問題
以 Access Control 作為驗證端的 Microsoft 365 或 Google Workspace(以下稱為群組軟體)作為 IdP,並與其他外部服務(SP)進行 SSO 串接時,驗證流程會是如何進行?
回答
當群組軟體的驗證端設定為 Access Control 時,即使登入其他服務時,最終也必須通過 Access Control 的驗證。
具體的登入流程如下:
- 存取外部服務(SP),並嘗試以群組軟體的帳戶登入。
- 為了驗證,從 SP 重新導向至群組軟體。
- 再由群組軟體重新導向至 Access Control。
- 在 Access Control 畫面上進行驗證。
- 驗證成功後,經由群組軟體完成對 SP 的登入。
注意事項
- 在此架構下,最終的驗證結果將依據 Access Control 的存取原則群組。
- 即使群組軟體端允許登入,若 Access Control 的原則未允許該 IP 郵件地址或裝置存取,則會在上述步驟 4 階段被限制,因此無法登入外部服務(SP)。
因此,使用外部服務時,請事先確認 Access Control 端已正確設定存取許可。