操作场景
Google Workspace(原 G Suite)是 Google 提供的一套办公协作工具,旨在帮助企业和个人更高效地进行沟通和协作。腾讯云支持基于 SAML 2.0(安全断言标记语言 2.0)的联合身份验证,SAML 2.0 是许多身份验证提供商(Identity Provider, IdP)使用的一种开放标准。您可以通过基于 SAML 2.0 联合身份验证将 IdP与腾讯云进行集成,从而实现 Google Workspace 账户自动登录(单一登录)腾讯云控制台管理腾讯云的资源,不必为企业或组织中的每一个成员都创建一个 CAM 子用户。
操作步骤
在 Google Workspace 中创建 SAML App
1. 在 Google Workspace 的 Apps > Web and mobile apps 页面,创建 custom SAML App。
![](https://qcloudimg.tencent-cloud.cn/image/document/d58954f087e8abb846046e5b8284df74.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/d58954f087e8abb846046e5b8284df74.png)
2. 在 App details 页签,编辑 App 名称。
![](https://qcloudimg.tencent-cloud.cn/image/document/1071516cf35d7dc813f94c308a89dedc.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/1071516cf35d7dc813f94c308a89dedc.png)
3. 下载 IdP 元数据 metadata 文档。
![](https://qcloudimg.tencent-cloud.cn/image/document/1d32ee2e511f032adc1fe68ad9c05d79.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/1d32ee2e511f032adc1fe68ad9c05d79.png)
4. 配置ACS URL和Entity ID信息。
所在站点 | ACS URL(断言使用者服务 URL) | Entity ID(实体 ID) |
中国站 | https://cloud.tencent.com/login/saml | cloud.tencent.com |
国际站 | https://www.tencentcloud.com/login/saml | www.tencentcloud.com |
![](https://qcloudimg.tencent-cloud.cn/image/document/99bcc22c22e238a35f04df80bc117c9b.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/99bcc22c22e238a35f04df80bc117c9b.png)
5. 配置映射关系。
将 Primary email 配置为 "https://cloud.tencent.com/SAML/Attributes/RoleSessionName"。
将 Department 配置为 "https://cloud.tencent.com/SAML/Attributes/Role" 。
![](https://qcloudimg.tencent-cloud.cn/image/document/f35ce633cd1e59253d805a264f2cde01.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/f35ce633cd1e59253d805a264f2cde01.png)
6. SAML App 创建完毕。
![](https://qcloudimg.tencent-cloud.cn/image/document/66b56cc1ded2502aa2b68edc27561dee.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/66b56cc1ded2502aa2b68edc27561dee.png)
在腾讯云中创建 SSO 信息
1. 在访问管理 > 角色 SSO 页面,单击新建提供商。
![](https://qcloudimg.tencent-cloud.cn/image/document/c9ca318dd5ba0b76f40026c67f0fabe6.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/c9ca318dd5ba0b76f40026c67f0fabe6.png)
2. 选择 SAML 类型,填写提供商名称并上传从 Google Workspace 下载的 IdP 元数据 metadata 文档。
![](https://qcloudimg.tencent-cloud.cn/image/document/ce10a9f9c6f854039724066c6d20f589.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/ce10a9f9c6f854039724066c6d20f589.png)
3. 单击下一步,在审阅并完成页面,确认信息无误后,单击完成。
![](https://qcloudimg.tencent-cloud.cn/image/document/d521737deac500a235ac75fc577c80c2.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/d521737deac500a235ac75fc577c80c2.png)
在腾讯云中创建角色
1. 在访问管理 > 角色 页面,单击新建角色。
![](https://qcloudimg.tencent-cloud.cn/image/document/e94a04cdbef0e64005d148653c94f57c.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/e94a04cdbef0e64005d148653c94f57c.png)
2. 在选择角色载体页面,选择身份提供商。
![](https://qcloudimg.tencent-cloud.cn/image/document/e02b9fa98ba11d46804d98f57ce6fc3b.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/e02b9fa98ba11d46804d98f57ce6fc3b.png)
3. 选择身份提供商类型为 SAML,IdP 选择所创建的已有实例名称,勾选允许当前角色访问控制台,单击下一步。
![](https://qcloudimg.tencent-cloud.cn/image/document/f650f749d42046a547713730c260cff5.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/f650f749d42046a547713730c260cff5.png)
4. 配置角色策略时可根据需求选择关联对应权限的策略,如无其他要求可单击下一步直至审阅角色信息无误后完成角色创建。若配置角色策略时无匹配的策略,可通过 策略生成器创建自定义策略 再进行关联。
