Kuruluşunuzun ihtiyaçlarına göre, servis sağlayıcınız olarak Google ile TOA'yı çeşitli şekillerde ayarlayabilirsiniz. Google Workspace, hem SAML tabanlı hem de OIDC tabanlı TOA'yı destekler.
- IdP'nizin ayarlarını içeren TOA profilleri, kuruluşunuzdaki farklı kullanıcılara farklı TOA ayarları uygulama esnekliği sağlar. SAML tabanlı profiller, özel OIDC profilleri oluşturun veya yapılandırma gerektirmeyen varsayılan Microsoft Entra OIDC profilini kullanın.
- TOA profillerini oluşturduktan sonra profilleri kuruluş birimlerine veya gruplara atayın ve bu kullanıcılar için IdP'yi ayarlayın. Ayrıca TOA'yı belirli kuruluş birimleri veya gruplar için devre dışı bırakabilirsiniz.
Kullanıcılarınız Google hizmetlerine erişmek için alana özel hizmet URL'leri (ör. https://mail.google.com/a/example.com) kullanıyorsa bu URL'lerin TOA ile nasıl çalışacağını da yönetebilirsiniz.
Kuruluşunuzun IP adresine dayalı koşullu TOA yönlendirmesine veya süper yöneticiler için TOA'ya ihtiyacı varsa eski TOA profilini yapılandırma seçeneğini de kullanabilirsiniz.
SAML ile TOA ayarlarını yapma
Başlamadan önce
SAML TOA profili oluşturmak için IdP'nizin destek ekibinden veya dokümanlardan bazı temel yapılandırmalara ihtiyacınız olacaktır:
- IdP varlık kimliği: Bu, IdP'nizin Google ile iletişim kurarken kendisini nasıl tanımladığını belirtir.
- Oturum açma sayfası URL'si: TOA URL'si veya SAML 2.0 Uç Noktası (HTTP) olarak da bilinir. Kullanıcıların IdP'nizde oturum açtığı yer burasıdır.
- Oturum kapatma sayfası URL'si: Kullanıcının Google uygulamasından veya hizmetinden çıktıktan sonra yönlendirildiği sayfa.
- Şifre URL'sini değiştirme: TOA kullanıcılarının (şifrelerini Google ile değiştirmek yerine) şifrelerini değiştirmek için kullanacağı sayfa.
- Sertifika: IdP'nizden gelen X.509 PEM sertifikası. Sertifika, IdP'den gelen oturum açma işlemini doğrulayan ortak anahtarı içerir.
Sertifika şartları
- Sertifika, yerleştirilmiş ortak anahtar içeren PEM veya DER biçimli bir X.509 sertifikası olmalıdır.
- Ortak anahtarın DSA veya RSA algoritmaları kullanılarak oluşturulmuş olması gereklidir.
- Sertifikadaki ortak anahtar, SAML yanıtını imzalamak için kullanılan özel anahtarla eşleşmelidir.
Bu sertifikaları genellikle IdP'nizden alırsınız. Ancak sertifikaları kendiniz de oluşturabilirsiniz.
SAML TOA profili oluşturma
Üçüncü taraf bir TOA profili oluşturmak için aşağıdaki adımları uygulayın: Kuruluşunuzda en fazla 1.000 profil oluşturabilirsiniz.
-
Google Yönetici Konsolu'nda Menü
GüvenlikKimlik doğrulamaÜçüncü taraf IdP ile TOA'ya gidin.Güvenlik Ayarları yönetici ayrıcalığına sahip olmayı gerektirir.
- Üçüncü taraf TOA profilleri bölümünde SAML profili ekle'yi tıklayın.
- SAML TOA profili için bir profil adı girin.
- (İsteğe bağlı) E-postayı otomatik doldurma için IdP'nizin desteklediği giriş ipucu biçimiyle eşleşen seçeneği belirleyin. Ayrıntılar için TOA ile oturum açma işlemlerini basitleştirmek için e-posta adresini otomatik doldurma başlıklı makaleyi inceleyin.
- IdP ayrıntıları bölümünde aşağıdaki adımları tamamlayın:
- IdP'nizden aldığınız IDP varlık kimliği, Oturum açma sayfası URL'si ve Oturum kapatma sayfası URL'sini girin.
- Şifre değiştirme URL'si için IdP'niz için şifre değiştirme URL'si girin. Kullanıcılar, şifrelerini sıfırlamak için bu URL'ye gider.
Sertifika yükle'yi tıklayın.
İki adede kadar sertifika yükleyebilirsiniz. Böylece, gerektiğinde sertifikaları döndürme seçeneğiniz olur.
Kaydet'i tıklayın.
