การตั้งค่า SSO

คุณสามารถตั้งค่า SSO โดยให้ Google เป็นผู้ให้บริการได้หลายวิธี ทั้งนี้ขึ้นอยู่กับความต้องการขององค์กร Google Workspace รองรับ SSO ทั้งแบบ SAML และ OIDC

หากผู้ใช้ใช้ URL ของบริการที่ใช้ได้เฉพาะในโดเมนนั้นเพื่อเข้าถึงบริการต่างๆ ของ Google (เช่น https://mail.google.com/a/example.com) คุณยังสามารถจัดการหลักการทำงานของ URL เหล่านี้ด้วย SSO ได้

หากองค์กรต้องการการเปลี่ยนเส้นทาง SSO แบบมีเงื่อนไขตามที่อยู่ IP หรือ SSO สำหรับผู้ดูแลระบบขั้นสูง คุณก็มีตัวเลือกในการกำหนดค่าโปรไฟล์ SSO เดิมด้วย

ตั้งค่า SSO ด้วย SAML

ก่อนเริ่มต้น

หากต้องการตั้งค่าโปรไฟล์ SAML SSO คุณจะต้องมีการกำหนดค่าพื้นฐานบางอย่างจากทีมสนับสนุนของ IdP หรือเอกสารประกอบ ดังนี้

  • รหัสเอนทิตี IdP: นี่คือวิธีที่ IdP ระบุตัวตนเมื่อสื่อสารกับ Google
  • URL ของหน้าลงชื่อเข้าใช้ หรือที่เรียกอีกอย่างว่า URL ของ SSO หรือ SAML 2.0 Endpoint (HTTP) นี่คือตำแหน่งที่ผู้ใช้ลงชื่อเข้าใช้ IdP
  • URL ของหน้าออกจากระบบ: หน้าที่ผู้ใช้จะไปถึงหลังจากออกจากแอปหรือบริการของ Google
  • URL การเปลี่ยนรหัสผ่าน: หน้าเว็บที่ผู้ใช้ SSO จะเข้าไปเปลี่ยนรหัสผ่าน (แทนการเปลี่ยนรหัสผ่านกับ Google)
  • ใบรับรอง: ใบรับรอง X.509 PEM จาก IdP ของคุณ ใบรับรองมีคีย์สาธารณะที่ยืนยันการลงชื่อเข้าใช้จาก IdP

ข้อกำหนดของใบรับรอง

  • ใบรับรองจะต้องเป็นใบรับรอง X.509 ในรูปแบบ PEM หรือ DER ที่มีคีย์สาธารณะฝังอยู่
  • คีย์สาธารณะต้องสร้างขึ้นด้วยอัลกอริทึม DSA หรือ RSA
  • คีย์สาธารณะในใบรับรองต้องตรงกับคีย์ส่วนตัวที่ใช้ลงชื่อในการตอบกลับ SAML

โดยปกติแล้วคุณจะได้รับใบรับรองเหล่านี้จาก IdP แต่คุณยังสามารถสร้างเองได้ด้วย

สร้างโปรไฟล์ SAML SSO

ทำตามขั้นตอนต่อไปนี้เพื่อสร้างโปรไฟล์ SSO ของบุคคลที่สาม คุณสร้างโปรไฟล์ในองค์กรได้สูงสุด 1,000 โปรไฟล์

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการตรวจสอบสิทธิ์จากนั้นSSO ด้วย IdP บุคคลที่สาม

