Thiết lập tính năng Đăng nhập một lần (SSO)

Bạn có thể thiết lập SSO với Google làm nhà cung cấp dịch vụ theo nhiều cách, tuỳ thuộc vào nhu cầu của tổ chức. Google Workspace hỗ trợ cả tính năng SSO dựa trên SAML và OIDC.

Nếu người dùng sử dụng URL dịch vụ dành riêng cho miền để truy cập vào các dịch vụ của Google (ví dụ: https://mail.google.com/a/example.com), bạn cũng có thể quản lý cách các URL này hoạt động với tính năng SSO.

Nếu tổ chức của bạn cần chuyển hướng có điều kiện bằng SSO dựa trên địa chỉ IP hoặc SSO cho quản trị viên cấp cao, bạn cũng có thể định cấu hình cấu hình SSO cũ.

Thiết lập tính năng đăng nhập một lần bằng SAML

Trước khi bắt đầu

Để thiết lập hồ sơ SSO SAML, bạn cần có một số cấu hình cơ bản từ nhóm hỗ trợ hoặc tài liệu của nhà cung cấp danh tính (IdP):

  • Mã nhận dạng thực thể của nhà cung cấp danh tính (IdP): Đây là cách IdP tự nhận dạng khi giao tiếp với Google.
  • URL trang đăng nhập: URL này còn được gọi là URL SSO hoặc Điểm cuối SAML 2.0 (HTTP). Đây là nơi người dùng đăng nhập vào IdP của bạn.
  • URL trang đăng xuất: Trang mà người dùng sẽ truy cập sau khi thoát ứng dụng hoặc dịch vụ của Google.
  • URL thay đổi mật khẩu: Trang mà người dùng SSO sẽ truy cập để thay đổi mật khẩu (thay vì thay đổi mật khẩu bằng Google).
  • Chứng chỉ: Chứng chỉ X.509 PEM của IdP. Chứng chỉ này chứa khoá công khai để xác minh hoạt động đăng nhập từ IdP.

Yêu cầu về chứng chỉ

  • Chứng chỉ phải là chứng chỉ X.509 có định dạng PEM hoặc DER và có khoá công khai được nhúng.
  • Khoá công khai phải được tạo bằng thuật toán DSA hoặc RSA.
  • Khoá công khai trong chứng chỉ phải khớp với khoá riêng tư dùng để ký phản hồi SAML.

Thông thường, bạn sẽ nhận được những chứng chỉ này từ nhà cung cấp danh tính (IdP). Tuy nhiên, bạn cũng có thể tự tạo các câu lệnh này.

Tạo một cấu hình Đăng nhập một lần dựa trên SAML

Hãy làm theo các bước sau để tạo một cấu hình SSO của bên thứ ba. Bạn có thể tạo tối đa 1.000 hồ sơ trong tổ chức của mình.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mậtsau đóXác thựcsau đóĐăng nhập một lần (SSO) thông qua IdP bên thứ ba.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. Trong phần Cấu hình SSO của bên thứ ba, hãy nhấp vào Thêm cấu hình SAML.
  3. Đối với cấu hình Đăng nhập một lần dựa trên SAML, hãy nhập tên cấu hình.
  4. (Không bắt buộc) Đối với Tự động điền email, hãy chọn lựa chọn phù hợp với định dạng gợi ý đăng nhập được IdP của bạn hỗ trợ. Để biết thông tin chi tiết, hãy xem bài viết Sử dụng tính năng Tự động điền email để đơn giản hoá quy trình đăng nhập bằng SSO.
  5. Trong phần Thông tin chi tiết về IdP, hãy hoàn tất các bước sau:
    1. Nhập mã nhận dạng thực thể IDP, URL trang đăng nhậpURL trang đăng xuất mà bạn nhận được từ IdP.
    2. Đối với URL thay đổi mật khẩu, hãy nhập URL thay đổi mật khẩu cho IdP của bạn. Người dùng sẽ truy cập vào URL này để đặt lại mật khẩu.

  6. Nhấp vào Tải chứng chỉ lên.

    Bạn có thể tải tối đa 2 chứng chỉ lên, nhờ đó bạn có thể xoay vòng chứng chỉ khi cần.

  7. Nhấp vào Lưu.

  8. Trong mục Thông tin chi tiết về SP, hãy sao chép và lưu Mã nhận dạng thực thểURL ACS. Bạn sẽ cần những giá trị này để định cấu hình tính năng Đăng nhập một lần bằng Google trong bảng điều khiển quản trị của nhà cung cấp dịch vụ nhận dạng (IdP).

  9. (Không bắt buộc) Nếu IdP của bạn hỗ trợ mã hoá câu nhận định, bạn có thể tạo và chia sẻ chứng chỉ với IdP để bật tính năng mã hoá. Mỗi hồ sơ đăng nhập một lần dựa trên SAML có thể có tối đa 2 chứng chỉ SP.

    1. Nhấp vào mục Thông tin chi tiết về SP để chuyển sang chế độ chỉnh sửa.
    2. Đối với chứng chỉ SP, hãy nhấp vào Tạo chứng chỉ.
    3. Nhấp vào Lưu. Sao chép nội dung chứng chỉ hoặc tải chứng chỉ xuống dưới dạng tệp.
    4. Chia sẻ chứng chỉ với IdP của bạn.
    5. (Không bắt buộc) Để xoay vòng chứng chỉ, hãy quay lại phần Thông tin chi tiết về SP rồi nhấp vào Tạo một chứng chỉ khác, sau đó chia sẻ chứng chỉ mới với IdP của bạn. Sau khi bạn chắc chắn rằng IdP đang sử dụng chứng chỉ mới, hãy xoá chứng chỉ ban đầu.

Định cấu hình IdP

Để định cấu hình IdP sử dụng cấu hình SSO này, hãy nhập thông tin trong phần Thông tin chi tiết về nhà cung cấp dịch vụ (SP) của cấu hình vào các trường thích hợp trong chế độ cài đặt SSO của IdP. Cả URL ACS và Mã nhận dạng của tổ chức đều là duy nhất đối với hồ sơ này.

Định cấu hình cấu hình đăng nhập một lần (SSO) cũ

Cấu hình SSO cũ được hỗ trợ cho những người dùng chưa di chuyển sang cấu hình SSO. Tính năng này chỉ hỗ trợ việc sử dụng với một IdP.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mậtsau đóXác thựcsau đóĐăng nhập một lần (SSO) thông qua IdP bên thứ ba.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. Trong phần Cấu hình đăng nhập một lần (SSO) của bên thứ ba, hãy nhấp vào Thêm cấu hình SAML.
  3. Ở cuối trang Thông tin chi tiết về IdP, hãy nhấp vào Chuyển đến chế độ cài đặt hồ sơ SSO cũ.
  4. Trên trang Cấu hình đăng nhập một lần (SSO) cũ, hãy đánh dấu vào hộp Bật SSO thông qua nhà cung cấp dịch vụ danh tính bên thứ ba.
  5. Điền các thông tin sau cho IdP của bạn:
    • Nhập URL trang đăng nhậpURL trang đăng xuất cho IdP của bạn.

      Lưu ý: Bạn phải nhập tất cả URL và phải sử dụng HTTPS, ví dụ: https://sso.example.com.

    • Nhấp vào Tải chứng chỉ lên, sau đó tìm và tải chứng chỉ X.509 do IdP của bạn cung cấp lên. Để biết thêm thông tin, hãy xem Yêu cầu về chứng chỉ.
    • Chọn xem có sử dụng nhà phát hành dành riêng cho miền trong yêu cầu SAML từ Google hay không.

      Nếu bạn có nhiều miền sử dụng SSO với IdP, hãy sử dụng một nhà phát hành dành riêng cho miền để xác định miền chính xác phát hành yêu cầu SAML.

