Kết nối với nhà cung cấp danh tính của bạn để dùng tính năng mã hoá phía máy khách

Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Standard và Education Plus. So sánh phiên bản của bạn

Sau khi chọn dịch vụ khoá bên ngoài cho tính năng Mã hoá phía máy khách (CSE) của Google Workspace, bạn cần kết nối Google Workspace với một nhà cung cấp dịch vụ danh tính (IdP), có thể là IdP bên thứ ba hoặc danh tính Google. Dịch vụ khoá mã hoá của bạn sử dụng IdP để xác thực người dùng trước khi họ có thể mã hoá nội dung hoặc truy cập vào nội dung được mã hoá.

Lưu ý: Sau khi định cấu hình IdP, bạn có thể định cấu hình một IdP khách để cho phép truy cập bên ngoài vào nội dung được mã hoá phía máy khách của tổ chức. Để biết thông tin chi tiết, hãy xem bài viết Định cấu hình nhà cung cấp danh tính khách.

Trước khi bắt đầu

Đảm bảo bạn đã chọn dịch vụ khoá mã hoá mà bạn muốn sử dụng với CSE. Để biết thông tin chi tiết, hãy xem bài viết Chọn dịch vụ khoá bên ngoài.

Bước 1: Lên kế hoạch kết nối IdP

Xem xét các ứng dụng web, ứng dụng dành cho máy tính và thiết bị di động cũng như các công cụ tiện ích được hỗ trợ

Khi kết nối với IdP, bạn có thể thiết lập CSE cho tất cả các ứng dụng web được hỗ trợ của Google Workspace:

  • Google Drive
  • Google Tài liệu
  • Google Trang tính
  • Google Trang trình bày
  • Gmail
  • Lịch Google
  • Google Meet (âm thanh, video và tin nhắn trò chuyện)

Kết nối ldP cũng cho phép bạn thiết lập CSE cho các ứng dụng máy tính và thiết bị di động sau đây:

Bạn cũng có thể thiết lập các công cụ tiện ích sau:

Chọn IdP cho CSE

Để sử dụng dịch vụ khoá mã hoá với tính năng CSE, bạn cần một nhà cung cấp danh tính (IdP) hỗ trợ tiêu chuẩn OpenID Connect (OIDC). Nếu chưa sử dụng IdP OIDC với Google Workspace, bạn có thể thiết lập IdP để dùng với dịch vụ khoá theo một trong hai cách:

**Cách 1: Sử dụng IdP bên thứ ba (nên dùng)**

Sử dụng IdP bên thứ ba OIDC nếu mô hình bảo mật của bạn yêu cầu tách biệt dữ liệu đã mã hoá khỏi Google nhiều hơn.

Nếu bạn đã sử dụng một IdP bên thứ ba cho tính năng Đăng nhập một lần (SSO) dựa trên SAML: Bạn nên sử dụng cùng một IdP cho CSE mà bạn dùng để truy cập vào các dịch vụ của Google Workspace, nếu IdP đó hỗ trợ OIDC. Tìm hiểu thêm về cách sử dụng tính năng SSO dựa trên SAML với Google Workspace.

**Cách 2: Sử dụng danh tính Google**

Nếu mô hình bảo mật của bạn không yêu cầu cách ly thêm dữ liệu đã mã hoá khỏi Google, thì bạn có thể sử dụng danh tính mặc định của Google làm IdP.

Chỉ IdP bên thứ ba: Thiết lập trình duyệt của người dùng

Nếu sử dụng một IdP bên thứ ba cho CSE, bạn nên cho phép cookie của bên thứ ba từ IdP trong trình duyệt của người dùng; nếu không, người dùng có thể cần đăng nhập vào IdP của bạn thường xuyên hơn khi sử dụng CSE.

  • Nếu tổ chức của bạn sử dụng Chrome Enterprise: Bạn có thể sử dụng chính sách CookiesAllowedForUrls.
  • Đối với các trình duyệt khác: Hãy xem nội dung hỗ trợ của trình duyệt để biết hướng dẫn về cách cho phép cookie của bên thứ ba.

Chọn cách kết nối với IdP cho CSE

Bạn có thể thiết lập nhà cung cấp danh tính (IdP) – nhà cung cấp danh tính bên thứ ba hoặc danh tính Google – bằng cách sử dụng tệp .well-known mà bạn lưu trữ trên trang web của tổ chức hoặc Bảng điều khiển dành cho quản trị viên (đây là nhà cung cấp danh tính dự phòng của bạn). Có một số điểm cần cân nhắc đối với từng phương thức, như mô tả trong bảng dưới đây.