SP Details (Servis Sağlayıcı Ayrıntıları) bölümünde Entity ID (Varlık Kimliği) ve ACS URL (ACS URL'si) değerlerini kopyalayıp kaydedin. IdP yönetici kontrol panelinizde Google ile TOA'yı yapılandırmak için bu değerlere ihtiyacınız olacaktır.
(İsteğe bağlı) IdP'niz onaylamaların şifrelenmesini destekliyorsa şifrelemeyi etkinleştirmek için bir sertifika oluşturup IdP'nizle paylaşabilirsiniz. Her SAML TOA profilinde en fazla 2 SS sertifikası bulunabilir.
- Düzenleme moduna girmek için SS Ayrıntıları bölümünü tıklayın.
- SS sertifikası bölümünde Sertifika oluştur'u tıklayın.
- Kaydet'i tıklayın. Sertifika içeriğini kopyalayın veya dosya olarak indirin.
- Sertifikayı IdP'nizle paylaşın.
- (İsteğe bağlı) Bir sertifikanın rotasyonunu gerçekleştirmek için SS Ayrıntıları'na geri dönün ve Başka bir sertifika oluştur'u tıklayın, ardından yeni sertifikayı IdP'nizle paylaşın. IdP'nizin yeni sertifikayı kullandığından emin olduktan sonra orijinal sertifikayı silin.
IdP'nizi yapılandırma
IdP'nizi bu TOA profilini kullanacak şekilde yapılandırmak için profilin Servis Sağlayıcı (SP) Ayrıntıları bölümündeki bilgileri IdP TOA ayarlarınızdaki uygun alanlara girin. Hem ACS URL'si hem de Varlık Kimliği bu profile özgüdür.
Eski TOA profilini yapılandırma
Eski TOA profili, TOA profillerine geçiş yapmayan kullanıcılar için desteklenir. Tek bir IdP ile kullanımı destekler.
-
Google Yönetici Konsolu'nda Menü
GüvenlikKimlik doğrulamaÜçüncü taraf IdP ile TOA'ya gidin.Güvenlik Ayarları yönetici ayrıcalığına sahip olmayı gerektirir.
- Üçüncü taraf TOA profilleri bölümünde SAML profili ekle'yi tıklayın.
- IdP ayrıntıları sayfasının en altında Eski TOA profili ayarlarına git'i tıklayın.
- Eski TOA profili sayfasında Üçüncü taraf kimlik sağlayıcıyla TOA'yı etkinleştir kutusunu işaretleyin.
- IdP'niz için şu bilgileri girin:
- IdP'niz için Oturum açma sayfası URL'sini ve Oturum kapatma sayfası URL'sini girin.
Not: Tüm URL'ler girilmeli ve tüm URL'lerde HTTPS kullanılmalıdır. Örneğin, https://toa.example.com.
- Sertifika yükle'yi tıklayın ve IdP'nizin sağladığı X.509 sertifikasını bulup yükleyin. Daha fazla bilgi için Sertifika şartları başlıklı makaleyi inceleyin.
- Google'dan gelen SAML isteğinde alana özel bir yayıncı kullanıp kullanmayacağınızı seçin.
IdP'nizle TOA kullanan birden çok alanınız varsa SAML isteğini gönderen doğru alanı tanımlamak için alana özel bir yayıncı kullanın.
- İşaretli Google, alanınıza özgü bir yayıncı gönderir: google.com/a/ornek.com (burada example.com birincil Google Workspace alan adınızdır)
- İşaretsiz Google, SAML isteğinde standart yayıncıyı gönderir: google.com
- (İsteğe bağlı) TOA'yı belirli IP adresi aralıklarındaki bir kullanıcı grubuna uygulamak için ağ maskesi girin. Daha fazla bilgi için Ağ eşleme sonuçları başlıklı makaleye göz atın.
Not: TOA profilini belirli kuruluş birimlerine veya gruplarına atayarak da kısmi TOA ayarlarını yapabilirsiniz.
- IdP'niz için şifre değiştirme URL'si girin. Kullanıcılar, şifrelerini sıfırlamak için (Google'ın şifre değiştirme sayfası yerine) bu URL'ye gider. https://myaccount.google.com/ adresinde şifrelerini değiştirmeye çalışan süper yöneticiler dışındaki tüm kullanıcılar, belirttiğiniz URL'ye yönlendirilir. Bu ayar, TOA'yı etkinleştirmeseniz bile uygulanır. Ayrıca, ağ maskeleri uygulanmaz.
Not: Buraya bir URL girdiğinizde kuruluşunuz için TOA'yı etkinleştirmeseniz bile kullanıcılar bu sayfaya yönlendirilir.
