Logowanie jednokrotne (SSO)

Po skonfigurowaniu logowania jednokrotnego użytkownicy, którzy logują się do zewnętrznego dostawcy tożsamości, mogą korzystać z aplikacji Google bez dodatkowej weryfikacji, z tymi wyjątkami:

• Nawet jeśli użytkownicy są już zalogowani do dostawcy tożsamości, Google czasami prosi o potwierdzenie tożsamości w ramach dodatkowych zabezpieczeń. Więcej informacji (także na temat tego, jak w razie potrzeby wyłączyć to dodatkowe sprawdzanie tożsamości) znajdziesz w artykule Omówienie bezpiecznego logowania przez SAML.
• Możesz skonfigurować dodatkową weryfikację dwuetapową dla użytkowników korzystających z usług Google. Weryfikacja dwuetapowa jest zwykle pomijana po włączeniu SSO. Więcej informacji znajdziesz w sekcji Włączanie testów zabezpieczających logowanie przy użyciu SSO artykułu o weryfikowaniu tożsamości użytkownika przy użyciu dodatkowych zabezpieczeń.

Rysunek 1 przedstawia proces logowania się użytkownika w aplikacji Google, takiej jak Gmail, przy użyciu obsługiwanej przez partnera usługi logowania jednokrotnego opartej na standardzie SAML. Szczegółowe wyjaśnienie każdego kroku zawiera lista numerowana pod rysunkiem.

Ważne: przed rozpoczęciem tej procedury partner musi przekazać Google adres URL swojej usługi logowania jednokrotnego oraz klucz publiczny, którego firma Google powinna używać do weryfikowania odpowiedzi SAML.

Rysunek 1 przedstawia proces logowania się w Google przy użyciu usługi logowania jednokrotnego opartej na standardzie SAML.

Ten rysunek przedstawia poniższe kroki.

1. Użytkownik próbuje połączyć się z aplikacją hostowaną Google, na przykład z Gmailem, Kalendarzem Google lub inną usługą Google.
2. Google generuje żądanie uwierzytelnienia SAML, które zostaje zakodowane i umieszczone w adresie URL dla usługi logowania jednokrotnego partnera. W adresie URL logowania jednokrotnego jest też umieszczony parametr RelayState zawierający zakodowany URL aplikacji Google, z którą chce się połączyć użytkownik. Parametr RelayState to niejednoznaczny identyfikator, który jest przekazywany z powrotem bez modyfikacji i bez sprawdzania.
3. Google wysyła przekierowanie do przeglądarki użytkownika. Przekierowanie zawiera zakodowane żądanie uwierzytelnienia SAML, które powinno zostać przekazane do usługi logowania jednokrotnego partnera.
4. Przeglądarka przekierowuje do adresu URL logowania jednokrotnego.
5. Partner dekoduje żądanie SAML i wyodrębnia URL zarówno dla usługi konsumenta potwierdzenia Google (Assertion Consumer Service, ACS), jak i docelowego URL-a użytkownika (parametr RelayState).
6. Partner następnie uwierzytelnia użytkownika. Partnerzy mogą uwierzytelniać użytkowników, prosząc o prawidłowe dane logowania lub sprawdzając, czy istnieją prawidłowe pliki cookie sesji.
7. Partner generuje odpowiedź SAML zawierającą nazwę uwierzytelnionego użytkownika. Zgodnie ze specyfikacją SAML 2.0 ta odpowiedź zostaje cyfrowo podpisana przy użyciu publicznych i prywatnych kluczy DSA/RSA partnera.
8. Partner koduje odpowiedź SAML i parametr RelayState, a następnie zwraca te informacje do przeglądarki użytkownika. Partner udostępnia mechanizm, dzięki któremu przeglądarka może przekazać te informacje do usługi Google ACS. Partner może na przykład umieścić w formularzu odpowiedź SAML i docelowy adres URL oraz udostępnić przycisk, który użytkownik może kliknąć, aby przesłać formularz do Google. Partner może też umieścić na stronie kod JavaScript, który przesyła formularz do Google.
9. Przeglądarka wysyła odpowiedź na adres URL usługi ACS. Google ACS weryfikuje odpowiedź SAML przy użyciu klucza publicznego partnera. Jeśli odpowiedź zostanie zweryfikowana, ACS przekierowuje użytkownika do docelowego adresu URL.
10. Użytkownik jest zalogowany w aplikacji Google.