      • Đã kiểm tra Google gửi một tổ chức phát hành dành riêng cho miền của bạn: google.com/a/example.com (trong đó example.com là tên miền chính của bạn trên Google Workspace)
      • Chưa đánh dấu Google gửi tổ chức phát hành tiêu chuẩn trong yêu cầu SAML: google.com
    • (Không bắt buộc) Để áp dụng SSO cho một nhóm người dùng trong phạm vi địa chỉ IP cụ thể, hãy nhập một mặt nạ mạng. Để biết thêm thông tin, hãy xem phần Kết quả lập bản đồ mạng.

      Lưu ý: bạn cũng có thể thiết lập chế độ SSO một phần bằng cách chỉ định cấu hình SSO cho các đơn vị tổ chức hoặc nhóm cụ thể.

    • Nhập URL thay đổi mật khẩu cho IdP của bạn. Người dùng sẽ truy cập vào URL này (thay vì trang đổi mật khẩu của Google) để đặt lại mật khẩu. Tất cả người dùng (ngoại trừ quản trị viên cấp cao) tìm cách đổi mật khẩu tại https://myaccount.google.com/ sẽ được chuyển hướng đến URL mà bạn chỉ định. Chế độ cài đặt này áp dụng ngay cả khi bạn không bật tính năng SSO. Ngoài ra, mặt nạ mạng không áp dụng.

      Lưu ý: Nếu bạn nhập một URL tại đây, người dùng sẽ được chuyển hướng đến trang này ngay cả khi bạn không bật tính năng SSO cho tổ chức của mình.

  6. Nhấp vào Lưu.

Sau khi lưu, cấu hình SSO cũ sẽ xuất hiện trong bảng Cấu hình SSO.

Định cấu hình IdP

Để định cấu hình IdP sử dụng hồ sơ SSO này, hãy nhập thông tin trong phần Thông tin chi tiết về nhà cung cấp dịch vụ (SP) của hồ sơ vào các trường thích hợp trong chế độ cài đặt SSO của IdP. Cả URL ACS và Mã nhận dạng của tổ chức đều là duy nhất đối với hồ sơ này.

Định dạng
URL ACS https://accounts.google.com/a/{domain.com}/acs
Trong đó {domain.com} là tên miền Workspace của tổ chức bạn
Mã nhận dạng thực thể Một trong hai cách sau:
  • google.com
  • google.com/a/customerprimarydomain (nếu bạn chọn sử dụng một tổ chức phát hành dành riêng cho miền khi định cấu hình hồ sơ cũ).

Tắt cấu hình đăng nhập một lần (SSO) cũ

  1. Trong danh sách Cấu hình đăng nhập một lần (SSO) của bên thứ ba, hãy nhấp vào Cấu hình đăng nhập một lần (SSO) cũ.
  2. Trong phần cài đặt Cấu hình đăng nhập một lần (SSO) cũ, hãy bỏ chọn Bật SSO với nhà cung cấp danh tính bên thứ ba.
  3. Xác nhận rằng bạn muốn tiếp tục, sau đó nhấp vào Lưu.

Trong danh sách Cấu hình SSO, Cấu hình SSO cũ hiện có trạng thái là Đã tắt.

  • Những đơn vị tổ chức được chỉ định cấu hình SSO cũ sẽ hiển thị một cảnh báo trong cột Cấu hình được chỉ định.
  • Đơn vị tổ chức cấp cao nhất sẽ hiển thị Không có trong cột Hồ sơ được chỉ định.
  • Trong phần Quản lý số lượt chỉ định cấu hình SSO, cấu hình SSO cũ sẽ xuất hiện ở trạng thái không hoạt động.

Di chuyển từ SAML cũ sang cấu hình SSO

Nếu tổ chức của bạn đang sử dụng cấu hình SSO cũ, bạn nên di chuyển sang cấu hình SSO. Cấu hình này có nhiều ưu điểm, bao gồm cả việc hỗ trợ OIDC, API hiện đại hơn và khả năng linh hoạt hơn khi áp dụng chế độ cài đặt SSO cho các nhóm người dùng. Tìm hiểu thêm.

