Настройка единого входа (SSO)

В зависимости от потребностей вашей организации, настройку единого входа (SSO) с Google в качестве поставщика услуг можно выполнить несколькими способами. Google Workspace поддерживает как SSO на основе SAML, так и SSO на основе OIDC.

Если ваши пользователи используют URL-адреса сервисов Google, привязанные к конкретному домену (например, https://mail.google.com/a/example.com), вы также можете управлять тем, как эти URL-адреса работают с SSO .

Если вашей организации требуется условное перенаправление SSO на основе IP-адреса или SSO для суперадминистраторов, у вас также есть возможность настроить устаревший профиль SSO .

Настройка единого входа (SSO) с использованием SAML

Прежде чем начать

Для настройки профиля SAML SSO вам потребуется выполнить базовую настройку, предоставленную службой поддержки вашего поставщика идентификации (IdP) или из документации:

  • Идентификатор сущности поставщика идентификации (IdP) : Именно так ваш поставщик идентификации идентифицирует себя при взаимодействии с Google.
  • URL страницы входа : это также известно как URL-адрес единого входа (SSO) или конечная точка SAML 2.0 (HTTP). Именно здесь пользователи входят в вашу систему идентификации (IdP).
  • URL страницы выхода : страница, на которую пользователь попадает после выхода из приложения или сервиса Google.
  • URL страницы смены пароля : страница, на которую пользователи SSO перейдут для смены пароля (вместо смены пароля через Google).
  • Сертификат : PEM-сертификат X.509 от вашего поставщика идентификации (IdP). Сертификат содержит открытый ключ, подтверждающий вход в систему с IdP.

Требования к сертификату

  • Сертификат должен представлять собой сертификат X.509 в формате PEM или DER со встроенным открытым ключом.
  • Открытый ключ должен быть сгенерирован с использованием алгоритмов DSA или RSA.
  • Открытый ключ в сертификате должен совпадать с закрытым ключом, использованным для подписи ответа SAML.

Обычно вы получаете эти сертификаты от своего поставщика идентификации (IdP). Однако вы также можете сгенерировать их самостоятельно .

Создайте профиль SAML SSO

Выполните следующие шаги, чтобы создать профиль единого входа (SSO) для сторонних сервисов. В вашей организации можно создать до 1000 профилей.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Единый вход (SSO) с использованием стороннего поставщика идентификации (IdP).

    Для этого требуются права администратора в разделе «Параметры безопасности» .

  2. В разделе «Профили SSO сторонних разработчиков» нажмите «Добавить профиль SAML» .
  3. Для профиля SAML SSO введите имя профиля.
  4. (Необязательно) Для параметра «Автозаполнение электронной почты» выберите вариант, соответствующий поддерживаемому вашим поставщиком идентификации формату подсказок для входа в систему. Подробнее см. раздел «Использование автозаполнения электронной почты для упрощения входа через единый вход» .
  5. В разделе сведений об поставщике идентификации выполните следующие действия:
    1. Введите идентификатор сущности поставщика идентификации (IDP) , URL-адрес страницы входа и URL-адрес страницы выхода , полученные от вашего поставщика идентификации.
    2. В поле «URL-адрес смены пароля» укажите URL-адрес смены пароля для вашего поставщика идентификации (IdP). Пользователи будут переходить по этому URL-адресу для сброса своих паролей.

  6. Нажмите «Загрузить сертификат» .

    Вы можете загрузить до двух сертификатов, что позволяет при необходимости их менять .

  7. Нажмите « Сохранить ».

  8. В разделе «Подробности поставщика услуг» скопируйте и сохраните идентификатор сущности (Entity ID) и URL-адрес ACS . Эти значения понадобятся вам для настройки единого входа (SSO) с Google в панели администратора поставщика идентификации (IdP).

  9. (Необязательно) Если ваш поставщик идентификации (IdP) поддерживает шифрование утверждений, вы можете сгенерировать и передать сертификат вашему IdP для включения шифрования. Каждый профиль SAML SSO может содержать до 2 сертификатов поставщика услуг (SP).

