選單

為雲端應用程式啟用單一登入 (SSO) 功能

企業問題

採用雲端應用程式的企業數量正急速攀升,將單一登入 (SSO) 機制運用在雲端應用程式之後,公司員工就能使用自己的公司憑證來登入軟體式服務 (SaaS) 應用程式,或是登入透過雲端服務託管的企業內部應用程式。

單一登入 (SSO) 會透過識別資訊提供者 (IdP) 提供單點驗證功能。這麼做的好處是使用者的憑證不會儲存在第三方服務中,但他們仍能順利存取第三方雲端應用程式。在大部分情況下,登入第三方應用程式所需的憑證不會留下任何記錄。

假設您的企業希望強制執行單一登入 (SSO) 機制來提高安全性,並讓員工享受 SSO 帶來的便利性。在這種情況下,IdP 就必須針對貴公司所有雲端應用程式驗證使用者的存取權限。

解決方案

Cloud Identity (也就是您的 IdP) 可支援 OpenID Connect (OIDC) 和安全宣告標記語言 2.0 (SAML) 通訊協定,讓您的使用者能夠取得所選雲端應用程式的單一登入 (SSO) 存取權。

您可以在 Cloud Identity 的大型應用程式目錄中找到所需的 SAML 應用程式,G Suite 使用者則可在 G Suite Marketplace 中取得 OIDC 應用程式。雖然多數雲端應用程式僅能支援其中一種通訊協定,但仍有部分應用程式可同時支援上述兩種通訊協定。

SAML 目錄應用程式

優點

  • 業界已廣泛使用 SAML。
  • 只有管理員可以安裝應用程式,因此他們能夠控管員工可使用哪些應用程式。
  • Google 與第三方 SaaS 供應商合作提供連接器,Google 會負責驗證目錄中的應用程式。
  • 使用者可以在短時間內輕鬆安裝 SAML 目錄應用程式。

缺點

  • SAML 應用程式的設定程序略多於 OIDC 應用程式。
  • 並非所有企業應用程式均支援 SAML,且部分企業應用程式會針對 SAML 功能加收費用。

OIDC G Suite Marketplace 應用程式

優點

  • OIDC 這種現代化的通訊協定較 SAML 更為簡便。
  • 管理員和使用者皆可安裝應用程式,但使用者僅能安裝管理員核准的應用程式。
  • G Suite Marketplace 應用程式可充分發揮 G Suite 的功能。由於這類應用程式使用的是 Core Google Services API,因此可與多種 Google 產品/服務完美整合。這些應用程式都經過審核,確認完全符合 G Suite Marketplace 的規定。

缺點

  • 企業應用程式並未廣泛採用 OIDC。

建議做法

您可以瀏覽 SAML 和 G Suite Marketplace 目錄,某些應用程式會同時列於兩個目錄中。如果貴公司為 G Suite 客戶且公司的 IT 政策可接受 OIDC,建議您使用 G Suite Marketplace 應用程式。

如果您要使用的應用程式不在任一目錄中,但該應用程式支援 SAML,則請以自訂 SAML 應用程式的方式進行安裝。不過請注意,自訂 SAML 應用程式的設定已依據安裝部門的需求調整完畢,因此您無法在一般 SAML 目錄中找到這類應用程式。

請安裝貴公司中各部門要使用的應用程式,但僅將相關應用程式的存取權限指派給所需部門。

第三方識別資訊提供者

即使您與第三方 IdP 合作,還是可以為 Cloud Identity 目錄中所列的第三方應用程式設定單一登入 (SSO) 功能。第三方 IdP 會執行使用者驗證工作,Cloud Identity 則會負責管理雲端應用程式。

如要使用 Cloud Identity 來進行單一登入 (SSO) 服務,貴公司使用者必須具備 Cloud Identity 帳戶。他們可以透過您的第三方 IdP 登入,也可以使用自己的 Cloud Identity 帳戶密碼登入。

應用範例

除了產業專用應用程式之外,A 公司員工在日常工作中也會使用下列多種雲端應用程式:

  • 協同合作套件
  • 訊息傳遞與通訊
  • 會議通訊
  • 客戶關係管理 (CRM)
  • 人力資源 (HR)
  • 客戶服務

A 公司使用自己託管的內部部署 IdP。為提高安全性、減少支援成本並增加可擴充性,公司希望改用 Cloud Identity 來當做主要 IdP,員工則想使用同一組登入憑證來輕鬆存取所有雲端應用程式。因此,他們打算採用 SAML 和 OIDC 在所有雲端應用程式中驗證自己的 Google 身分。

IT 部門可以調整雲端應用程式設定,藉此啟用單一登入 (SSO) 功能:

  • 列出員工使用的所有雲端應用程式。
  • 在 G Suite Marketplace 或 SAML 目錄中找出這些應用程式。
  • 逐一為這些應用程式啟用並設定單一登入 (SSO) 功能。
  • 將各個應用程式的存取權限指派給所需部門,例如:
    • 將訊息傳遞、人力資源和協同合作應用程式的存取權限指派給頂層部門,以便所有員工使用這些應用程式
    • 將客戶關係管理應用程式的存取權限指派給銷售部門
    • 將客戶服務應用程式的存取權限指派給支援部門

依據各部門的需求設定不同的安全金鑰強制執行功能。

員工登入 Cloud Identity。透過單一登入 (SSO) 功能,他們就能使用自己的 Cloud Identity 憑證來存取所需的雲端應用程式。

透過單一登入 (SSO) 功能登入雲端應用程式。

本頁內容對您是否有任何幫助?請提供意見: