- Kliknij Zapisz.
Po zapisaniu starszy profil SSO pojawi się w tabeli Profile SSO.
Skonfiguruj dostawcę tożsamości
Aby skonfigurować dostawcę tożsamości pod kątem używania tego profilu SSO, w odpowiednich polach ustawień SSO dostawcy tożsamości wpisz informacje z sekcji Szczegółowe dane dostawcy usług profilu. Zarówno adres URL usługi ACS, jak i identyfikator jednostki są unikalne dla tego profilu.
| Format | |
| Adres URL usługi ACS | https://accounts.google.com/a/{domain.com}/acs gdzie {domain.com} to nazwa domeny Workspace Twojej organizacji. |
| Identyfikator jednostki | Jedna z tych wartości:
|
Wyłączanie starszego profilu SSO
- Na liście Zewnętrzne profile SSO kliknij Starszy profil SSO.
- W ustawieniach Starszy profil SSO odznacz pole Włącz logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
- Potwierdź, że chcesz kontynuować, a następnie kliknij Zapisz.
Na liście Profile SSO Starszy profil SSO jest teraz oznaczony jako Wyłączony.
- W przypadku jednostek organizacyjnych, do których przypisano starszy profil SSO, w kolumnie Przypisany profil pojawi się alert.
- W przypadku jednostki organizacyjnej najwyższego poziomu w kolumnie Przypisany profil pojawi się wartość Brak.
- W sekcji Zarządzaj przypisaniem profili logowania jednokrotnego starszy profil SSO jest oznaczony jako nieaktywny.
Migracja ze starszych profili SAML do profili SSO
Jeśli Twoja organizacja korzysta ze starszego profilu SSO, zalecamy przejście na profile SSO, które oferują kilka zalet, w tym obsługę OIDC, nowocześniejsze interfejsy API i większą elastyczność w zakresie stosowania ustawień SSO w grupach użytkowników. Więcej informacji
Konfigurowanie logowania jednokrotnego za pomocą OIDC
Aby korzystać z logowania jednokrotnego opartego na OIDC:
- Podczas konfigurowania OIDC masz do wyboru 2 możliwości: możesz utworzyć niestandardowy profil OIDC, podając informacje o partnerze w zakresie OIDC, lub użyć wstępnie skonfigurowanego profilu OIDC Microsoft Entra.
- Wykonaj czynności opisane w sekcji Określanie, którzy użytkownicy powinni używać logowania jednokrotnego, aby przypisać wstępnie skonfigurowany profil OIDC do wybranych jednostek organizacyjnych lub grup.
Jeśli w jednostce organizacyjnej (np. podrzędnej) są użytkownicy, którzy nie potrzebują logowania jednokrotnego, również możesz wyłączyć dla nich tę funkcję za pomocą przypisań.
Uwaga: interfejs wiersza poleceń Google Cloud nie obsługuje obecnie ponownego uwierzytelniania za pomocą OIDC.
Zanim zaczniesz
Aby skonfigurować niestandardowy profil OIDC, potrzebujesz pewnych danych konfiguracyjnych, które możesz otrzymać od zespołu pomocy dostawcy tożsamości lub znaleźć w dokumentacji:
- URL wydawcy – pełny adres URL serwera autoryzacji dostawcy tożsamości.
- Klient OAuth, który można rozpoznać po identyfikatorze klienta i który jest uwierzytelniany przez tajny klucz klienta.
- Adres URL strony zmiany hasła – strona, na której użytkownicy logowania jednokrotnego mogą zmieniać hasła (zamiast robić to przez Google).
Google wymaga też, żeby:
- argument
emailTwojego dostawcy tożsamości był zgodny z podstawowym adresem e-mail użytkownika po stronie Google. - dostawca tożsamości używał przepływu kodu autoryzacji.
Tworzenie niestandardowego profilu OIDC
-
W konsoli administracyjnej Google otwórz Menu
BezpieczeństwoUwierzytelnianieLogowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.Wymaga uprawnień administratora Ustawienia zabezpieczeń.
- W sekcji Zewnętrzne profile SSO kliknij Dodaj profil OIDC.
- Nazwij profil OIDC.
- Wpisz szczegóły OIDC: identyfikator klienta, URL wystawcy i tajny klucz klienta.
- Kliknij Zapisz.
- Na stronie ustawień logowania jednokrotnego OIDC nowego profilu skopiuj Identyfikator URI przekierowania. Aby odpowiadać na żądania za pomocą tego identyfikatora URI, musisz zaktualizować klienta OAuth u swojego dostawcy tożsamości.
Aby edytować ustawienia, najedź kursorem na Szczegóły OIDC, a potem kliknij Edytuj 
.
