הגדרת SSO

יש כמה דרכים להגדיר SSO עם Google כספק השירות, בהתאם לצרכים של הארגון. ‫Google Workspace תומך ב-SSO מבוסס SAML וגם ב-SSO מבוסס OIDC.

אם המשתמשים שלכם משתמשים בכתובות URL של שירותים שספציפיות לדומיין כדי לגשת לשירותי Google (לדוגמה, https://mail.google.com/a/example.com), אתם יכולים גם לנהל את אופן הפעולה של כתובות ה-URL האלה עם כניסה יחידה (SSO).

אם הארגון שלכם צריך הפניה מותנית ל-SSO על סמך כתובת IP, או SSO לסופר-אדמינים, יש לכם גם אפשרות להגדיר את פרופיל ה-SSO מדור קודם.

הגדרת SSO באמצעות SAML

לפני שמתחילים

כדי להגדיר פרופיל SSO של SAML, תצטרכו לבצע הגדרה בסיסית מסוימת בעזרת צוות התמיכה או התיעוד של ספק הזהויות (IdP):

  • מזהה ישות IdP: כך ה-IdP מזהה את עצמו כשהוא מתקשר עם Google.
  • כתובת ה-URL של דף הכניסה: נקראת גם כתובת ה-URL של הכניסה היחידה (SSO) או נקודת הקצה של SAML 2.0 ‏(HTTP). כאן המשתמשים נכנסים לספק הזהויות שלכם.
  • כתובת URL של דף יציאה: הדף שאליו המשתמש מגיע אחרי שהוא יוצא מהאפליקציה או מהשירות של Google.
  • כתובת ה-URL לשינוי הסיסמה: הדף שאליו משתמשי ה-SSO יועברו כדי לשנות את הסיסמה שלהם (במקום לשנות את הסיסמה שלהם ב-Google).
  • אישור: אישור X.509 PEM מ-IdP. האישור מכיל את המפתח הציבורי שמאמת את הכניסה מספק הזהויות.

דרישות לאישורים

  • האישור צריך להיות אישור X.509 בפורמט PEM או DER עם מפתח ציבורי מוטמע.
  • המפתח הציבורי צריך להיווצר באמצעות אלגוריתמי DSA או RSA.
  • המפתח הציבורי באישור חייב להיות זהה למפתח הפרטי שמשמש לחתימה על תגובת SAML.

בדרך כלל מקבלים את האישורים האלה מ-IdP. עם זאת, אפשר גם ליצור אותם בעצמכם.

יצירת פרופיל SAML SSO

כדי ליצור פרופיל SSO של צד שלישי: אתם יכולים ליצור עד 1,000 פרופילים בארגון.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then אימות ואז כניסה יחידה (SSO) עם ספק זהויות (IdP) של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילים של צד שלישי ל-SSO, לוחצים על הוספת פרופיל SAML.
  3. בשדה פרופיל SSO ב-SAML, מזינים שם לפרופיל.
  4. (אופציונלי) באפשרות מילוי אוטומטי של כתובת האימייל, בוחרים את האפשרות שתואמת לפורמט הרמזים להתחברות שנתמך ב-IdP. פרטים נוספים זמינים במאמר בנושא שימוש במילוי אוטומטי של כתובת אימייל כדי לפשט את הכניסה באמצעות SSO.
  5. בקטע פרטי ספק הזהויות, מבצעים את הפעולות הבאות:
    1. מזינים את מזהה הישות של ספק הזהויות, כתובת ה-URL של דף הכניסה וכתובת ה-URL של דף היציאה שקיבלתם מספק הזהויות.
    2. בשדה כתובת URL לשינוי סיסמה, מזינים כתובת URL לשינוי סיסמה עבור ספק ה-IdP. המשתמשים יופנו אל כתובת ה-URL הזו כדי לאפס את הסיסמאות שלהם.

  6. לוחצים על העלאת אישור.

    אפשר להעלות עד שני אישורים, וכך יש לכם אפשרות להחליף אישורים כשצריך.

  7. לוחצים על שמירה.

  8. בקטע SP Details, מעתיקים ושומרים את Entity ID ואת ACS URL. תצטרכו את הערכים האלה כדי להגדיר כניסה יחידה (SSO) עם Google בלוח הבקרה של ספק הזהויות (IdP).

  9. (אופציונלי) אם ספק הזהויות שלכם תומך בהצפנת טענות נכוֹנוּת (assertion), אתם יכולים ליצור אישור ולשתף אותו עם ספק הזהויות כדי להפעיל את ההצפנה. בכל פרופיל של SAML SSO יכולים להיות עד 2 אישורי SP.

    1. לוחצים על הקטע פרטי ספק השירות כדי להיכנס למצב עריכה.
    2. בקטע SP certificate (אישור של ספק שירות), לוחצים על Generate certificate (יצירת אישור).
    3. לוחצים על שמירה. מעתיקים את התוכן של האישור או מורידים אותו כקובץ.
    4. משתפים את האישור עם ספק הזהויות.
    5. (אופציונלי) כדי להחליף אישור, חוזרים אל פרטי SP, לוחצים על יצירת אישור נוסף ומשתפים את האישור החדש עם ספק ה-IdP. אחרי שמוודאים שספק הזהויות משתמש באישור החדש, מוחקים את האישור המקורי.

הגדרת ספק הזהויות

כדי להגדיר את ספק הזהויות (IdP) לשימוש בפרופיל ה-SSO הזה, צריך להזין את המידע מהקטע פרטי ספק השירות (SP) בפרופיל בשדות המתאימים בהגדרות ה-SSO של ספק הזהויות. גם כתובת ה-URL של ACS וגם מזהה הישות ייחודיים לפרופיל הזה.

הגדרת פרופיל SSO מדור קודם

פרופיל ה-SSO מדור קודם נתמך למשתמשים שלא עברו לפרופילי SSO. הוא תומך רק בשימוש עם ספק זהויות יחיד.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then אימות ואז כניסה יחידה (SSO) עם ספק זהויות (IdP) של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילי SSO של צד שלישי, לוחצים על הוספת פרופיל SAML.
  3. בתחתית הדף פרטי ספק הזהויות, לוחצים על מעבר להגדרות של פרופיל SSO מדור קודם.
  4. בדף פרופיל SSO מדור קודם, מסמנים את התיבה הפעלת SSO עם ספק זהויות של צד שלישי.
  5. ממלאים את הפרטים הבאים של ספק הזהויות:
    • מזינים את כתובת ה-URL של דף הכניסה ואת כתובת ה-URL של דף היציאה של ספק ה-IdP.

      הערה: צריך להזין את כל כתובות ה-URL ולהשתמש ב-HTTPS, לדוגמה https://sso.example.com.

    • לוחצים על העלאת אישור, מאתרים את אישור X.509 שסופק על ידי ספק הזהויות ומעלים אותו. מידע נוסף זמין במאמר בנושא דרישות האישורים.
    • בוחרים אם להשתמש במנפיק ספציפי לדומיין בבקשת SAML מ-Google.

      אם יש לכם כמה דומיינים שמשתמשים ב-SSO עם ספק הזהויות שלכם, אתם יכולים להשתמש במנפיק ספציפי לדומיין כדי לזהות את הדומיין הנכון שמנפיק את בקשת SAML.

      • מסומן Google שולחת מנפיק שספציפי לדומיין שלכם: google.com/a/example.com (כאשר example.com הוא שם הדומיין הראשי שלכם ב-Google Workspace)
      • Unchecked Google sends the standard issuer in the SAML request: google.com
    • (אופציונלי) כדי להחיל SSO על קבוצת משתמשים בטווחים ספציפיים של כתובות IP, מזינים מסיכת רשת. מידע נוסף זמין במאמר בנושא תוצאות של מיפוי רשת.

      הערה: אפשר גם להגדיר SSO חלקי על ידי הקצאת פרופיל ה-SSO ליחידות ארגוניות או לקבוצות ספציפיות.

    • מזינים כתובת URL לשינוי סיסמה עבור ספק ה-IdP. המשתמשים יעברו לכתובת ה-URL הזו (ולא לדף של Google לשינוי סיסמה) כדי לאפס את הסיסמאות שלהם. כל המשתמשים, למעט סופר-אדמינים, שמנסים לשנות את הסיסמה שלהם בכתובת https://myaccount.google.com/ יופנו לכתובת ה-URL שציינתם. ההגדרה הזו חלה גם אם לא הפעלתם כניסה יחידה (SSO). בנוסף, לא חלות מסכות רשת.

      הערה: אם מזינים כאן כתובת URL, המשתמשים מופנים לדף הזה גם אם לא מפעילים SSO בארגון.

  6. לוחצים על שמירה.

אחרי השמירה, פרופיל ה-SSO מדור קודם מופיע בטבלה פרופילי SSO.

הגדרת ספק הזהויות

כדי להגדיר את ספק הזהויות (IdP) לשימוש בפרופיל ה-SSO הזה, צריך להזין את המידע מהקטע 'פרטי ספק השירות (SP)' בפרופיל בשדות המתאימים בהגדרות ה-SSO של ספק הזהויות. גם כתובת ה-URL של ACS וגם מזהה הישות ייחודיים לפרופיל הזה.