Thiết lập dịch vụ đăng nhập một lần (SSO) bằng OIDC

Hãy làm theo các bước sau để sử dụng tính năng SSO dựa trên OIDC:

  1. Chọn một lựa chọn OIDC – tạo cấu hình OIDC tuỳ chỉnh (trong đó bạn cung cấp thông tin cho đối tác OIDC của mình) hoặc sử dụng cấu hình OIDC Microsoft Entra được định cấu hình sẵn.
  2. Làm theo các bước trong phần Quyết định người dùng nào nên sử dụng SSO để chỉ định cấu hình OIDC được định cấu hình sẵn cho các đơn vị tổ chức/nhóm đã chọn.

Nếu có người dùng trong một đơn vị tổ chức (ví dụ: trong một đơn vị tổ chức con) không cần sử dụng SSO, bạn cũng có thể dùng tính năng chỉ định để tắt SSO cho những người dùng đó.

Lưu ý: Giao diện dòng lệnh Google Cloud hiện không hỗ trợ xác thực lại bằng OIDC.

Trước khi bắt đầu

Để thiết lập một hồ sơ OIDC tuỳ chỉnh, bạn cần có một số cấu hình cơ bản từ nhóm hỗ trợ hoặc tài liệu của IdP:

  • URL của nhà phát hành URL đầy đủ của máy chủ uỷ quyền IdP.
  • Một ứng dụng khách OAuth, được xác định bằng Mã ứng dụng khách và được xác thực bằng Khoá bí mật của ứng dụng khách.
  • URL thay đổi mật khẩu Trang mà người dùng SSO sẽ truy cập để thay đổi mật khẩu (thay vì thay đổi mật khẩu bằng Google).

Ngoài ra, Google cần IdP của bạn thực hiện những việc sau:

  • Yêu cầu email từ IdP của bạn phải khớp với địa chỉ email chính của người dùng trên Google.
  • Bạn phải sử dụng quy trình mã uỷ quyền.

Tạo hồ sơ OIDC tuỳ chỉnh

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mậtsau đóXác thựcsau đóĐăng nhập một lần (SSO) thông qua IdP bên thứ ba.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. Trong phần Hồ sơ đăng nhập một lần (SSO) của bên thứ ba, hãy nhấp vào Thêm hồ sơ OIDC.
  3. Đặt tên cho hồ sơ OIDC.
  4. Nhập thông tin chi tiết về OIDC: Mã ứng dụng khách, URL của tổ chức phát hành, Mật khẩu ứng dụng khách.
  5. Nhấp vào Lưu.
  6. Trên trang cài đặt SSO OIDC cho hồ sơ mới, hãy sao chép URI chuyển hướng. Bạn cần cập nhật ứng dụng OAuth trên IdP để phản hồi các yêu cầu bằng URI này.

Để chỉnh sửa chế độ cài đặt, hãy di chuột lên Thông tin chi tiết về OIDC, sau đó nhấp vào biểu tượng Chỉnh sửa .

Sử dụng hồ sơ OIDC của Microsoft Entra

Đảm bảo bạn đã định cấu hình các điều kiện tiên quyết sau cho OIDC trong đối tượng thuê Microsoft Entra ID của tổ chức:

  • Đối tượng thuê Microsoft Entra ID cần được xác minh miền.
  • Người dùng cuối phải có giấy phép Microsoft 365.
  • Tên người dùng (email chính) của quản trị viên Google Workspace chỉ định hồ sơ SSO phải khớp với địa chỉ email chính của tài khoản quản trị viên đối tượng thuê Azure AD.

Quyết định người dùng nào nên sử dụng tính năng SSO

Bật tính năng SSO cho một đơn vị tổ chức hoặc nhóm bằng cách chỉ định một cấu hình SSO và IdP được liên kết. Hoặc tắt SSO bằng cách chỉ định "Không" cho cấu hình SSO. Bạn cũng có thể áp dụng chính sách SSO hỗn hợp trong một đơn vị tổ chức hoặc nhóm, chẳng hạn như bật SSO cho toàn bộ đơn vị tổ chức, sau đó tắt SSO cho một đơn vị tổ chức con.