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  2. คลิกเพิ่มโปรไฟล์ SAML ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม
  3. ในส่วนโปรไฟล์ SAML SSO ให้ป้อนชื่อโปรไฟล์
  4. (ไม่บังคับ) ในส่วนป้อนอีเมลโดยอัตโนมัติ ให้เลือกตัวเลือกที่ตรงกับรูปแบบคำแนะนำในการเข้าสู่ระบบที่ IdP รองรับ โปรดดูรายละเอียดที่หัวข้อใช้การป้อนอีเมลอัตโนมัติเพื่อลดความซับซ้อนในการลงชื่อเข้าใช้ SSO
  5. ในส่วนรายละเอียด IdP ให้ทำตามขั้นตอนต่อไปนี้
    1. ป้อนรหัสเอนทิตีของ IdP, URL หน้าลงชื่อเข้าใช้ และ URL หน้าออกจากระบบที่คุณได้รับจาก IdP
    2. ในส่วน URL การเปลี่ยนรหัสผ่าน ให้ป้อน URL การเปลี่ยนรหัสผ่านสำหรับ IdP ของคุณ โดยผู้ใช้จะไปที่ URL นี้เพื่อรีเซ็ตรหัสผ่าน

  6. คลิกอัปโหลดใบรับรอง

    คุณอัปโหลดใบรับรองได้สูงสุด 2 รายการ ซึ่งจะช่วยให้คุณมีตัวเลือกในการหมุนเวียนใบรับรองได้เมื่อจำเป็น

  7. คลิกบันทึก

  8. คัดลอกและบันทึกรหัสเอนทิตีและ ACS URL ในส่วนรายละเอียด SP คุณจะต้องใช้ค่าเหล่านี้เพื่อกำหนดค่า SSO กับ Google ในแผงควบคุมผู้ดูแลระบบ IdP

  9. (ไม่บังคับ) หาก IdP รองรับการเข้ารหัสการยืนยัน คุณจะสร้างและแชร์ใบรับรองกับ IdP เพื่อเปิดใช้การเข้ารหัสได้ โปรไฟล์ SAML SSO แต่ละรายการมีใบรับรอง SP ได้สูงสุด 2 รายการ

    1. คลิกส่วนรายละเอียด SP เพื่อเข้าสู่โหมดแก้ไข
    2. ในส่วนใบรับรอง SP ให้คลิกสร้างใบรับรอง
    3. คลิกบันทึก คัดลอกเนื้อหาใบรับรองหรือดาวน์โหลดเป็นไฟล์
    4. แชร์ใบรับรองกับ IdP
    5. (ไม่บังคับ) หากต้องการหมุนเวียนใบรับรอง ให้กลับไปที่รายละเอียด SP แล้วคลิกสร้างใบรับรองอื่น จากนั้นแชร์ใบรับรองใหม่กับ IdP ของคุณ เมื่อมั่นใจแล้วว่า IdP ใช้ใบรับรองใหม่อยู่ ให้ลบใบรับรองเดิม

กำหนดค่า IdP

หากต้องการกำหนดค่า IdP ให้ใช้โปรไฟล์ SSO นี้ โดยให้ป้อนข้อมูลจากส่วนรายละเอียดของผู้ให้บริการ (SP) ของโปรไฟล์ลงในช่องที่เหมาะสมในการตั้งค่า SSO ของ IdP ทั้ง ACS URL และรหัสเอนทิตีจะเฉพาะเจาะจงสำหรับโปรไฟล์นี้

กำหนดค่าโปรไฟล์ SSO แบบเดิม

โปรไฟล์ SSO เดิมจะรองรับผู้ใช้ที่ยังไม่ได้ย้ายข้อมูลไปยังโปรไฟล์ SSO โดยจะรองรับการใช้งานกับ IdP เดียวเท่านั้น

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการตรวจสอบสิทธิ์จากนั้นSSO ด้วย IdP บุคคลที่สาม

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  2. คลิกเพิ่มโปรไฟล์ SAML ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม
  3. ที่ด้านล่างของหน้ารายละเอียด IdP ให้คลิกไปที่การตั้งค่าโปรไฟล์ SSO เดิม
  4. ในหน้าโปรไฟล์ SSO แบบเดิม ให้เลือกช่องเปิดใช้ SSO ด้วยผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม
  5. กรอกข้อมูลต่อไปนี้สำหรับ IdP ของคุณ
    • ป้อน URL หน้าลงชื่อเข้าใช้และ URL หน้าออกจากระบบสำหรับ IdP ของคุณ

