为云应用启用 SSO

业务问题

企业使用的云应用正在与日俱增。通过将单点登录 (SSO) 扩展到云应用,员工可以使用其公司凭据登录软件即服务 (SaaS) 应用或云端托管的内部应用。

SSO 通过身份提供商 (IdP) 提供单点身份验证。 用户可以访问第三方云应用,但其凭据不会由第三方存储。在许多情况下,针对第三方应用的凭据并不存在。

您的公司希望通过强制执行 SSO 来提高安全性,同时让您的用户享受 SSO 的便利性。身份提供商必须对访问您公司各个云应用的用户进行身份验证。

解决方案

为了实现让用户通过 SSO 访问所选云应用,作为身份提供商的 Cloud Identity 支持 OpenID Connect (OIDC) 和安全断言标记语言 2.0 (SAML) 协议。

Cloud Identity 有一份很长的 SAML 应用目录。G Suite 用户可以在 G Suite 应用商店 中获取 OIDC 应用。大多数云应用仅支持其中一种协议,但也有一些云应用同时支持这两种协议。

SAML 目录应用

优势

  • SAML 已得到企业的高度认可。
  • 只有管理员可以安装应用,因此他们能够控制员工可以使用哪些应用。
  • 连接器由第三方 SaaS 提供商与 Google 联合开发,并且 Google 会对目录中的应用进行验证。
  • 安装过程快捷而顺畅。

缺点

  • SAML 应用的设置比 OIDC 应用的设置更复杂一些。
  • 并非所有企业应用都支持 SAML,并且有些企业应用会因提供 SAML 功能而额外收费。

OIDC G Suite 应用商店应用

优势

  • 与 SAML 协议相比,OIDC 协议更为轻巧而新式。
  • 管理员和用户可以安装应用,但用户只能安装管理员列入白名单的应用。
  • G Suite 应用商店应用扩展了 G Suite 的功能。由于这些应用使用的是 Core Google Services API,因此它们可与 Google 产品完美集成。这些应用均需进行审核,以确保其符合 G Suite Marketplace 的要求。

缺点

  • OIDC 未被企业应用广泛采用。

建议

浏览 SAML 目录和 G Suite Marketplace 目录。有些应用会同时出现在两个目录中。在这种情况下,如果您是 G Suite 客户,并且您的公司 IT 政策支持 OIDC,那么我们建议您使用 G Suite Marketplace 应用。

如果所需的应用不在任一目录中,并且该应用支持 SAML,请将其作为自定义 SAML 应用进行安装。请注意,由于自定义 SAML 应用需要针对安装这些应用的组织进行配置,因此它们不会出现在常规 SAML 目录中。

安装公司内部不同组织所需的应用,然后将每个应用仅分配给需要该应用的组织。

第三方身份提供商

如果您在使用第三方身份提供商,则仍可为 Cloud Identity 目录中的第三方应用配置 SSO。用户身份验证由第三方身份提供商完成,而 Cloud Identity 则负责管理云应用。

要使用 Cloud Identity 进行 SSO 配置,您的用户需要具备 Cloud Identity 账号。他们可以通过您的第三方身份提供商或者使用 Cloud Identity 账号密码登录账号。

示例

除业务线应用之外,A 公司的员工还会在日常工作中使用以下几种云应用:

  • 协作套件
  • 消息传递和通信
  • 会议
  • 客户关系管理 (CRM)
  • 人力资源 (HR)
  • 客户支持

A 公司原来使用的是自己托管的本地身份提供商。为了增强安全性、降低支持成本并提高可扩展性,他们希望将 Cloud Identity 作为其主要身份提供商。员工希望使用一组登录凭据来方便地访问其所有云应用。他们计划使用 SAML 和 OIDC 来验证访问其云应用的用户的 Google 身份。

IT 部门为其云应用设置 SSO:

  • 列出员工使用的云应用。
  • 在 G Suite Marketplace 目录或 SAML 目录中找到这些应用。
  • 逐一为各个应用开启 SSO 并相应地进行 SSO 设置。
  • 为特定的组织分配适当的应用,例如:
    • 将消息传递应用、人力资源应用和协作应用分配给高层组织(以便每个人都可以访问这些应用)
    • 将客户关系管理应用分配给销售组织
    • 将客户支持应用分配给客服组织

是否强制执行安全密钥因组织而异。

员工登录 Cloud Identity。通过 SSO,他们可以使用其 Cloud Identity 凭据访问所需的云应用。

通过 SSO 登录云应用。