操作场景
Google Workspace(原 G Suite)是 Google 提供的一套办公协作工具,旨在帮助企业和个人更高效地进行沟通和协作。腾讯云支持基于 SAML 2.0(安全断言标记语言 2.0)的联合身份验证,SAML 2.0 是许多身份验证提供商(Identity Provider, IdP)使用的一种开放标准。您可以通过基于 SAML 2.0 联合身份验证将 IdP与腾讯云进行集成,从而实现 Google Workspace 账户自动登录(单一登录)腾讯云控制台管理腾讯云的资源,不必为企业或组织中的每一个成员都创建一个 CAM 子用户。
操作步骤
在 Google Workspace 中创建 SAML App
1. 在 Google Workspace 的 Apps > Web and mobile apps 页面,创建 custom SAML App。
2. 在 App details 页签,编辑 App 名称。
3. 下载 IdP 元数据 metadata 文档。
4. 配置ACS URL和Entity ID信息。
所在站点 | ACS URL(断言使用者服务 URL) | Entity ID(实体 ID) |
中国站 | https://cloud.tencent.com/login/saml | cloud.tencent.com |
国际站 | https://www.tencentcloud.com/login/saml | www.tencentcloud.com |
5. 配置映射关系。
将 Primary email 配置为 "https://cloud.tencent.com/SAML/Attributes/RoleSessionName"。
将 Department 配置为 "https://cloud.tencent.com/SAML/Attributes/Role" 。
6. SAML App 创建完毕。
在腾讯云中创建 SSO 信息
1. 在访问管理 > 角色 SSO 页面,单击新建提供商。
2. 选择 SAML 类型,填写提供商名称并上传从 Google Workspace 下载的 IdP 元数据 metadata 文档。
3. 单击下一步,在审阅并完成页面,确认信息无误后,单击完成。
在腾讯云中创建角色
1. 在访问管理 > 角色 页面,单击新建角色。
2. 在选择角色载体页面,选择身份提供商。
3. 选择身份提供商类型为 SAML,IdP 选择所创建的已有实例名称,勾选允许当前角色访问控制台,单击下一步。
4. 配置角色策略时可根据需求选择关联对应权限的策略,如无其他要求可单击下一步直至审阅角色信息无误后完成角色创建。若配置角色策略时无匹配的策略,可通过 策略生成器创建自定义策略 再进行关联。
5. 配置角色标签,单击下一步。
说明:
若无标签要求,可直接单击下一步。
6. 在审阅页面,编辑角色名称后,单击完成。
7. 完成角色创建后,可在访问管理 > 角色 页面,查看角色的 RoleArn 和载体信息,此信息会用于 Google Workspaces 对应的用户配置信息。
7.1 单击
角色名称
,可查看角色详情页面。
为 GoogleWorkspace 用户关联角色信息
1. 在 Google Workspace 的 Directory > Users 页面,选择需要添加角色 SSO 的用户。
2. 单击用户名称,在 Users details 页面,配置用户的 User information 信息,将 Deparment 配置为在腾讯云中创建的角色 RoleArn 和角色载体信息,详情查看上文中创建的 角色信息。
2.1 编辑信息。
2.2 输入在腾讯云中创建的角色 RoleArn 信息和载体信息。
2.3 输入完成并保存信息,如下图所示:
开启 SAML App 登录到腾讯云
1. 在 Google Workspace 的 Apps > Web and mobile apps 页面,查看所创建的 SAML App。
2. 将 SAML App 状态设置为开启。
2.1 开启设置并保存。
3. 使用关联了角色 SSO 信息的账号登录到腾讯云控制台。
4. 使用被赋予权限的账号进行登录即可。