- IdP'niz için Oturum açma sayfası URL'sini ve Oturum kapatma sayfası URL'sini girin.
- Kaydet'i tıklayın.
Eski TOA profili, kaydedildikten sonra TOA profilleri tablosunda listelenir.
IdP'nizi yapılandırma
IdP'nizi bu TOA profilini kullanacak şekilde yapılandırmak için profilin Servis Sağlayıcı (SP) Ayrıntıları bölümündeki bilgileri IdP TOA ayarlarınızdaki uygun alanlara girin. Hem ACS URL'si hem de Varlık Kimliği bu profile özgüdür.
| Biçim | |
| ACS URL'si | https://accounts.google.com/a/{alanadi.com}/acs Burada {alanadi.com}, kuruluşunuzun Workspace alan adıdır. |
| Varlık Kimliği | Aşağıdakilerden biri:
|
Eski TOA profilini devre dışı bırakma
- Üçüncü taraf TOA profilleri listesinde Eski TOA profili'ni tıklayın.
- Eski TOA profili ayarlarında Üçüncü taraf kimlik sağlayıcı ile TOA'yı etkinleştir seçeneğinin işaretini kaldırın.
- Devam etmek istediğinizi onaylayıp Kaydet'i tıklayın.
TOA profilleri listesinde Eski TOA profili artık Devre dışı olarak görünür.
- Eski TOA profilinin atandığı kuruluş birimlerinde Atanan profil sütununda bir uyarı gösterilir.
- Üst düzey kuruluş birimi, Atanan profil sütununda Yok değerini gösterir.
- TOA profili atamalarını yönet bölümünde eski TOA profili etkin değil olarak görünür.
Eski SAML'den TOA profillerine geçiş
Kuruluşunuz eski TOA profilini kullanıyorsa OIDC desteği, daha modern API'ler ve kullanıcı gruplarınıza TOA ayarlarını uygulama konusunda daha fazla esneklik gibi çeşitli avantajlar sunan TOA profillerine geçmenizi öneririz. Daha fazla bilgi
OIDC ile TOA ayarlarını yapma
OIDC tabanlı TOA'yı kullanmak için aşağıdaki adımları uygulayın:
- Bir OIDC seçeneği belirleyin. OIDC iş ortağınız için bilgi sağladığınız özel bir OIDC profili oluşturun veya önceden yapılandırılmış Microsoft Entra OIDC profilini kullanın.
- Önceden yapılandırılmış OIDC profilini seçilen kuruluş birimlerine/gruplara atamak için Hangi kullanıcıların TOA kullanması gerektiğine karar verme bölümündeki adımları uygulayın.
Bir kuruluş birimi içinde (ör. alt kuruluş biriminde) TOA'ya ihtiyacı olmayan kullanıcılarınız varsa atamaları kullanarak TOA'yı bu kullanıcılar için devre dışı da bırakabilirsiniz.
Not: Google Cloud komut satırı arayüzü şu anda OIDC ile yeniden kimlik doğrulamayı desteklememektedir.
Başlamadan önce
Özel bir OIDC profili oluşturmak için IdP'nizin destek ekibinden veya dokümanlarından bazı temel yapılandırmalara ihtiyacınız olacaktır:
- Düzenleyici URL'si: IdP yetkilendirme sunucusunun tam URL'si.
- İstemci kimliği ile tanımlanan ve istemci gizli anahtarı ile kimliği doğrulanan bir OAuth istemcisi.
- Şifre URL'sini değiştirme: TOA kullanıcılarının (şifrelerini Google ile değiştirmek yerine) şifrelerini değiştirmek için kullanacağı sayfa.
Ayrıca Google'ın bunu yapabilmesi için IdP'nizin de yapması gerekenler vardır:
- IdP'nizden gelen
emailtalebi, kullanıcının Google tarafındaki birincil e-posta adresiyle eşleşmelidir. - Yetkilendirme kodu akışı kullanılmalıdır.
Özel OIDC profili oluşturma
-
Google Yönetici Konsolu'nda Menü
GüvenlikKimlik doğrulamaÜçüncü taraf IdP ile TOA'ya gidin.Güvenlik Ayarları yönetici ayrıcalığına sahip olmayı gerektirir.
- Üçüncü taraf TOA profilleri bölümünde OIDC profili ekle'yi tıklayın.
- OIDC profiline ad verin.
- OIDC ayrıntılarını girin: İstemci kimliği, Yayıncı URL'si, İstemci gizli anahtarı.
- Kaydet'i tıklayın.
- Yeni profilin OIDC TOA ayarları sayfasında Yönlendirme URI'sini kopyalayın. Bu URI'yi kullanarak isteklere yanıt vermek için IdP'nizdeki OAuth istemcinizi güncellemeniz gerekir.
