AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

绑定Google Workspace

更新时间:
复制为 MD 格式
产品详情
我的收藏

本文介绍如何将 Google Workspace 配置为 SAML 2.0 身份提供方(IdP),实现企业用户通过 Google Workspace 单点登录(SSO)访问 IDaaS EIAM 用户门户。

说明

需要拥有Google Workspace 超级管理员权限(可在 Google Admin Console 中创建和配置 SAML 应用)和 开通了阿里云 IDaaS EIAM 实例,并且获取 IDaaS 管理控制台的访问权限。

步骤一:在 Google Workspace 创建 SAML 应用

  1. 进入 Google Admin Console,单击应用 > Web 和移动应用

  2. Web 和移动应用第一行操作栏中单击添加应用,在弹出的下拉菜单中选择添加自定义 SAML 应用

  3. 输入应用名称说明,可选择上传应用图标,然后单击继续

  4. Google身份提供方详细信息页面,获取SAML IdP 元数据信息。单击下载元数据,将信息保存到本地,后续创建 IDaaS SAML 身份提供方时需要。

  5. 服务提供商详细信息页面,填写信息,其中 ACS 网址实体ID 为必填项,真实值需要等创建完 IDaaS 侧的 SAML 身份提供方后才能获取,可以先随意填写,后续步骤会指引更新这两项信息,单击继续

  6. 属性映射页面,配置从 Google Directory 到 SAML 属性的映射。建议至少配置以下属性:

    • 基本身份信息 > 电子邮件:映射到 emailnameID,用于唯一标识用户。

    • 根据需要添加其他属性映射(如名字、姓氏等)。

配置完成后,单击完成

重要

Google Workspace 默认仅对 Assertion 进行签名;若勾选‘已签署响应’选项,则只对 Response 进行签名。

步骤二:在 IDaaS 创建 SAML 身份提供方

  1. 进入 IDaaS EIAM 控制台,单击 身份源 > 入方向 > 添加入方向,选择 SAML 身份提供方,单击添加

    image

  2. 在右侧弹窗的绑定 SAML 身份提供方中填写以下信息:

    • 显示名称:该名称为 SAML 身份提供方的名称,是展示在登录页中的登录方式名称。

    • 登录配置:在 IdP Metadata 输入框中输入从步骤"在 IDaaS 创建 SAML 身份提供方"中保存的 Metadata URL,单击 解析 按钮。系统将自动解析 XML 并获取 IdP SSO地址IdP 唯一标识验签证书等信息。

    • 签名校验策略选择需与 Google Workspace 端的签名策略保持一致,示例:勾选了对 Assertion 签名。

  3. 单击 下一步,进入场景选择页面。

  4. 配置账户绑定场景,根据业务需要选择以下场景能力,然后单击 完成创建

    场景

    说明

    手动绑定账户

    通过 SAML 登录时,如果 SAML 账户未绑定 IDaaS 账户,用户可以手动绑定。

    自动绑定账户

    开启该功能后,用户通过 SAML 登录时将进行判断:如果 IDaaS 字段与 SAML Response 中的 NameID 字段的值相同,且账户无绑定关系,则自动绑定账户。

    自动创建用户

    通过 SAML 登录时,如果 SAML 账户未绑定 IDaaS 账户,可自动创建 IDaaS 账户。每次通过 SAML 登录都将更新账户信息。

    自动更新信息

    通过 SAML 登录时,将根据字段映射更新账户信息。

    如果开启了自动更新信息开关,将进入字段映射配置界面,配置参考SAML IdP 字段映射

步骤三:在 Google Workspace 配置单点登录信息

  1. 进入 IDaaS EIAM 控制台,单击 身份源 > 身份提供方 > 入方向,单击步骤二中创建的 SAML 身份提供方配置信息按钮,获取以下两项值:

    • SP 唯一标识:对应 Google Workspace SAML 应用中的实体 ID字段。

    • SP ACS 地址:对应 Google Workspace SAML 应用中的ACS 网址字段。

  2. 返回 Google Admin Console,打开第一步中创建的 SAML 应用,进入服务提供商详细信息页面。将实体 ID信息替换为上一步获取的SP 唯一标识,将ACS 网址信息替换为SP ACS 地址

  3. 进入边界详细信息 > 用户访问权限区域,单击编辑,按需选择组织部门群组,为指定组织部门群组启用该 SAML 应用的单点登录权限。

步骤四:验证用户登录流程

当前面三步配置完成之后,下面验证 IDaaS 的用户登录流程。

  1. 访问 IDaaS EIAM 用户门户,在其他登录方式里会显示 SAML 身份提供方的登录选项。

  2. 单击该登录选项,浏览器将跳转至 Google Workspace 进行认证。

    • 如果 Google 账号未登录,则出现 Google 登录页面,登录完成后重定向回 IDaaS。

    • 如果已登录,则直接重定向回 IDaaS。

  3. 认证通过后,系统根据第二步中配置的账户绑定场景进行账户匹配。如果无法自动匹配到 IDaaS 用户,根据场景选择配置,可手动绑定账户或自动创建账户以完成登录。

上一篇:ADFS 对接 SAML IdP 实践下一篇:SAML IdP 字段映射