Korzystanie z profilu OIDC Microsoft Entra
Sprawdź, czy masz skonfigurowane te wymagania wstępne dotyczące OIDC dla najemcy usługi Microsoft Entra ID w Twojej organizacji:
- Najemca usługi Microsoft Entra ID musi być zweryfikowany za pomocą domeny.
- Użytkownicy muszą mieć licencje Microsoft 365.
- Nazwa użytkownika (podstawowy adres e-mail) administratora Google Workspace przypisującego profil SSO musi być zgodna z podstawowym adresem e-mail konta administratora najemcy usługi Azure AD.
Określanie, którzy użytkownicy powinni używać logowania jednokrotnego
Włącz logowanie jednokrotne w jednostce organizacyjnej lub grupie, przypisując profil logowania jednokrotnego i powiązanego z nim dostawcę tożsamości. Możesz też wyłączyć logowanie jednokrotne, przypisując do profilu logowania jednokrotnego wartość „Brak”. Możesz też zastosować mieszane zasady logowania jednokrotnego w jednostce organizacyjnej lub grupie, na przykład włączyć logowanie jednokrotne w całej jednostce, a następnie wyłączyć je w podrzędnej jednostce organizacyjnej.
Jeśli nie masz utworzonego profilu SAML lub OIDC, utwórz go, zanim przejdziesz dalej. Możesz też przypisać wstępnie skonfigurowany profil OIDC.
- Kliknij Zarządzaj przypisaniem profili logowania jednokrotnego.
- Jeśli po raz pierwszy przypisujesz profil logowania jednokrotnego, kliknij Rozpocznij. W przeciwnym razie kliknij Zarządzaj przypisywaniem.
- Po lewej stronie wybierz jednostkę organizacyjną lub grupę, dla której chcesz przypisać profil logowania jednokrotnego.
- Jeśli przypisanie profilu logowania jednokrotnego dla jednostki organizacyjnej lub grupy różni się od przypisania profilu dla całej domeny, to gdy wybierzesz tę jednostkę organizacyjną lub grupę, pojawi się ostrzeżenie o zastąpieniu.
- Profilu logowania jednokrotnego nie można przypisać poszczególnym użytkownikom. Widok Użytkownicy pozwala sprawdzić ustawienia dla konkretnego użytkownika.
- Wybierz opcję Przypisanie profilu logowania jednokrotnego dla wybranej jednostki organizacyjnej lub grupy:
- Aby wykluczyć jednostkę organizacyjną lub grupę z logowania jednokrotnego, wybierz Brak. Użytkownicy w jednostce organizacyjnej lub grupie będą logować się bezpośrednio przez Google.
- Aby przypisać innego dostawcę tożsamości do jednostki organizacyjnej lub grupy, wybierz Inny profil SSO, a następnie wybierz profil z listy.
(Tylko profile logowania jednokrotnego przez SAML) Po wybraniu profilu SAML wybierz opcję logowania dla użytkowników, którzy od razu przechodzą do usługi Google bez zalogowania się u zewnętrznego dostawcy tożsamości tego profilu logowania jednokrotnego. Możesz prosić użytkowników o podanie nazwy użytkownika Google, a następnie przekierowywać ich do dostawcy tożsamości, lub wymagać podania nazwy użytkownika i hasła Google.
Uwaga: jeśli zdecydujesz się wymagać od użytkowników podania nazwy użytkownika i hasła Google, ustawienie Adres URL zmiany hasła dla tego profilu logowania jednokrotnego przez SAML (w sekcji Profil SSO > Szczegóły dostawcy tożsamości) będzie ignorowane. Dzięki temu użytkownicy mogą w razie potrzeby zmieniać hasła do Google.
Kliknij Zapisz.
(Opcjonalnie) W razie potrzeby przypisz profile logowania jednokrotnego do innych jednostek organizacyjnych lub grup.
Po zamknięciu karty Zarządzaj przypisaniem profili logowania jednokrotnego zaktualizowane przypisania jednostek organizacyjnych i grup pojawią się w sekcji Zarządzaj przypisaniem profili logowania jednokrotnego.
Usuwanie przypisania profilu SSO
- Kliknij nazwę grupy lub jednostki organizacyjnej, aby otworzyć jej ustawienia przypisania profili.
- Zastąp aktualne ustawienie przypisania ustawieniem nadrzędnej jednostki organizacyjnej:
- W przypadku przypisań jednostek organizacyjnych kliknij Odziedzicz.
- W przypadku przypisań grupowych kliknij Cofnij ustawienie.
Uwaga: na liście przypisania profilu zawsze znajduje się jednostka organizacyjna najwyższego poziomu, nawet jeśli w polu Profil wybrano opcję Brak.
Zobacz też
- Opcjonalne ustawienia logowania jednokrotnego i konserwacja
- Rozwiązywanie problemów z logowaniem jednokrotnym
- Zatwierdzenie przez wiele osób działań związanych z poufnymi danymi
Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.