Nếu bạn chưa tạo hồ sơ SAML hoặc OIDC, hãy tạo hồ sơ trước khi tiếp tục. Hoặc bạn có thể chỉ định hồ sơ OIDC đã được định cấu hình sẵn.

  1. Nhấp vào Quản lý số lượt chỉ định cấu hình đăng nhập một lần.
  2. Nếu đây là lần đầu tiên bạn chỉ định hồ sơ SSO, hãy nhấp vào Bắt đầu. Nếu không, hãy nhấp vào Quản lý bài tập.
  3. Ở bên trái, hãy chọn đơn vị tổ chức hoặc nhóm mà bạn sẽ chỉ định cấu hình SSO.
    • Nếu chế độ chỉ định cấu hình SSO cho một đơn vị tổ chức hoặc nhóm khác với chế độ chỉ định cấu hình trên toàn miền, thì một cảnh báo ghi đè sẽ xuất hiện khi bạn chọn đơn vị tổ chức hoặc nhóm đó.
    • Bạn không thể chỉ định cấu hình SSO cho từng người dùng. Chế độ xem Người dùng cho phép bạn kiểm tra chế độ cài đặt cho một người dùng cụ thể.
  4. Chọn chế độ chỉ định cấu hình Đăng nhập một lần (SSO) cho đơn vị tổ chức hoặc nhóm đã chọn:
    • Để loại trừ đơn vị tổ chức hoặc nhóm khỏi SSO, hãy chọn Không có. Người dùng trong đơn vị tổ chức hoặc nhóm sẽ đăng nhập trực tiếp bằng Google.
    • Để chỉ định một IdP khác cho đơn vị tổ chức hoặc nhóm, hãy chọn Một cấu hình SSO khác, rồi chọn cấu hình SSO trong danh sách thả xuống.

  5. (Chỉ dành cho hồ sơ SSO dựa trên SAML) Sau khi chọn một hồ sơ SAML, hãy chọn một phương thức đăng nhập cho những người dùng truy cập trực tiếp vào một dịch vụ của Google mà không đăng nhập trước vào IdP bên thứ ba của hồ sơ SSO. Bạn có thể nhắc người dùng nhập tên người dùng Google của họ, sau đó chuyển hướng họ đến IdP hoặc yêu cầu người dùng nhập tên người dùng và mật khẩu Google của họ.

    Lưu ý: Nếu bạn chọn yêu cầu người dùng nhập tên người dùng và mật khẩu Google, thì chế độ cài đặt URL thay đổi mật khẩu cho hồ sơ SSO dựa trên SAML này (có tại Hồ sơ SSO > Thông tin chi tiết về IdP) sẽ bị bỏ qua. Điều này giúp đảm bảo người dùng có thể thay đổi mật khẩu Google khi cần.

  6. Nhấp vào Lưu.

  7. (Không bắt buộc) Chỉ định cấu hình đăng nhập một lần (SSO) cho các đơn vị tổ chức hoặc nhóm khác nếu cần.

Sau khi đóng thẻ Quản lý số lượt chỉ định cấu hình đăng nhập một lần, bạn sẽ thấy số lượt chỉ định mới cho các đơn vị tổ chức và nhóm trong phần Quản lý số lượt chỉ định cấu hình đăng nhập một lần.

Xoá chỉ định cấu hình đăng nhập một lần

  1. Nhấp vào tên nhóm hoặc đơn vị tổ chức để mở chế độ cài đặt chỉ định hồ sơ.
  2. Thay thế chế độ cài đặt chỉ định hiện tại bằng chế độ cài đặt của đơn vị tổ chức chính:
    • Đối với việc chỉ định đơn vị tổ chức, hãy nhấp vào Kế thừa.
    • Đối với bài tập nhóm, hãy nhấp vào Huỷ đặt.

Lưu ý: Đơn vị tổ chức cấp cao nhất của bạn luôn có trong danh sách chỉ định hồ sơ, ngay cả khi Hồ sơ được đặt thành Không có.

Xem thêm


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.