Lưu ý: Nếu đang thiết lập một IdP khách, bạn cần sử dụng Bảng điều khiển dành cho quản trị viên.

Lưu ý Thiết lập .well-known Thiết lập Bảng điều khiển dành cho quản trị viên (kết nối dự phòng đến IdP)
Tính độc lập với Google Các chế độ cài đặt IdP được lưu trữ trên máy chủ của riêng bạn. Chế độ cài đặt IdP được lưu trữ trên các máy chủ của Google.
Trách nhiệm của quản trị viên Quản trị viên trang web có thể quản lý chế độ thiết lập của bạn thay vì Quản trị viên cấp cao của Google Workspace. Chỉ Quản trị viên cấp cao của Google Workspace mới có thể quản lý chế độ thiết lập nhà cung cấp danh tính.
Phạm vi cung cấp CSE Tính khả dụng (thời gian hoạt động) của CSE phụ thuộc vào tính khả dụng của máy chủ lưu trữ tệp .well-known. Phạm vi cung cấp của CSE tương ứng với phạm vi cung cấp chung của các dịch vụ Google Workspace.
Dễ thiết lập Bạn cần thay đổi chế độ cài đặt DNS cho máy chủ của mình bên ngoài Bảng điều khiển dành cho quản trị viên. Định cấu hình các chế độ cài đặt trong Bảng điều khiển dành cho quản trị viên.
Chia sẻ ra bên ngoài tổ chức Dịch vụ khoá bên ngoài của cộng tác viên có thể dễ dàng truy cập vào chế độ cài đặt IdP của bạn. Bạn có thể tự động hoá quyền truy cập này và đảm bảo dịch vụ của cộng tác viên có quyền truy cập ngay vào mọi thay đổi đối với chế độ cài đặt IdP của bạn.

Dịch vụ khoá bên ngoài của cộng tác viên không thể truy cập vào chế độ cài đặt IdP của bạn trong Bảng điều khiển dành cho quản trị viên. Bạn phải cung cấp trực tiếp chế độ cài đặt IdP cho cộng tác viên trước khi chia sẻ tệp được mã hoá lần đầu tiên, cũng như bất cứ khi nào bạn thay đổi chế độ cài đặt IdP.

Bước 2: Tạo mã ứng dụng cho CSE

Tạo mã ứng dụng khách cho các ứng dụng web

Bạn cần tạo mã ứng dụng khách và thêm URI chuyển hướng cho các ứng dụng web được hỗ trợ của Google Workspace. Để xem danh sách các ứng dụng được hỗ trợ, hãy chuyển đến phần Các ứng dụng web, ứng dụng dành cho máy tính và ứng dụng di động được hỗ trợ ở phía trên trang này.

Cách bạn tạo mã ứng dụng khách cho các ứng dụng web phụ thuộc vào việc bạn đang sử dụng IdP bên thứ ba hay danh tính Google.

Nếu bạn đang định cấu hình IdP khách: Bạn cần tạo thêm một mã ứng dụng khách để truy cập vào Google Meet. Mã này dùng để xác minh rằng khách đã được mời tham gia cuộc họp. Để biết thêm thông tin, hãy xem bài viết Định cấu hình một IdP khách.

**Nếu bạn đang sử dụng một IdP bên thứ ba cho tính năng CSE**

Tạo mã ứng dụng khách bằng bảng điều khiển dành cho quản trị viên của nhà cung cấp danh tính. Bạn cũng cần thêm các URI chuyển hướng sau vào bảng điều khiển quản trị của IdP:

Dịch vụ web:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive cho máy tính:

http://localhost

Ứng dụng di động Android và iOS:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Nếu bạn đang sử dụng danh tính Google cho CSE**

Bạn cần tạo một mã ứng dụng khách trong Bảng điều khiển Google Cloud. Bạn sẽ thêm khoá này vào tệp .well-known/cse-configuration hoặc Bảng điều khiển dành cho quản trị viên. Bạn cũng sẽ thiết lập nguồn gốc JavaScript (còn gọi là chia sẻ tài nguyên trên nhiều nguồn gốc hoặc CORS) và thêm URI chuyển hướng.

  1. Truy cập vào console.cloud.google.com.
  2. Tạo một dự án mới trên Google Cloud. Xem hướng dẫn.

    Thiết lập dự án theo cách bạn muốn – dự án này chỉ dùng để lưu trữ thông tin đăng nhập.

  3. Trong bảng điều khiển, hãy chuyển đến phần Trình đơn sau đóAPI và dịch vụsau đóThông tin xác thực.
  4. Tạo một mã ứng dụng OAuth cho ứng dụng web mới mà bạn sẽ dùng với CSE. Xem hướng dẫn đầy đủ.
  5. Cập nhật nguồn gốc JavaScript bằng những thông tin sau:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Cập nhật URI chuyển hướng được uỷ quyền bằng nội dung sau.

