设置单点登录

您可以根据贵组织的需要,在将 Google 作为服务提供商的情况下,通过多种方式设置单点登录。Google Workspace 支持基于 SAML 的单点登录和基于 OIDC 的单点登录。

如果您的用户使用网域专用服务网址 访问 Google 服务(例如 https://mail.google.com/a/example.com),您还可以管理这些服务网址与单点登录搭配使用的方式

如果贵组织需要基于 IP 地址的条件式单点登录重定向,或需要为超级用户启用单点登录,那么您还可以选择配置旧版单点登录配置文件

设置基于 SAML 的单点登录

准备工作

要设置 SAML 单点登录配置文件,您需要 IdP 支持团队或文档提供一些基本配置:

  • IdP 实体 ID:这是 IdP 在与 Google 通信时用于标识自身的方式。
  • 登录页网址:也称为 SSO 网址或 SAML 2.0 端点 (HTTP)。这是用户登录您的 IdP 的位置。
  • 退出页网址:用户退出 Google 应用或服务后到达的页面。
  • 更改密码网址:单点登录用户用于更改密码的页面(而不是通过 Google 更改密码的页面)。
  • 证书:来自 IdP 的 X.509 PEM 证书。该证书包含用于验证来自 IdP 登录的公钥。

证书要求

  • 证书必须是 PEM 或 DER 格式的 X.509 证书,并包含嵌入的公钥。
  • 公钥则必须采用 DSA 或 RSA 算法生成。
  • 证书中的公钥必须与用于签署 SAML 响应的私钥匹配。

您通常可从 IdP 获取这些证书。不过,您也可以自行生成这些证书

创建 SAML 单点登录配置文件

按照以下步骤创建第三方单点登录配置文件。您可以在组织中创建最多 1,000 个配置文件。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性然后身份验证然后第三方身份提供商的单点登录服务

    需要拥有“安全设置”管理员权限。

  2. 第三方单点登录配置文件 部分,点击添加 SAML 配置文件
  3. 对于 SAML 单点登录配置文件 ,输入配置文件名称。
  4. (可选)对于自动填充邮箱,请选择与您的 IdP 支持的登录提示格式相符的选项。如需了解详情,请参阅使用邮箱自动填充功能简化单点登录
  5. IdP 详细信息 部分,完成以下步骤:
    1. 输入您从 IdP 获取的 IDP 实体 ID登录页网址退出页网址
    2. 更改密码网址部分,为您的 IdP 输入用于更改密码的网址。 用户将通过此网址重置密码。

  6. 点击上传证书

    您最多可以上传 2 个证书,以便在必要时可选择轮换证书

  7. 点击保存

  8. 服务提供商 (SP) 详细信息 部分,复制并保存 实体 IDACS 网址。 在 IdP 管理控制台中,您需要使用这些值来配置 Google 单点登录。

  9. (可选)如果 IdP 支持对断言进行加密,那么您可以生成证书并与 IdP 共享,以启用加密功能。每个 SAML 单点登录配置文件最多可以有 2 个服务提供商证书。

    1. 点击服务提供商 (SP) 详细信息 部分以进入修改模式。
    2. 对于服务提供商证书 ,点击生成证书
    3. 点击保存。 复制证书内容或将其下载为文件。
    4. 与您的 IdP 共享证书。
    5. (可选)如需轮替证书,请返回服务提供商 (SP) 详细信息 部分并点击生成其他证书 ,然后与您的 IdP 共享新证书。确定您的 IdP 使用的是新证书后,删除原始证书。

配置您的 IdP

如需将 IdP 配置为使用此单点登录配置文件,请将配置文件的服务提供商 (SP) 详细信息 部分中的信息输入 IdP 单点登录设置中的相应字段。ACS 网址和实体 ID 都是此配置文件独有的。

配置旧版单点登录配置文件

旧版单点登录配置文件适用于尚未迁移到较新单点登录配置文件的用户。它仅支持与单个 IdP 搭配使用。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性然后身份验证然后第三方身份提供商的单点登录服务