      หมายเหตุ: ต้องป้อน URL ทั้งหมดและต้องใช้ HTTPS เช่น https://sso.example.com

    • คลิกอัปโหลดใบรับรอง แล้วค้นหาและอัปโหลดใบรับรอง X.509 ที่ได้มาจาก IdP ของคุณ ดูข้อมูลเพิ่มเติมได้ที่หัวข้อข้อกำหนดเกี่ยวกับใบรับรอง
    • เลือกว่าจะใช้ผู้ให้บริการเฉพาะของโดเมนในคำขอ SAML จาก Google หรือไม่

      หากคุณมีโดเมนหลายโดเมนที่ใช้ SSO กับ IdP ของคุณ ให้ใช้ผู้ออกใบรับรองเฉพาะของโดเมนเพื่อระบุโดเมนที่ถูกต้องและออกคำขอ SAML

      • เลือก Google จะส่งผู้ออกใบรับรองเฉพาะของโดเมนเท่านั้น ซึ่งก็คือ google.com/a/example.com (โดยที่ example.com คือชื่อโดเมน Google Workspace หลักของคุณ)
      • ยกเลิกการเลือก Google จะส่งผู้ออกใบรับรองมาตรฐานในคำขอ SAML ซึ่งก็คือ google.com
    • (ไม่บังคับ) หากต้องการใช้ SSO กับกลุ่มผู้ใช้ภายในช่วงที่อยู่ IP ที่เจาะจง ให้ป้อนเน็ตเวิร์กมาสก์ ดูข้อมูลเพิ่มเติมได้ที่ผลลัพธ์ของการแมปเครือข่าย

      หมายเหตุ: คุณยังสามารถตั้งค่า SSO บางส่วนด้วยการกำหนดโปรไฟล์ SSO ให้กับหน่วยขององค์กรหรือกลุ่มที่ต้องการได้ด้วย

    • ป้อน URL การเปลี่ยนรหัสผ่านสำหรับ IdP ของคุณ โดยผู้ใช้จะไปที่ URL นี้ (ไม่ใช่หน้าเปลี่ยนรหัสผ่านของ Google) เพื่อรีเซ็ตรหัสผ่าน ระบบจะนำผู้ใช้ทุกคนที่ไม่ใช่ผู้ดูแลระบบขั้นสูงซึ่งพยายามเปลี่ยนรหัสผ่านที่ https://myaccount.google.com/ ไปยัง URL ที่คุณระบุ การตั้งค่านี้มีผลแม้ว่าคุณจะไม่ได้เปิดใช้ SSO ก็ตาม ส่วนเน็ตเวิร์กมาสก์จะไม่มีผล

      หมายเหตุ: หากป้อน URL ที่นี่ ระบบจะนำผู้ใช้ไปยังหน้านี้แม้ว่าคุณจะไม่ได้เปิดใช้ SSO สำหรับองค์กรก็ตาม

  6. คลิกบันทึก

หลังจากบันทึกแล้ว โปรไฟล์ SSO แบบเดิมจะแสดงในตารางโปรไฟล์ SSO

กำหนดค่า IdP

หากต้องการกำหนดค่า IdP ให้ใช้โปรไฟล์ SSO นี้ โดยให้ป้อนข้อมูลจากส่วนรายละเอียดของผู้ให้บริการ (SP) ของโปรไฟล์ลงในช่องที่เหมาะสมในการตั้งค่า SSO ของ IdP ทั้ง ACS URL และรหัสเอนทิตีจะเฉพาะเจาะจงสำหรับโปรไฟล์นี้

รูปแบบ
ACS URL https://accounts.google.com/a/{domain.com}/acs
โดยที่ {domain.com} คือชื่อโดเมน Workspace ขององค์กร
รหัสเอนทิตี อย่างใดอย่างหนึ่งต่อไปนี้
  • google.com
  • google.com/a/customerprimarydomain (หากคุณเลือกที่จะใช้ผู้ให้บริการเฉพาะของโดเมนเมื่อกำหนดค่าโปรไฟล์แบบเดิม)