    Dịch vụ web:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive cho máy tính:

    http://localhost

    Ứng dụng di động Android và iOS:

    Bạn không cần phải thiết lập gì thêm cho ứng dụng di động Android và iOS.

Mã ứng dụng OAuth sẽ được tạo. Lưu mã nhận dạng này để bạn có thể thêm mã nhận dạng đó vào tệp .well-known/cse-configuration hoặc Bảng điều khiển dành cho quản trị viên.

Tạo mã nhận dạng ứng dụng cho ứng dụng dành cho máy tính và thiết bị di động

Nếu muốn người dùng sử dụng CSE với các ứng dụng dành cho máy tính và thiết bị di động, bạn cần có mã ứng dụng khách cho những ứng dụng đó. Bạn sẽ thêm các khoá này vào tệp .well-known/cse-configuration hoặc Bảng điều khiển dành cho quản trị viên. Bạn cũng có thể cần thêm mã ứng dụng vào cấu hình dịch vụ khoá – hãy tham khảo tài liệu của dịch vụ khoá.

Đối với mỗi ứng dụng di động, bạn sẽ cần một mã ứng dụng khách cho mỗi nền tảng (Android và iOS). Để xem danh sách các ứng dụng được hỗ trợ, hãy chuyển đến phần Các ứng dụng web, ứng dụng dành cho máy tính và ứng dụng di động được hỗ trợ ở phía trên trang này.

Cách bạn nhận mã ứng dụng khách cho ứng dụng dành cho máy tính và thiết bị di động phụ thuộc vào việc bạn đang sử dụng một nhà cung cấp dịch vụ nhận dạng (IDP) bên thứ ba hay danh tính Google.

Lưu ý: Các mã nhận dạng ứng dụng này phải hỗ trợ loại cấp authorization_code cho PKCE (RFC 7636).

**Nếu bạn sẽ sử dụng một IdP bên thứ ba cho tính năng CSE**

Sử dụng bảng điều khiển quản trị của IdP để tạo một mã ứng dụng khách riêng cho từng ứng dụng.

**Nếu bạn sẽ sử dụng danh tính Google cho CSE**

Sử dụng mã ứng dụng sau:

  • Drive cho máy tính – Sử dụng mã ứng dụng 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive trên Android – Sử dụng mã ứng dụng khách 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive trên iOS – Sử dụng mã ứng dụng khách 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Lịch trên Android – Sử dụng mã ứng dụng 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Lịch trên iOS – Sử dụng mã ứng dụng 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail trên Android – Sử dụng mã ứng dụng 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail trên iOS – Sử dụng mã ứng dụng 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet trên Android – Sử dụng mã ứng dụng 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet trên iOS – Sử dụng mã ứng dụng khách 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Tạo mã ứng dụng khách cho các công cụ tiện ích

Bạn nên:

  1. Sử dụng một mã ứng dụng khách cho mỗi công cụ tiện ích tương tác với các điểm cuối đặc quyền (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) của dịch vụ khoá. Để xem danh sách các công cụ được hỗ trợ, hãy chuyển đến phần Xem xét các ứng dụng web, ứng dụng dành cho máy tính và thiết bị di động, cũng như các công cụ tiện ích được hỗ trợ trên trang này.
  2. Định cấu hình các chính sách truy cập của dịch vụ khoá cho các điểm cuối privilegedunwrap và privilegedprivatekeydecrypt để cho phép mã nhận dạng ứng dụng của tiện ích giải mã CSE.

Bước 3: Kết nối với IdP cho CSE

Để kết nối Google Workspace với nhà cung cấp danh tính (IdP), bạn có thể sử dụng tệp .well-known hoặc Bảng điều khiển dành cho quản trị viên. Sau khi thiết lập mối kết nối, bạn cần đưa IdP vào danh sách cho phép trong Bảng điều khiển dành cho quản trị viên.

Lưu ý: Nếu đang thiết lập một IdP khách, bạn cần sử dụng Bảng điều khiển dành cho quản trị viên.

Cách 1: Kết nối với IdP bằng tệp .well-known

Để thiết lập nhà cung cấp danh tính (IdP) bên thứ ba hoặc Google bằng lựa chọn này, bạn cần đặt một tệp .well-known trên trang web công khai của tổ chức. Tệp này xác định nhà cung cấp danh tính mà bạn sử dụng và cho phép cộng tác viên bên ngoài khám phá các chế độ cài đặt nhà cung cấp danh tính của bạn.

Bước 1: Đặt tệp .well-known trên máy chủ

Bạn phải đặt cấu hình IdP tại URI này trên miền của mình:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

trong đó subdomain.domain.tld phải khớp với miền trong địa chỉ email của bạn. Ví dụ: nếu miền trong địa chỉ email của bạn là solarmora.com, thì bạn sẽ đặt tệp .well-known tại:

https://cse.solarmora.com/.well-known/cse-configuration

Lưu ý: Bạn phải dùng tiền tố https://cse. vì URI .well-known chưa được đăng ký với IETF (RFC 8615).

Bước 2: Định cấu hình tệp .well-known

Nội dung của tệp .well-known, tại well-known/cse-configuration, phải được mã hoá bằng JSON (RFC 8259) và chứa các trường sau:

Trường Mô tả

name

 Tên của IdP – bạn có thể sử dụng bất kỳ tên nào bạn muốn. Tên này xuất hiện trong thông báo lỗi của IdP cho người dùng trong các dịch vụ của Google, chẳng hạn như Drive và Bộ chỉnh sửa tài liệu.

client_id

Mã ứng dụng OpenID Connect (OIDC) mà ứng dụng web khách CSE dùng để nhận Mã thông báo web JSON (JWT)

Khi tạo một mã ứng dụng khách, bạn cũng sẽ thêm URI chuyển hướng trong Google Cloud Console.

Để biết thông tin chi tiết về cách tạo mã ứng dụng, hãy xem phần Tạo mã ứng dụng cho ứng dụng web ở phía trên trang này.
discovery_uri

URL khám phá OIDC, như được xác định trong quy cách OpenID này.

Nếu bạn đang sử dụng IdP bên thứ ba

IdP cung cấp cho bạn URL này, thường kết thúc bằng /.well-known/openid-configuration

Nếu bạn đang sử dụng danh tính Google

Sử dụng https://accounts.google.com/.well-known/openid-configuration
grant_type

Quy trình OAuth được dùng cho OIDC với các ứng dụng web của ứng dụng CSE

Nếu bạn đang sử dụng IdP bên thứ ba

Bạn có thể sử dụng loại cấp quyền implicit hoặc authorization_code cho các ứng dụng web CSE.

Nếu bạn đang sử dụng danh tính Google

Bạn chỉ có thể sử dụng loại cấp implicit cho các ứng dụng web.

applications

Các ứng dụng khách bổ sung mà bạn muốn sử dụng CSE. Bạn cần thêm mã ứng dụng khách cho từng ứng dụng vào tệp .well-known.

Lưu ý: Các mã nhận dạng ứng dụng này phải hỗ trợ loại cấp authorization_code cho PKCE (RFC 7636).

Để biết thông tin chi tiết về cách tạo mã ứng dụng, hãy xem phần Tạo mã ứng dụng cho ứng dụng di động và ứng dụng dành cho máy tính ở phía trên trang này.

    **Nếu bạn đang sử dụng một IdP bên thứ ba, tệp .well-known của bạn sẽ có dạng như sau:**

    **Nếu bạn đang sử dụng danh tính Google, tệp .well-known của bạn sẽ có dạng như sau:**

    Bước 3: Thiết lập CORS

    Nếu đang sử dụng danh tính Google cho IdP: Bạn thiết lập CORS trong Google Cloud Console khi tạo mã ứng dụng khách. Để biết thông tin chi tiết, hãy xem phần Tạo mã ứng dụng khách cho các ứng dụng web ở phía trên trang này.

    Nếu bạn đang sử dụng một IdP bên thứ ba: .well-known/openid-configuration và .well-known/cse-configuration cần cho phép các URL nguồn cho các lệnh gọi chia sẻ tài nguyên trên nhiều nguồn (CORS). Trong bảng điều khiển dành cho quản trị viên của IdP, hãy thiết lập cấu hình như sau:

      .well-known/openid-configuration (URI phát hiện)

      • Phương thức: GET
      • Nguồn gốc được phép:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • Phương thức: GET
      • Nguồn gốc được phép:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Cách 2: Kết nối với IdP bằng Bảng điều khiển dành cho quản trị viên

      Thay vì sử dụng tệp .well-known, bạn có thể kết nối Google Workspace với IdP bằng Bảng điều khiển dành cho quản trị viên.

      Lưu ý: Nếu đang thiết lập một IdP khách, bạn cần sử dụng Bảng điều khiển dành cho quản trị viên.

      Bước 1: Thu thập thông tin về IdP

      Để kết nối với IdP bằng Bảng điều khiển dành cho quản trị viên, bạn cần có những thông tin sau về IdP:

      Tên của IdP Để biết thông tin chi tiết, hãy xem phần Định cấu hình tệp .well-known ở phần trước trên trang này.
      Mã ứng dụng khách cho các ứng dụng web Để biết thông tin chi tiết, hãy xem phần Tạo mã ứng dụng khách cho các ứng dụng web ở phía trên trang này.
      URI phát hiện Để biết thông tin chi tiết, hãy xem phần Định cấu hình tệp .well-known ở phần trước trên trang này.
      Mã ứng dụng khách cho ứng dụng dành cho máy tính và thiết bị di động (không bắt buộc) Để biết thông tin chi tiết, hãy xem phần Tạo mã nhận dạng ứng dụng cho ứng dụng dành cho máy tính và thiết bị di động ở phần trước trên trang này.

      Bước 2: Thiết lập CORS

      Nếu đang sử dụng danh tính Google: Bạn thiết lập tính năng chia sẻ tài nguyên trên nhiều nguồn (CORS) trong Google Cloud Console khi tạo mã ứng dụng khách. Để biết thông tin chi tiết, hãy xem phần Tạo mã ứng dụng khách cho các ứng dụng web ở phía trên trang này.

      Nếu bạn đang sử dụng một IdP bên thứ ba: Trong bảng điều khiển quản trị của IdP, hãy định cấu hình URI khám phá để cho phép các URL nguồn cho các lệnh gọi chia sẻ tài nguyên giữa nhiều nguồn gốc (CORS), như sau:

      • Phương thức: GET
      • Nguồn gốc được phép:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Bước 3: Thêm thông tin vào Bảng điều khiển dành cho quản trị viên

      Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

      1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Dữ liệusau đóTuân thủsau đóMã hoá phía máy khách.

        Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

        Lưu ý: Trong phần Cấu hình nhà cung cấp danh tính, một thông báo sẽ xuất hiện cho biết Google Workspace không thể kết nối với tệp .well-known của bạn. Vì bạn đang kết nối với nhà cung cấp danh tính bằng Bảng điều khiển dành cho quản trị viên, nên bạn có thể bỏ qua thông báo này.

      2. Trong phần Cấu hình nhà cung cấp danh tính, hãy nhấp vào Định cấu hình nhà cung cấp danh tính dự phòng.

        Hoặc nếu bạn đang định cấu hình nhà cung cấp dịch vụ danh tính khách, hãy nhấp vào Định cấu hình nhà cung cấp dịch vụ danh tính khách.

      3. Nhập những thông tin sau về IdP:
        • Tên
        • Mã ứng dụng khách (đối với ứng dụng web)
        • URI phát hiện

      4. Nhấp vào Kiểm tra kết nối.

        Nếu Google Workspace có thể kết nối với IdP của bạn, thì thông báo "Kết nối thành công" sẽ xuất hiện.

      5. Nếu bạn đang định cấu hình một IdP khách: Nhấp vào Tiếp tục, rồi chọn những ứng dụng Web mà bạn muốn cấp quyền truy cập cho khách.

        Để cấp quyền truy cập cho khách đối với Google Meet (web), hãy nhập mã ứng dụng khách để xác minh lời mời khách.

        Sau đó, hãy nhấp vào Lưu để đóng thẻ.

      6. (Không bắt buộc) Cách sử dụng CSE với các ứng dụng cụ thể:
        1. Trong mục Xác thực cho các ứng dụng của Google dành cho máy tính và thiết bị di động (không bắt buộc), hãy chọn những ứng dụng mà bạn muốn sử dụng CSE.
        2. Đối với Mã ứng dụng khách, hãy cung cấp mã ứng dụng khách cho ứng dụng.
      7. Nhấp vào Thêm nhà cung cấp để đóng thẻ.

      Bước 4 (chỉ dành cho IdP bên thứ ba): Thêm IdP vào danh sách cho phép trong Bảng điều khiển dành cho quản trị viên

      Bạn cần thêm IdP bên thứ ba vào danh sách ứng dụng bên thứ ba đáng tin cậy để người dùng không cần đăng nhập vào IdP của bạn nhiều lần. Làm theo hướng dẫn trong bài viết Kiểm soát việc những ứng dụng nội bộ và ứng dụng của bên thứ ba nào truy cập vào dữ liệu Google Workspace, trong phần "Quản lý quyền truy cập vào ứng dụng: Đáng tin cậy, Bị giới hạn hoặc Bị chặn".

      Bước tiếp theo

      Sau khi thiết lập IdP, bạn có thể thiết lập dịch vụ mã hoá khoá.