    需要拥有“安全设置”管理员权限。

  2. 第三方单点登录配置文件 中,点击添加 SAML 配置文件
  3. IdP 详细信息 页面底部,点击 前往旧版单点登录配置文件设置
  4. 旧版单点登录配置文件 页面上,选中启用采用第三方身份提供商的单点登录 对应的复选框。
  5. 为您的 IdP 填写以下信息:
    • 输入 IdP 的登录页网址退出页网址

      注意:必须输入所有网址并使用 HTTPS,例如 https://sso.example.com。

    • 点击上传证书 ,找到并上传 IdP 提供的 X.509 证书。如需了解详情,请参阅证书要求
    • 选择是否在 SAML 请求中使用来自 Google 的 网域特有的颁发者

      如果您有多个网域通过 IdP 使用单点登录,请使用网域特有的颁发者来确定发出 SAML 请求的正确网域。

      • 勾选 :Google 会发送您网域特有的颁发者:google.com/a/example.com(其中 example.com 是您的 Google Workspace 主域名)
      • 未勾选 :Google 会在 SAML 请求中发送标准颁发者:google.com
    • (可选)要将单点登录应用于特定 IP 地址范围内的一组用户,请输入网络掩码。如需了解详情,请参阅网络映射结果

      注意:您也可以通过将单点登录配置文件分配给特定组织部门或群组来为部分用户设置单点登录。

    • 为您的 IdP 输入更改密码网址 。用户将通过此网址(而不是 Google 更改密码页面)重置密码。除了超级管理员之外,所有尝试通过 https://myaccount.google.com/ 更改密码的用户都会被定向到您指定的网址。即使您未启用单点登录,此设置也适用。此外,网络掩码并不适用。

      注意:如果您在此处输入网址,即使您未为组织启用单点登录功能,用户也会被定向到此页面。

  6. 点击保存

保存后,旧版单点登录配置文件会列示在单点登录配置文件 表格中。

配置您的 IdP

如需将 IdP 配置为使用此单点登录配置文件,请将配置文件的服务提供商 (SP) 详细信息部分中的信息输入 IdP 单点登录设置中的相应字段。ACS 网址和实体 ID 都是此配置文件独有的。

格式
ACS 网址 https://accounts.google.com/a/{domain.com}/acs
其中 {domain.com} 是贵组织的 Workspace 域名
实体 ID 以下任一值:
  • google.com
  • google.com/a/customerprimarydomain(如果您在配置旧版配置文件时选择使用网域专用颁发者)。

停用旧版单点登录配置文件

  1. 第三方单点登录配置文件 列表中,点击旧版单点登录配置文件
  2. 旧版单点登录配置文件 设置中,取消选中启用采用第三方身份提供商的单点登录
  3. 确认您要继续,然后点击保存

单点登录配置文件 列表中,旧版单点登录配置文件 现在显示为已停用

  • 分配有旧版单点登录配置文件的组织部门的已分配的配置文件 列中会显示一条提醒消息。
  • 顶级组织部门的已分配的配置文件 列中会显示
  • 管理单点登录配置文件分配 中,旧版单点登录配置文件显示为无效

从旧版 SAML 迁移到单点登录配置文件

如果贵组织使用的是旧版单点登录配置文件,我们建议您迁移到较新的单点登录配置文件,后者具有多项优势,包括支持 OIDC、提供更现代的 API,以及可更灵活地将单点登录设置应用于用户组。了解详情

设置基于 OIDC 的单点登录

按照以下步骤操作,以使用基于 OIDC 的单点登录:

  1. 选择一个 OIDC 选项 - 创建自定义 OIDC 配置文件(您可以在其中为 OIDC 合作伙伴提供信息),或使用预配置的 Microsoft Entra OIDC 配置文件。
  2. 按照决定哪些用户应使用单点登录中的步骤操作,将预配置的 OIDC 配置文件分配给所选组织部门/群组。

如果您的某个组织部门(例如下级组织部门)中有用户不需要单点登录,那么您也可以使用分配功能为这些用户停用单点登录。

注意Google Cloud 命令行界面 目前不支持使用 OIDC 重新进行身份验证。

准备工作

如需设置自定义 OIDC 配置文件,您需要从 IdP 支持团队或文档中获得一些基本配置:

  • 颁发者网址 :IdP 授权服务器的完整网址。
  • OAuth 客户端,由其客户端 ID 标识,并通过客户端密钥 进行身份验证。
  • 更改密码网址:单点登录用户用于更改密码的页面(而不是通过 Google 更改密码的页面)。

此外,Google 需要您的 IdP 执行以下操作:

  • IdP 中的 email 声明必须与 Google 端用户的主电子邮件地址一致。
  • 它必须使用授权代码流程。

创建自定义 OIDC 配置文件

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性然后身份验证然后第三方身份提供商的单点登录服务

    需要拥有“安全设置”管理员权限。

  2. 第三方单点登录配置文件 中,点击添加 OIDC 配置文件
  3. 为 OIDC 配置文件命名。
  4. 输入 OIDC 详细信息:客户端 ID、颁发者网址、客户端密钥。
  5. 点击保存
  6. 在新配置文件的 OIDC 单点登录设置页面上,复制重定向 URI。您需要更新 IdP 上的 OAuth 客户端,以便使用此 URI 响应请求。

如需修改设置,请将光标悬停在 OIDC 详细信息 上方,然后点击“修改”图标

使用 Microsoft Entra OIDC 配置文件

确保在贵组织的 Microsoft Entra ID 租户中为 OIDC 配置了以下前提条件:

  • Microsoft Entra ID 租户需要通过域名验证
  • 最终用户必须拥有 Microsoft 365 许可
  • 分配单点登录配置文件的 Google Workspace 管理员的用户名(主电子邮件地址)必须与您的 Azure AD 租户管理员账号的主电子邮件地址一致。

决定哪些用户应使用单点登录

通过分配单点登录配置文件及其关联的 IdP,为组织部门或群组启用单点登录。您也可以为单点登录配置文件分配“无”,以停用单点登录。此外,您还可以在组织部门或群组内应用混合单点登录政策,例如为整个组织部门启用单点登录,然后为下级组织部门停用单点登录。

如果您尚未创建 SAMLOIDC 配置文件,请先创建,然后再继续。或者,您可以分配预配置的 OIDC 配置文件。

  1. 点击管理单点登录配置文件分配
  2. 如果这是您首次分配单点登录配置文件,请点击“开始使用”。否则,请点击管理分配
  3. 在左侧,选择您要分配单点登录配置文件的组织部门或群组。
    • 如果您为某个组织部门或群组分配的单点登录配置文件与为整个网域分配的配置文件不同,则当您选择该组织部门或群组时,系统会显示一条覆盖警告。
    • 您无法按用户分配单点登录配置文件。使用“用户”视图,您可以查看特定用户的设置。
  4. 为所选组织部门或群组选择单点登录配置文件分配
    • 如要将相应组织部门或群组从单点登录中排除,请选择。组织部门或群组中的用户将直接通过 Google 登录。
    • 如要为相应组织部门或群组分配其他 IdP,请选择其他单点登录 (SSO) 配置文件,然后从下拉列表中选择单点登录配置文件。

  5. (仅限 SAML 单点登录配置文件)选择 SAML 配置文件后,请为直接登录 Google 服务(无需先登录单点登录配置文件的第三方 IdP)的用户选择登录选项。您可以提示用户输入其 Google 用户名,然后将他们重定向至 IdP,也可以要求用户输入其 Google 用户名和密码。

    注意:如果您选择要求用户输入自己的 Google 用户名和密码,则此 SAML 单点登录配置文件的更改密码网址设置(可在“单点登录配置文件”>“IdP 详细信息”中找到)会被忽略。这样可确保用户能够根据需要更改其 Google 密码。

  6. 点击保存

  7. (可选)根据需要将单点登录配置文件分配给其他组织部门或群组。

关闭管理单点登录配置文件分配卡片后,您会在管理单点登录配置文件分配部分看到为组织部门和群组分配的配置文件已更新。

移除单点登录配置文件分配

  1. 点击某个群组或组织部门的名称,以打开其配置文件分配设置。
  2. 将现有分配设置更换为上级组织部门设置:
    • 对于组织部门分配,请点击继承
    • 对于群组分配,请点击取消设置

注意:您的顶级组织部门始终出现在配置文件分配列表中,即使“配置文件”设置为“无”也是如此。

另请参阅


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。