    1. Чтобы перейти в режим редактирования, нажмите на раздел «Подробности SP» .
    2. Для получения сертификата поставщика услуг нажмите «Сгенерировать сертификат» .
    3. Нажмите «Сохранить» . Скопируйте содержимое сертификата или загрузите его в виде файла.
    4. Передайте сертификат своему поставщику идентификации (IdP).
    5. (Необязательно) Чтобы сменить сертификат, вернитесь в раздел «Подробности поставщика услуг» и нажмите «Сгенерировать новый сертификат» , затем предоставьте новый сертификат вашему поставщику идентификации. Убедившись, что ваш поставщик идентификации использует новый сертификат, удалите исходный сертификат.

Настройте свой поставщик идентификации (IdP).

Чтобы настроить ваш поставщик идентификации (IdP) для использования этого профиля единого входа (SSO), введите информацию из раздела «Сведения о поставщике услуг (SP)» профиля в соответствующие поля в настройках SSO вашего IdP. URL-адрес ACS и идентификатор сущности уникальны для этого профиля.

Настройте устаревший профиль единого входа (SSO).

Устаревший профиль SSO поддерживается для пользователей, которые не перешли на профили SSO. Он поддерживает использование только с одним поставщиком идентификации (IdP).

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Единый вход (SSO) с использованием стороннего поставщика идентификации (IdP).

    Для этого требуются права администратора в разделе «Параметры безопасности» .

  2. В разделе «Профили SSO сторонних разработчиков» нажмите «Добавить профиль SAML» .
  3. В нижней части страницы с подробными сведениями об IdP нажмите « Перейти к настройкам профиля устаревшего SSO» .
  4. На странице профиля Legacy SSO установите флажок « Включить SSO с использованием стороннего поставщика идентификации ».
  5. Заполните следующую информацию для вашего поставщика идентификации (IdP):
    • Введите URL-адрес страницы входа и URL-адрес страницы выхода для вашего поставщика идентификации (IdP).

      Примечание : Все URL-адреса должны быть введены и использовать протокол HTTPS, например, https://sso.example.com.

    • Нажмите «Загрузить сертификат» , найдите и загрузите сертификат X.509, предоставленный вашим поставщиком идентификации (IdP). Для получения дополнительной информации см. раздел «Требования к сертификату» .
    • Выберите, следует ли использовать в SAML -запросе от Google эмитента, специфичного для домена .

      Если у вас несколько доменов, использующих единый вход (SSO) с вашим поставщиком идентификации (IdP), используйте эмитента, специфичного для данного домена, чтобы определить правильный домен, отправляющий запрос SAML.

      • Отмечено, что Google отправляет данные эмитенту, специфичным для вашего домена: google.com/a/example.com (где example.com — это ваше основное доменное имя в Google Workspace).
      • Если не отмечено, Google отправляет в SAML-запросе стандартный эмитент: google.com.
    • (Необязательно) Чтобы применить единый вход (SSO) к группе пользователей в определенных диапазонах IP-адресов, введите маску сети. Дополнительную информацию см. в разделе «Результаты сопоставления сети» .

      Примечание: вы также можете настроить частичный единый вход (SSO), назначив профиль SSO конкретным организационным подразделениям или группам.

    • Укажите URL-адрес для смены пароля для вашего поставщика идентификации (IdP). Пользователи будут переходить по этому URL-адресу (а не на страницу смены пароля Google), чтобы сбросить свои пароли. Все пользователи, кроме суперадминистраторов, которые попытаются изменить свой пароль по адресу https://myaccount.google.com/, будут перенаправлены на указанный вами URL-адрес. Этот параметр применяется, даже если вы не включили единый вход (SSO). Кроме того, сетевые маски не применяются.

      Примечание: Если вы введете здесь URL-адрес, пользователи будут перенаправлены на эту страницу, даже если вы не включили единый вход (SSO) для вашей организации.

  6. Нажмите « Сохранить ».

После сохранения устаревший профиль SSO отображается в таблице профилей SSO .

Настройте свой поставщик идентификации (IdP).

Чтобы настроить ваш поставщик идентификации (IdP) для использования этого профиля единого входа (SSO), введите информацию из раздела «Сведения о поставщике услуг (SP)» профиля в соответствующие поля в настройках SSO вашего IdP. URL-адрес ACS и идентификатор сущности уникальны для этого профиля.

Формат
URL ACS https://accounts.google.com/a/{ domain.com }/acs
Где {domain.com} — это доменное имя рабочей области вашей организации.
Идентификатор сущности Один из следующих вариантов:
  • google.com
  • google.com/a/customerprimarydomain (если вы выберете использование издателя, специфичного для домена, при настройке устаревшего профиля).

Отключите устаревший профиль SSO.

  1. В списке профилей SSO сторонних разработчиков выберите профиль Legacy SSO .
  2. В настройках профиля Legacy SSO снимите флажок «Включить SSO с помощью стороннего поставщика идентификации» .
  3. Подтвердите, что хотите продолжить, затем нажмите «Сохранить» .

В списке профилей SSO профиль Legacy SSO теперь отображается как «Отключено» .

  • Для организационных подразделений, которым назначен профиль Legacy SSO, в столбце «Назначенный профиль» будет отображаться предупреждение.
  • В столбце «Назначенный профиль» для организационного подразделения верхнего уровня будет отображаться «Нет» .
  • В разделе «Управление назначениями профилей SSO » профиль Legacy SSO отображается как неактивный .

Переход с устаревших профилей SAML на профили SSO

Если ваша организация использует устаревший профиль единого входа (SSO), мы рекомендуем перейти на профили SSO, которые предлагают ряд преимуществ, включая поддержку OIDC, более современные API и большую гибкость в применении настроек SSO к группам пользователей. Подробнее .

Настройка единого входа (SSO) с использованием OIDC

Для использования единого входа на основе OIDC выполните следующие шаги:

  1. Выберите вариант OIDC — либо создайте собственный профиль OIDC , указав информацию о вашем партнере по OIDC, либо используйте предварительно настроенный профиль OIDC от Microsoft Entra.
  2. Выполните действия, описанные в разделе «Определите, какие пользователи должны использовать SSO» , чтобы назначить предварительно настроенный профиль OIDC выбранным организационным подразделениям/группам.

Если в организационном подразделении (например, в подподразделении) есть пользователи, которым не требуется единый вход (SSO), вы также можете использовать назначения для отключения SSO для этих пользователей.

Примечание: В настоящее время интерфейс командной строки Google Cloud не поддерживает повторную аутентификацию с помощью OIDC.

Прежде чем начать

Для настройки пользовательского профиля OIDC вам потребуется базовая конфигурация от службы поддержки вашего поставщика идентификации (IdP) или из документации:

  • URL эмитента: Полный URL-адрес сервера авторизации поставщика идентификации (IdP).
  • Клиент OAuth, идентифицированный по своему идентификатору клиента (Client ID ) и аутентифицированный с помощью секретного ключа клиента (Client secret ).
  • URL страницы смены пароля. Страница, на которую пользователи SSO перейдут для смены пароля (вместо смены пароля через Google).

Кроме того, Google требует, чтобы ваш поставщик идентификации (IdP) делал следующее:

  • Указанный в вашем IdP адрес email должен совпадать с основным адресом электронной почты пользователя на стороне Google.
  • Необходимо использовать протокол авторизации.

Создайте пользовательский профиль OIDC.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Единый вход (SSO) с использованием стороннего поставщика идентификации (IdP).

    Для этого требуются права администратора в разделе «Параметры безопасности» .

  2. В разделе «Профили SSO сторонних разработчиков» нажмите «Добавить профиль OIDC» .
  3. Назовите профиль OIDC.
  4. Введите данные OIDC: идентификатор клиента, URL-адрес эмитента, секретный ключ клиента.
  5. Нажмите « Сохранить ».
  6. На странице настроек OIDC SSO для нового профиля скопируйте URI перенаправления . Вам потребуется обновить клиент OAuth на вашем поставщике идентификации, чтобы он отвечал на запросы, использующие этот URI.

Чтобы изменить настройки, наведите курсор на раздел «Подробности OIDC» , затем нажмите «Изменить». .

Используйте профиль Microsoft Entra OIDC.

Убедитесь, что в клиенте Microsoft Entra ID вашей организации настроены следующие предварительные условия для OIDC:

  • Необходимо подтвердить доменные данные клиента Microsoft Entra ID.
  • Конечные пользователи должны иметь лицензии Microsoft 365 .
  • Имя пользователя (основной адрес электронной почты) администратора Google Workspace, назначающего профиль SSO, должно совпадать с основным адресом электронной почты учетной записи администратора вашего клиента Azure AD.

Определите, каким пользователям следует использовать единый вход (SSO).

Включите единый вход (SSO) для организационной единицы или группы, назначив профиль SSO и связанный с ним поставщик идентификации (IdP). Или отключите SSO, назначив профилю SSO значение «Нет». Вы также можете применить смешанную политику SSO в рамках организационной единицы или группы, например, включить SSO для всей организационной единицы, а затем отключить его для подгруппы.

Если вы еще не создали профиль SAML или OIDC , сделайте это перед продолжением. Или же вы можете назначить предварительно настроенный профиль OIDC.

  1. Нажмите «Управление назначениями профилей SSO» .
  2. Если вы впервые назначаете профиль SSO, нажмите «Начать». В противном случае нажмите «Управление назначениями» .
  3. Слева выберите организационное подразделение или группу, которой вы назначаете профиль единого входа (SSO).
    • Если назначение профиля SSO для организационной единицы или группы отличается от назначения профиля в масштабе всего домена, при выборе этой организационной единицы или группы появится предупреждение о невозможности переопределения.
    • Назначить профиль единого входа (SSO) для каждого пользователя отдельно невозможно. В разделе «Пользователи» можно проверить настройки для конкретного пользователя.
  4. Выберите назначение профиля единого входа (SSO) для выбранного организационного подразделения или группы:
    • Чтобы исключить организационное подразделение или группу из системы единого входа (SSO), выберите «Нет» . Пользователи из организационного подразделения или группы будут входить в систему напрямую через Google.
    • Чтобы назначить другой поставщик идентификации (IdP) организационному подразделению или группе, выберите «Другой профиль SSO» , а затем выберите профиль SSO из раскрывающегося списка.

  5. (Только для профилей SAML SSO) После выбора профиля SAML выберите вариант входа для пользователей, которые переходят непосредственно в сервис Google, не входя предварительно в сторонний поставщик идентификации (IdP) профиля SSO. Вы можете запросить у пользователей их имя пользователя Google, а затем перенаправить их в IdP, или потребовать от пользователей ввести имя пользователя и пароль Google.

    Примечание: Если вы решите требовать от пользователей ввода имени пользователя и пароля Google, параметр «URL-адрес смены пароля для этого профиля SAML SSO» (доступен в разделе «Профиль SSO > Сведения об IDP») будет проигнорирован. Это гарантирует, что пользователи смогут менять свои пароли Google по мере необходимости.

  6. Нажмите « Сохранить ».

  7. (Необязательно) При необходимости назначьте профили единого входа (SSO) другим организационным подразделениям или группам.

После закрытия карточки «Управление назначениями профилей SSO» вы увидите обновленные назначения для организационных подразделений и групп в разделе «Управление назначениями профилей SSO» .

Удаление назначения профиля SSO

  1. Щелкните название группы или организационного подразделения, чтобы открыть настройки назначения профиля.
  2. Замените существующую настройку назначения на настройку родительского организационного подразделения:
    • Для назначения организационных подразделений нажмите «Наследовать» .
    • Для назначения групповых заданий нажмите «Отменить» .

Примечание : Ваше высшее организационное подразделение всегда присутствует в списке назначений профиля, даже если для параметра «Профиль» установлено значение «Нет».

См. также


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.