ปิดใช้โปรไฟล์ SSO แบบเดิม

  1. คลิกโปรไฟล์ SSO แบบเดิมในรายการโปรไฟล์ SSO ของบุคคลที่สาม
  2. ในการตั้งค่าโปรไฟล์ SSO แบบเดิม ให้ยกเลิกการเลือกเปิดใช้ SSO ด้วยผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม
  3. ยืนยันว่าต้องการดำเนินการต่อ แล้วคลิกบันทึก

ในรายการโปรไฟล์ SSO ตอนนี้โปรไฟล์ SSO เดิมจะแสดงเป็นปิดใช้

  • หน่วยขององค์กรที่มีการกำหนดโปรไฟล์ SSO แบบเดิมจะแสดงการแจ้งเตือนในคอลัมน์โปรไฟล์ที่กำหนด
  • หน่วยขององค์กรระดับบนสุดจะแสดงเป็นไม่มีในคอลัมน์โปรไฟล์ที่กำหนด
  • ในส่วนจัดการการมอบหมายโปรไฟล์ SSO โปรไฟล์ SSO แบบเดิมจะแสดงเป็นไม่ทำงาน

ย้ายข้อมูลจาก SAML แบบเดิมไปยังโปรไฟล์ SSO

หากองค์กรใช้โปรไฟล์ SSO แบบเดิม เราขอแนะนำให้เปลี่ยนไปใช้โปรไฟล์ SSO ซึ่งมีข้อดีหลายประการ เช่น การรองรับ OIDC, API ที่ทันสมัยมากขึ้น และมีความยืดหยุ่นมากขึ้นในการใช้การตั้งค่า SSO กับกลุ่มผู้ใช้ ดูข้อมูลเพิ่มเติม

ตั้งค่า SSO ด้วย OIDC

ทำตามขั้นตอนต่อไปนี้เพื่อใช้ SSO ที่ใช้ OIDC

  1. เลือกตัวเลือก OIDC ซึ่งได้แก่ สร้างโปรไฟล์ OIDC ที่กำหนดเอง ซึ่งเป็นส่วนที่คุณให้ข้อมูลแก่พาร์ทเนอร์ OIDC หรือใช้โปรไฟล์ OIDC ที่กำหนดค่าไว้ล่วงหน้าของ Microsoft Entra
  2. ทำตามขั้นตอนในหัวข้อตัดสินใจว่าผู้ใช้รายใดควรใช้ SSO เพื่อกำหนดโปรไฟล์ OIDC ที่กำหนดค่าไว้ล่วงหน้าให้กับหน่วยขององค์กร/กลุ่มที่เลือก

หากมีผู้ใช้ภายในหน่วยขององค์กร (เช่น ในหน่วยขององค์กรย่อย) ที่ไม่จำเป็นต้องใช้ SSO คุณยังใช้การมอบหมายเพื่อปิด SSO ให้กับผู้ใช้เหล่านั้นได้ด้วย

หมายเหตุ: อินเทอร์เฟซบรรทัดคำสั่งของ Google Cloud ยังไม่รองรับการตรวจสอบสิทธิ์อีกครั้งโดยใช้ OIDC ในขณะนี้

ก่อนเริ่มต้น

หากต้องการตั้งค่าโปรไฟล์ OIDC ที่กำหนดเอง คุณต้องมีการกำหนดค่าพื้นฐานบางอย่างจากทีมสนับสนุนของ IdP หรือเอกสารประกอบ ดังนี้