אופן הלימוד
כתובת URL של ACS https://accounts.google.com/a/{domain.com}/acs
כאשר {domain.com} הוא שם הדומיין של הארגון ב-Workspace
מזהה ישות אחת מהאפשרויות הבאות:
  • google.com
  • ‫google.com/a/customerprimarydomain (אם בחרתם להשתמש במונפק ספציפי לדומיין כשמגדירים את הפרופיל מדור קודם).

השבתת פרופיל SSO מדור קודם

  1. ברשימה פרופילי SSO של צד שלישי, לוחצים על פרופיל SSO מדור קודם.
  2. בהגדרות של פרופיל SSO מדור קודם, מבטלים את הסימון של הפעלת SSO עם ספק זהויות של צד שלישי.
  3. מאשרים שרוצים להמשיך ולוחצים על שמירה.

ברשימה פרופילי SSO, פרופיל ה-SSO מדור קודם מופיע עכשיו כמושבת.

  • ביחידות ארגוניות שהוקצה להן פרופיל SSO מדור קודם תוצג התראה בעמודה פרופיל שהוקצה.
  • ביחידה הארגונית ברמה העליונה יופיע None בעמודה Assigned profile.
  • בקטע ניהול הקצאות של פרופיל SSO, פרופיל ה-SSO מדור קודם מופיע כלא פעיל.

מעבר מ-SAML מדור קודם לפרופילי SSO

אם הארגון שלכם משתמש בפרופיל ה-SSO מדור קודם, מומלץ לעבור לפרופילי SSO. יש להם כמה יתרונות, כולל תמיכה ב-OIDC, ממשקי API מודרניים יותר וגמישות רבה יותר בהחלת הגדרות SSO על קבוצות משתמשים. מידע נוסף

הגדרת כניסה יחידה (SSO) באמצעות OIDC

כדי להשתמש ב-SSO מבוסס OIDC:

  1. בוחרים באפשרות OIDC – אפשר ליצור פרופיל OIDC בהתאמה אישית, שבו מספקים מידע לשותף OIDC, או להשתמש בפרופיל OIDC של Microsoft Entra שהוגדר מראש.
  2. פועלים לפי השלבים במאמר החלטה אילו משתמשים צריכים להשתמש ב-SSO כדי להקצות את פרופיל ה-OIDC שהוגדר מראש ליחידות ארגוניות או לקבוצות נבחרות.

אם יש לכם משתמשים ביחידה ארגונית (לדוגמה, ביחידה ארגונית משנית) שלא צריכים SSO, אתם יכולים להשתמש גם בהקצאות כדי להשבית את ה-SSO עבור המשתמשים האלה.

הערה: בשלב הזה, ממשק שורת הפקודה של Google Cloud לא תומך באימות מחדש באמצעות OIDC.

לפני שמתחילים

כדי להגדיר פרופיל OIDC בהתאמה אישית, תצטרכו לקבל הגדרה בסיסית מצוות התמיכה או ממסמכי התיעוד של ספק הזהויות:

  • כתובת ה-URL של המנפיק: כתובת ה-URL המלאה של שרת ההרשאות של ספק ה-IdP.
  • לקוח OAuth, שמזוהה על ידי מזהה הלקוח שלו ומאומת על ידי סוד הלקוח.
  • כתובת ה-URL לשינוי הסיסמה הדף שאליו משתמשי ה-SSO יועברו כדי לשנות את הסיסמה שלהם (במקום לשנות את הסיסמה שלהם ב-Google).

בנוסף, Google צריכה שספק הזהויות שלכם יעשה את הפעולות הבאות:

  • הטענה email מספק הזהויות (IdP) צריכה להיות זהה לכתובת האימייל הראשית של המשתמש בצד של Google.
  • חובה להשתמש בתהליך קוד ההרשאה.

יצירת פרופיל OIDC בהתאמה אישית

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then אימות ואז כניסה יחידה (SSO) עם ספק זהויות (IdP) של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בקטע פרופילי SSO של צד שלישי, לוחצים על הוספת פרופיל OIDC.
  3. נותנים שם לפרופיל ה-OIDC.
  4. מזינים את פרטי OIDC: מזהה לקוח, כתובת URL של המנפיק וסוד לקוח.
  5. לוחצים על שמירה.
  6. בדף ההגדרות של פרופיל ה-SSO החדש של OIDC, מעתיקים את URI להפניה אוטומטית. תצטרכו לעדכן את לקוח OAuth בספק הזהויות כדי להגיב לבקשות באמצעות ה-URI הזה.

