HENNGE Access Control 和 Google Workspace 的單一登入 (SSO) 連線設定 (新式介面) – HENNGE One Help Center

對象

需要對 HENNGE Access Control 及 Google Workspace 做 Single Sign-On 串接 (SSO) 的客戶。

目的

此文章撰寫如何設定 Access Control 與 Google Workspace 網域環境串接。
設定完成之後，將會透過 HENNGE Access Control 進行 Google Workspace 的登入。

注意事項

按照本文中的步驟操作後，Google Workspace 的登入介面將跳轉為 HENNGE Access Control。
需要有 HENNGE Access Control 的管理帳戶資訊（使用者帳號、密碼）。
需要有 Google Workspace 的超級管理員使用者資訊（使用者帳號、密碼）。
具有超級管理員權限的 Google Workspace 帳號將不套用 Single Sign-On (SSO) 的跳轉條件。https://support.google.com/a/answer/6341409?hl=zh-Hant
在執行此操作前，請確保已在 Google Workspace 和 HENNGE Access Control 中創建具有相同電子信箱的使用者。
如果電子信箱不一致或使用者帳戶不同時存在在兩項服務上，則該名使用者將無法登入 Google Workspace。
如果無法如預期般運作，可能需要請教 Google 進行確認。
即使僅部分使用者使用 HENNGE One 產品，也需要購買與 Google Workspace 授權數相同的數量。
HENNGE One 授權說明
本篇文章的內容是根據 2024 年 4 月的產品資訊所寫成，今後可能不經預告進行變更。

全網域套用的設定步驟

1.設定 HENNGE Access Control 連線的服務

請執行以下文章的步驟。

HENNGE Access Control SSO 連線的服務預先設定

2.建立 Google Workspace 的 SSO 設定檔

2.1. [Google Admin 管理主控台] - [安全性] - [驗證] - [透過第三方IdP設定單一登入服務（SSO）] 。

截圖 2025-02-13 下午11.30.25.png

2.2. 從 [第三方單一登入 (SSO) 設定檔] - [新增 SAML 設定檔] 進行以下設定。
※ 貼上在「設定 HENNGE Access Control 連線的服務」中取得的值。

SSO 設定檔名稱：任意名稱
IdP 實體 ID：「IdP 簽發者」
登入網頁網址：「SSO 登入 URL」
登出網頁網址：「登出 URL」
變更密碼網址：「SSO 登入 URL」
上傳憑證：下載「SAML 簽名憑證」

2.3. 按下 [儲存] 後，在 [服務供應商詳細資料] 中會顯示 [實體 ID] 和 [ACS 網址]，請記錄在記事本等工具中。

截圖 2025-02-13 下午11.32.01.png

3.編輯 HENNGE Access Control 的連線的服務提供者設定

3.1. 編輯在「設定 HENNGE Access Control 連線的服務」中建立的服務提供者。

ACS URL ：「建立 Google Workspace 的 SSO 設定檔」步驟 3 的「ACS 網址」。
SP 簽發者 (Audience) ：「建立 Google Workspace 的 SSO 設定檔」步驟 3的「實體 ID」。

截圖 2025-02-13 下午11.33.41.png

3.2. 勾選存取原則群組中「允許的服務」中的Google Workspace

在使用 Google Workspace 的使用者所屬的存取原則群組的 [ 連線的服務 ] 中，勾選建立的 Google Workspace 後選擇 [儲存]。
※ 若不勾選此處操作，Single Sign-On 時將出現 404 錯誤。

※ 預設的服務提供者 [Gmail]為舊版 Google Workspace 串接用，請取消勾選預設設定的 [Gmail] 服務提供者。

4.Google Workspace 的 SSO 設定步驟

對所有使用者進行 SSO 整合

4.1. 點選 [Google Admin 管理主控台] - [安全性] - [驗證] - [透過第三方IdP設定單一登入服務（SSO）]，點擊 [管理單一登入 (SSO) 設定檔指派作業] - [試用] ※。
※ 若未顯示 [試用]，請點擊 [管理]。

4.2. 選擇頂層組織部門，從 [選擇 ] 下拉式選單中選擇「建立 Google Workspace SSO 設定檔」步驟準備的設定檔。

4.3. 點選 [要求 Google 使用者名稱輸入後，重新導向至此檔案的 IdP 登入頁面] - [儲存]。
截圖 2025-02-17 下午6.42.00.png

5.連線確認

SSO 目標使用者
透過 Google Workspace 服務的組織中的使用者帳號，登入 Google Workspace 服務，確認是否顯示 HENNGE Access Control 的驗證畫面。
※ 擁有特權管理員權限的 Google Workspace 帳號不適用於單一登入 (SSO)。
非 SSO 目標使用者
透過未參與 Google Workspace 服務的組織中的使用者，登入 Google Workspace 服務，確認是否可以登入而不顯示 HENNGE Access Control 的驗證畫面。

部分使用者套用的設定步驟

建立 Google Workspace 的新組織部門

※ 此步驟適用於僅希望部分使用者使用 HENNGE Access Control 和 SSO 串接的情況。

1. 在母組織下建立要註冊目標帳號的組織部門。

新增組織部單位
※ 將前往 Google 的支援頁面。

2. 將要設定為單一登入 (SSO) 目標的帳號註冊到步驟 1 中新增的組織部門。

將使用者移至特定機構單位
※ 將前往 Google 的支援頁面。

設定 HENNGE Access Control 連線的服務

請參考以上全網域使用者設定中的「設定 HENNGE Access Control 連線的服務」

建立 Google Workspace 的 SSO 設定檔

請參考以上全網域使用者設定中的「建立 Google Workspace 的 SSO 設定檔」

Google Workspace 的 SSO 設定步驟

僅對部分使用者進行 SSO 整合

1. 點選 [Google Admin 管理主控台] - [安全性] - [驗證] - [透過第三方 IdP 進行 SSO]，然後按一下 [管理 SSO 檔案分配] - [試用] ※。
※ 若未顯示 [試用]，請按一下 [管理]。

2. 選擇「建立 Google Workspace 的新組織部門」建立的組織部門※，從 [選取單一登入 (SSO) 設定檔] 選單中選擇「建立 Google Workspace 的 SSO 設定檔」步驟設定的檔案。
※若無設定組織部門，預設為母組織。

3. 點選 [要求 Google 使用者名稱輸入後，重新導向至此檔案的 IdP 登入頁面] - [儲存]。

4. 點選 [透過第三方 IdP 進行 SSO] - [特定網域服務的 URL]，選擇「要求使用者輸入自己的 Google 使用者名稱和密碼才能登入」並 [儲存]。
※ 若為部分組織進行 SSO 請務必選擇此設定。若不進行此設定，未使用 SSO 的使用者可能會自動重新導向至 HENNGE Access Control，導致無法登入。

連線確認

請參考以上全網域使用者設定中的「連線確認」
參考資料

設定組織的 SSO（Google Workspace 管理員說明）