![](https://qcloudimg.tencent-cloud.cn/image/document/a4d5f93b47a919031a041f7715ad706d.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/a4d5f93b47a919031a041f7715ad706d.png)
5. 配置角色标签,单击下一步。
说明:
若无标签要求,可直接单击下一步。
![](https://qcloudimg.tencent-cloud.cn/image/document/926965cf5f348c9271900e076021b5d3.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/926965cf5f348c9271900e076021b5d3.png)
6. 在审阅页面,编辑角色名称后,单击完成。
![](https://qcloudimg.tencent-cloud.cn/image/document/51c7de65acbc57bc541f1741b34104cf.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/51c7de65acbc57bc541f1741b34104cf.png)
7. 完成角色创建后,可在访问管理 > 角色 页面,查看角色的 RoleArn 和载体信息,此信息会用于 Google Workspaces 对应的用户配置信息。
![](https://qcloudimg.tencent-cloud.cn/image/document/f3a007cb3af3a9d954c85ec98746db66.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/f3a007cb3af3a9d954c85ec98746db66.png)
7.1 单击
角色名称
,可查看角色详情页面。![](https://qcloudimg.tencent-cloud.cn/image/document/5214fde4696598817d03d91c98f2f314.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/5214fde4696598817d03d91c98f2f314.png)
为 GoogleWorkspace 用户关联角色信息
1. 在 Google Workspace 的 Directory > Users 页面,选择需要添加角色 SSO 的用户。
![](https://qcloudimg.tencent-cloud.cn/image/document/9a293d2507f5f3f720a16b0d26c955f9.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/9a293d2507f5f3f720a16b0d26c955f9.png)
2. 单击用户名称,在 Users details 页面,配置用户的 User information 信息,将 Deparment 配置为在腾讯云中创建的角色 RoleArn 和角色载体信息,详情查看上文中创建的 角色信息。
![](https://qcloudimg.tencent-cloud.cn/image/document/9fd434eadd89ff27e7d06772656aa321.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/9fd434eadd89ff27e7d06772656aa321.png)
2.1 编辑信息。
![](https://qcloudimg.tencent-cloud.cn/image/document/8b0f214076b3dace875e5b81b415ad6c.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/8b0f214076b3dace875e5b81b415ad6c.png)
2.2 输入在腾讯云中创建的角色 RoleArn 信息和载体信息。
![](https://qcloudimg.tencent-cloud.cn/image/document/d6d2bbee46b59da75ea7dc241f7b4bc3.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/d6d2bbee46b59da75ea7dc241f7b4bc3.png)
2.3 输入完成并保存信息,如下图所示:
![](https://qcloudimg.tencent-cloud.cn/image/document/112b5c076b31a053b09ba1207500abd8.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/112b5c076b31a053b09ba1207500abd8.png)
开启 SAML App 登录到腾讯云
1. 在 Google Workspace 的 Apps > Web and mobile apps 页面,查看所创建的 SAML App。
![](https://qcloudimg.tencent-cloud.cn/image/document/07a50d3d1c03a7454fdc68718ba82a00.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/07a50d3d1c03a7454fdc68718ba82a00.png)
2. 将 SAML App 状态设置为开启。
![](https://qcloudimg.tencent-cloud.cn/image/document/d6c17d6a0d392a3bb6e4d3ae91a5a082.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/d6c17d6a0d392a3bb6e4d3ae91a5a082.png)
2.1 开启设置并保存。
![](https://qcloudimg.tencent-cloud.cn/image/document/9ef8e087214843e1323ab0981e0e36c0.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/9ef8e087214843e1323ab0981e0e36c0.png)
3. 使用关联了角色 SSO 信息的账号登录到腾讯云控制台。
![](https://qcloudimg.tencent-cloud.cn/image/document/f9750094b207c3015aef5d4695c54459.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/f9750094b207c3015aef5d4695c54459.png)
4. 使用被赋予权限的账号进行登录即可。
![](https://qcloudimg.tencent-cloud.cn/image/document/250bc6f5280cfb9af88e09857ceb49f5.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/250bc6f5280cfb9af88e09857ceb49f5.png)