כדי לערוך את ההגדרות, מעבירים את העכבר מעל פרטי OIDC ולוחצים על סמל העריכה .

שימוש בפרופיל Microsoft Entra OIDC

מוודאים שהגדרתם את הדרישות המוקדמות הבאות ל-OIDC בדייר Microsoft Entra ID של הארגון:

קובעים אילו משתמשים צריכים להשתמש ב-SSO

כדי להפעיל SSO ליחידה ארגונית או לקבוצה, צריך להקצות פרופיל SSO ואת ספק ה-IdP שמשויך אליו. אפשר גם להשבית את ה-SSO על ידי הקצאת הערך 'ללא' לפרופיל ה-SSO. אפשר גם להחיל מדיניות SSO מעורבת בתוך יחידה ארגונית או קבוצה. לדוגמה, להפעיל SSO עבור היחידה הארגונית כולה, ואז להשבית אותו עבור יחידה ארגונית משנית.

אם לא יצרתם פרופיל SAML או OIDC, תצטרכו לעשות זאת לפני שתמשיכו. אפשר גם להקצות את פרופיל ה-OIDC שהוגדר מראש.

  1. לוחצים על ניהול הקצאות של פרופיל SSO.
  2. אם זו הפעם הראשונה שאתם מקצים את פרופיל ה-SSO, לוחצים על 'תחילת העבודה'. אחרת, לוחצים על ניהול מטלות.
  3. בצד ימין, בוחרים את היחידה הארגונית או הקבוצה שרוצים להקצות להן את פרופיל ה-SSO.
    • אם הקצאת פרופיל ה-SSO ליחידה ארגונית או לקבוצה שונה מהקצאת הפרופיל ברמת הדומיין, כשבוחרים את היחידה הארגונית או הקבוצה מופיעה אזהרה על ביטול ההגדרה.
    • אי אפשר להקצות את פרופיל ה-SSO ברמת המשתמש. בתצוגת המשתמשים אפשר לבדוק את ההגדרה של משתמש ספציפי.
  4. בוחרים הקצאת פרופיל SSO ליחידה הארגונית או לקבוצה שנבחרו:
    • כדי להחריג את היחידה הארגונית או הקבוצה מ-SSO, בוחרים באפשרות ללא. המשתמשים ביחידה הארגונית או בקבוצה ייכנסו ישירות דרך Google.
    • כדי להקצות IdP אחר ליחידה הארגונית או לקבוצה, בוחרים באפשרות פרופיל SSO אחר ואז בוחרים את פרופיל ה-SSO מהתפריט הנפתח.

  5. (פרופילי SSO של SAML בלבד) אחרי שבוחרים פרופיל SAML, בוחרים אפשרות כניסה למשתמשים שנכנסים ישירות לשירות Google בלי להתחבר קודם לספק הזהויות (IdP) מצד שלישי של פרופיל ה-SSO. אפשר לבקש מהמשתמשים את שם המשתמש שלהם ב-Google ואז להפנות אותם אל ה-IdP, או לחייב את המשתמשים להזין את שם המשתמש והסיסמה שלהם ב-Google.

    הערה: אם תבחרו לדרוש מהמשתמשים להזין את שם המשתמש והסיסמה שלהם ב-Google, המערכת תתעלם מההגדרה כתובת ה-URL לשינוי הסיסמה בפרופיל ה-SSO הזה ב-SAML (שזמינה בקטע 'פרופיל SSO' > 'פרטי ספק הזהויות'). כך המשתמשים יוכלו לשנות את הסיסמאות שלהם לחשבון Google לפי הצורך.

  6. לוחצים על שמירה.

  7. (אופציונלי) מקצים פרופילי SSO ליחידות ארגוניות או לקבוצות אחרות לפי הצורך.

אחרי שסוגרים את הכרטיס ניהול הקצאות של פרופילי SSO, ההקצאות המעודכנות של היחידות הארגוניות והקבוצות מוצגות בקטע ניהול הקצאות של פרופילי SSO.

הסרת הקצאה של פרופיל SSO

  1. לוחצים על שם של קבוצה או יחידה ארגונית כדי לפתוח את הגדרות הקצאת הפרופיל.
  2. מחליפים את הגדרת ההקצאה הקיימת בהגדרה של היחידה הארגונית שמוגדרת ברמה עליונה:
    • להקצאות של יחידות ארגוניות – לוחצים על ירושה.
    • למטלות קבוצתיות – לוחצים על ביטול ההגדרה.

הערה: היחידה הארגונית ברמה העליונה תמיד מופיעה ברשימת ההקצאות של הפרופיל, גם אם הפרופיל מוגדר ל'ללא'.

ראה גם


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.