關於單一登入 (SSO)

完成 SSO 設定後，使用者只要登入第三方 IdP，即可存取 Google 應用程式，不需再另行驗證，但以下情況例外：

• Google 有時會要求已登入 IdP 的使用者驗證自己的身分，做為額外的安全措施。如需進一步瞭解相關資訊 (以及如何在有需要時停用這類驗證機制)，請參閱「認識 SAML 安全登入功能」。
• 您可以為存取 Google 服務的使用者額外設定兩步驟驗證機制，因為開啟 SSO 功能以後，系統通常會略過兩步驟驗證。詳情請參閱「啟用單一登入 (SSO) 的驗證機制」。

下圖 1 呈現使用者透過合作夥伴提供的 SAML 式 SSO 服務，登入 Google 應用程式 (例如 Gmail) 的完整流程。後面的編號清單則依序列出圖片中每個步驟的詳細說明。

注意：開始這項程序前，合作夥伴必須向 Google 提供 SSO 服務網址和公開金鑰，讓 Google 驗證 SAML 回應。

圖 1：顯示使用 SAML 式 SSO 服務登入 Google 的程序。

這張圖包含以下步驟。

1. 使用者嘗試存取代管的 Google 應用程式，例如 Gmail、Google 日曆或其他 Google 服務。
2. Google 產生 SAML 驗證要求，這個要求會在編碼後嵌入合作夥伴的 SSO 服務網址。這個 SSO 網址也包含 RelayState 參數，其中含有使用者嘗試存取的 Google 應用程式經過編碼的網址。RelayState 參數是一種不易解讀的 ID，傳回時不會經過任何修改或檢查。
3. Google 向使用者的瀏覽器傳送重新導向網址。這個重新導向網址包含經過編碼的 SAML 驗證要求，後者也會提交至合作夥伴的 SSO 服務。
4. 瀏覽器重新導向至 SSO 網址。
5. 合作夥伴對 SAML 要求進行解碼，並擷取 Google 宣告客戶服務 (ACS) 網址和使用者的到達網頁網址 (RelayState 參數)。
6. 合作夥伴驗證使用者。進行驗證時，合作夥伴可以要求使用者提供有效的登入憑證，或檢查有效的工作階段 Cookie。
7. 合作夥伴產生 SAML 回應，內含已驗證使用者的使用者名稱。根據 SAML v2.0 規格，這個回應會加上數位簽章，包含合作夥伴的公開與私密 DSA/RSA 金鑰。
8. 合作夥伴對 SAML 回應和 RelayState 參數進行編碼，然後將這些資訊傳回使用者的瀏覽器。合作夥伴會提供可讓瀏覽器將這些資訊轉送至 Google ACS 的機制。舉例來說，合作夥伴可將 SAML 回應和到達網頁網址嵌入表單，然後讓使用者只要點選按鈕，就能將這個表單提交給 Google；或是在網頁中加入能將這個表單提交給 Google 的 JavaScript。
9. 瀏覽器傳送回應給 ACS 網址。Google 的 ACS 使用合作夥伴的公開金鑰驗證 SAML 回應。如果回應通過驗證，ACS 會將使用者重新導向至到達網頁網址。
10. 使用者登入 Google 應用程式。