  • URL ของผู้ออก URL ที่สมบูรณ์ของเซิร์ฟเวอร์การให้สิทธิ์ IdP
  • ไคลเอ็นต์ OAuth ซึ่งระบุโดยรหัสไคลเอ็นต์และตรวจสอบสิทธิ์โดยรหัสลับไคลเอ็นต์
  • URL การเปลี่ยนรหัสผ่าน หน้าเว็บที่ผู้ใช้ SSO จะเข้าไปเปลี่ยนรหัสผ่าน (แทนการเปลี่ยนรหัสผ่านกับ Google)

นอกจากนี้ Google ยังต้องการให้ IdP ทำสิ่งต่อไปนี้

  • การอ้างสิทธิ์ email จาก IdP ต้องตรงกับอีเมลหลักของผู้ใช้ในฝั่ง Google
  • ต้องใช้ขั้นตอนรหัสการให้สิทธิ์

สร้างโปรไฟล์ OIDC ที่กำหนดเอง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการตรวจสอบสิทธิ์จากนั้นSSO ด้วย IdP บุคคลที่สาม

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  2. คลิกเพิ่มโปรไฟล์ OIDC ในส่วนโปรไฟล์ SSO ของบุคคลที่สาม
  3. ตั้งชื่อโปรไฟล์ OIDC
  4. ป้อนรายละเอียด OIDC ได้แก่ รหัสไคลเอ็นต์, URL ของผู้ออก, รหัสลับไคลเอ็นต์
  5. คลิกบันทึก
  6. ในหน้าการตั้งค่า SSO ของ OIDC สำหรับโปรไฟล์ใหม่ ให้คัดลอก URI การเปลี่ยนเส้นทาง คุณจะต้องอัปเดตไคลเอ็นต์ OAuth ใน IdP เพื่อตอบกลับคำขอโดยใช้ URI นี้

หากต้องการแก้ไขการตั้งค่า ให้วางเมาส์เหนือรายละเอียด OIDC แล้วคลิกแก้ไข

ใช้โปรไฟล์ OIDC ของ Microsoft Entra

ตรวจสอบว่าคุณได้กำหนดค่าข้อกำหนดเบื้องต้นต่อไปนี้สำหรับ OIDC ในกลุ่มผู้ใช้ Microsoft Entra ID ขององค์กรคุณ

  • กลุ่มผู้ใช้ Microsoft Entra ID ต้องยืนยันโดเมน
  • ผู้ใช้ปลายทางต้องมีใบอนุญาต Microsoft 365
  • ชื่อผู้ใช้ (อีเมลหลัก) ของผู้ดูแลระบบ Google Workspace ที่กำหนดโปรไฟล์ SSO ต้องตรงกับอีเมลหลักของบัญชีผู้ดูแลระบบกลุ่มผู้ใช้ Azure AD

ตัดสินใจว่าผู้ใช้รายใดควรใช้ SSO

เปิดใช้ SSO สำหรับหน่วยขององค์กรหรือกลุ่มโดยกำหนดโปรไฟล์ SSO และ IdP ที่เชื่อมโยงไว้ หรือปิด SSO ด้วยการกำหนด "ไม่มี" ให้กับโปรไฟล์ SSO นอกจากนี้คุณยังใช้นโยบาย SSO แบบผสมภายในหน่วยขององค์กรหรือกลุ่มได้อีกด้วย เช่น เปิด SSO ให้กับหน่วยขององค์กรทั้งหมด จากนั้นปิดสำหรับหน่วยขององค์กรย่อย

หากยังไม่ได้สร้างโปรไฟล์ SAML หรือ OIDC ให้สร้างก่อนดำเนินการต่อ หรือจะกำหนดโปรไฟล์ OIDC ที่กำหนดค่าไว้ล่วงหน้าก็ได้