Ayarları düzenlemek için fareyle OIDC Ayrıntıları'nın üzerine gelin ve ardından Düzenle'yi
tıklayın.
Microsoft Entra OIDC profilini kullanma
Kuruluşunuzun Microsoft Entra ID kiracısında OIDC için aşağıdaki ön koşulları yapılandırdığınızdan emin olun:
- Microsoft Entra ID kiracısının alan doğrulaması yapılmış olmalıdır.
- Son kullanıcıların Microsoft 365 lisanslarına sahip olması gerekir.
- SSO profilini atayan Google Workspace yöneticisinin kullanıcı adı (birincil e-posta), Azure AD kiracı yönetici hesabınızın birincil e-posta adresiyle eşleşmelidir.
Hangi kullanıcıların TOA kullanması gerektiğine karar verme
Bir kuruluş birimi veya grup için TOA profili ve ilişkili IdP'sini atayarak TOA'yı etkinleştirin. İsterseniz, TOA profili için "Yok" değeri atayarak TOA'yı da kapatabilirsiniz. Bir kuruluş birimine veya gruba karma bir TOA politikası da uygulayabilirsiniz. Örneğin, kuruluş biriminin tamamı için TOA'yı etkinleştirip daha sonra bir alt kuruluş birimi için devre dışı bırakabilirsiniz.
SAML veya OIDC profili oluşturmadıysanız devam etmeden önce profil oluşturun. Alternatif olarak, önceden yapılandırılmış OIDC profilini atayabilirsiniz.
- TOA profili atamalarını yönetin seçeneğini tıklayın.
- TOA profilini ilk kez atıyorsanız Başlayın'ı tıklayın. Aksi takdirde Atamaları yönet'i tıklayın.
- Sol tarafta, TOA profili atadığınız kuruluş birimini veya grubu seçin.
- Bir kuruluş birimine veya gruba ilişkin TOA profili ataması, alan genelindeki profil atamanızdan farklıysa söz konusu kuruluş birimini ya da grubu seçtiğinizde geçersiz kılma uyarısı görüntülenir.
- TOA profilini kullanıcı bazında atayamazsınız. Kullanıcılar görünümü, belirli bir kullanıcının ayarını kontrol edebilmenizi sağlar.
- Seçilen kuruluş birimi veya grup için TOA profili ataması seçin:
- Kuruluş birimini veya grubu TOA'nın dışında tutmak için Yok'u seçin. Kuruluş birimindeki veya gruptaki kullanıcılar doğrudan Google ile oturum açar.
- Kuruluş birimine veya gruba başka bir IdP atamak için Başka bir TOA profili'ni ve ardından açılır listeden TOA profilini seçin.
(Yalnızca SAML TOA profilleri) Bir SAML profili seçtikten sonra, TOA profilinin üçüncü taraf IdP'sinde oturum açmadan doğrudan Google hizmetine giden kullanıcılar için bir oturum açma seçeneği belirleyin. Kullanıcılardan Google kullanıcı adlarını isteyebilir, ardından IdP'ye yönlendirebilir veya kullanıcıların Google kullanıcı adlarını ve şifrelerini girmelerini zorunlu kılabilirsiniz.
Not: Kullanıcıların Google kullanıcı adlarını ve şifrelerini girmelerini zorunlu kılarsanız bu SAML TOA profilinin Şifre URL'sini değiştir ayarı (TOA Profili > IdP ayrıntıları bölümünde bulunabilir) yoksayılır. Bu sayede kullanıcılar Google şifrelerini gerektiği gibi değiştirebilir.
Kaydet'i tıklayın.
(İsteğe bağlı) Gerektiğinde diğer kuruluş birimlerine veya gruplara TOA profili atayın.
TOA profili atamalarını yönetin kartını kapattıktan sonra TOA profili atamalarını yönetin bölümünde kuruluş birimleri ve gruplar için güncellenmiş atamaları görürsünüz.
TOA profili atamasını kaldırma
- Bir grubun veya kuruluş biriminin adını tıklayarak profil atama ayarlarını açın.
- Mevcut atama ayarını üst kuruluş birimi ayarıyla değiştirin:
- Kuruluş birimi atamaları için Devral'ı tıklayın.
- Grup atamaları için Ayarı kaldır'ı tıklayın.
Not: Profil "Yok" olarak ayarlanmış olsa bile üst kuruluş biriminiz profil atama listesinde her zaman bulunur.
Aşağıdaki kaynakları da incelemenizi öneririz:
Google, Google Workspace ve ilgili markalar ile logolar Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.