  1. คลิกจัดการการมอบหมายโปรไฟล์ SSO
  2. หากมอบหมายโปรไฟล์ SSO เป็นครั้งแรก ให้คลิกเริ่มต้นใช้งาน หรือคลิกจัดการงาน
  3. ทางด้านซ้าย ให้เลือกหน่วยขององค์กรหรือกลุ่มที่ต้องการมอบหมายโปรไฟล์ SSO
    • หากการมอบหมายโปรไฟล์ SSO ให้กับหน่วยขององค์กรหรือกลุ่มแตกต่างจากการมอบหมายโปรไฟล์ให้กับทั่วทั้งโดเมน คำเตือนการลบล้างจะปรากฏขึ้นเมื่อคุณเลือกหน่วยขององค์กรหรือกลุ่มดังกล่าว
    • คุณจะมอบหมายโปรไฟล์ SSO ให้ผู้ใช้ทีละรายไม่ได้ มุมมองผู้ใช้จะช่วยให้คุณสามารถตรวจสอบการตั้งค่าสำหรับผู้ใช้บางรายได้
  4. เลือกการมอบหมายโปรไฟล์ SSO ให้กับหน่วยขององค์กรหรือกลุ่มที่เลือก ดังนี้
    • หากต้องการยกเว้นหน่วยขององค์กรหรือกลุ่มจาก SSO ให้เลือกไม่มี ผู้ใช้ในหน่วยขององค์กรหรือกลุ่มจะลงชื่อเข้าใช้ Google โดยตรง
    • หากต้องการกำหนด IdP อื่นให้กับหน่วยขององค์กรหรือกลุ่ม ให้เลือกโปรไฟล์ SSO อื่น จากนั้นเลือกโปรไฟล์ SSO จากรายการแบบเลื่อนลง

  5. (เฉพาะโปรไฟล์ SAML SSO เท่านั้น) หลังจากเลือกโปรไฟล์ SAML แล้ว ให้เลือกตัวเลือกในการลงชื่อเข้าใช้สำหรับผู้ใช้ที่ไปยังบริการของ Google โดยตรงโดยไม่ได้ลงชื่อเข้าใช้ IdP บุคคลที่สามของโปรไฟล์ SSO ก่อน ซึ่งคุณสามารถแจ้งให้ป้อนชื่อผู้ใช้ Google จากนั้นจึงเปลี่ยนเส้นทางผู้ใช้ไปยัง IdP หรือกำหนดให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่าน Google ได้

    หมายเหตุ: ถ้าคุณเลือกที่จะกำหนดให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่าน Google ระบบจะละเว้นการตั้งค่า URL การเปลี่ยนรหัสผ่านสำหรับโปรไฟล์ SAML SSO นี้ (อยู่ในส่วนโปรไฟล์ SSO > รายละเอียด IDP) วิธีนี้ช่วยให้ผู้ใช้เปลี่ยนรหัสผ่าน Google ได้หากจำเป็น

  6. คลิกบันทึก

  7. (ไม่บังคับ) มอบหมายโปรไฟล์ SSO ให้กับหน่วยขององค์กรหรือกลุ่มอื่นๆ ตามต้องการ

หลังจากปิดการ์ดจัดการการมอบหมายโปรไฟล์ SSO คุณจะเห็นงานที่อัปเดตแล้วสำหรับหน่วยขององค์กรและกลุ่มในส่วนจัดการการมอบหมายโปรไฟล์ SSO

นำการมอบหมายโปรไฟล์ SSO ออก

  1. คลิกชื่อกลุ่มหรือหน่วยขององค์กรเพื่อเปิดการตั้งค่าการมอบหมายโปรไฟล์
  2. แทนที่การตั้งค่างานที่มีอยู่ด้วยการตั้งค่าหน่วยขององค์กรหลัก ดังนี้
    • สำหรับการมอบหมายหน่วยขององค์กร ให้คลิกรับค่าเดิม
    • สำหรับการมอบหมายกลุ่ม ให้คลิกยกเลิกการตั้งค่า

หมายเหตุ: หน่วยขององค์กรระดับบนสุดจะอยู่ในรายการการมอบหมายโปรไฟล์เสมอ แม้ว่าจะตั้งค่าโปรไฟล์เป็น "ไม่มี" ก็ตาม

ดูเพิ่มเติม


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง