本文档介绍如何在 Okta 组织和 Cloud Identity 或 Google Workspace 账号之间设置用户预配和单点登录。
本文档假定您已在组织中使用 Okta,并希望使用 Okta 允许用户向 Google Cloud进行身份验证。
目标
- 将 Okta 配置为自动将用户和(可选)群组预配到 Cloud Identity 或 Google Workspace。
- 将单点登录配置为允许用户使用 Okta 用户账号登录 Google Cloud。
费用
如果您使用的是免费版 Cloud Identity,则设置与 Okta 的联合时,不会使用 Google Cloud的任何收费组件。
如需了解使用 Okta 可能会产生的任何费用,请参阅 Okta 价格页面。
准备工作
- 如果您还没有账号,请注册 Cloud Identity。
- 如果您使用的是免费版 Cloud Identity并打算预配超过 50 位用户,请通过支持联系人申请增加免费 Cloud Identity 用户总数。
- 如果您怀疑您要用于 Cloud Identity 的任何网域可能已经被员工用来注册消费者账号,可以考虑先迁移这些用户账号。如需了解详情,请参阅评估现有用户账号。
准备 Cloud Identity 或 Google Workspace 账号
为 Okta 创建用户
如需允许 Okta 访问 Cloud Identity 或 Google Workspace 账号,您必须在 Cloud Identity 或 Google Workspace 账号中创建 Okta 用户。
Okta 用户仅用于自动预配。因此,最好将其保存在单独的组织部门 (OU) 中,以与其他用户账号分开。使用单独的组织部门还可确保您可以稍后为 Okta 用户停用单点登录。
如需创建新的组织部门,请执行以下操作:
- 打开管理控制台,然后使用您在注册 Cloud Identity 或 Google Workspace 时创建的超级用户登录。
- 在菜单中,转到目录 > 组织部门。
- 点击创建组织部门,并为组织部门提供名称和说明:
- 名称:
Automation - 说明:
Automation users
- 名称:
- 点击创建。
为 Okta 创建一个用户账号,并将其放置在 Automation 组织部门中:
- 在菜单中,转至目录 > 用户,然后点击添加新用户,以创建用户。
提供适当的名称和电子邮件地址,如下所示:
- 名字:
Okta - 姓氏:
Provisioning 主电子邮件:
okta-provisioning保留电子邮件地址的主域名。
- 名字:
点击管理用户的密码、组织部门和个人资料照片,并配置以下设置:
- 组织部门:选择您之前创建的
Automation组织部门。 - 密码:选择创建密码并输入密码。
- 要求在下次登录时更改密码:已停用
- 组织部门:选择您之前创建的
点击添加新用户。
点击完成。
向 Okta 分配权限
若要让 Okta 创建、列出和暂停 Cloud Identity 或 Google Workspace 账号中的用户和群组,您必须将 okta-provisioning 用户设为超级用户:
- 在列表中找到新创建的用户,然后点击该用户的名称以打开其账号页面。
- 在管理员角色和权限下,点击分配角色。
- 启用超级用户角色。
- 点击保存。
配置 Okta 预配
现在,您可以通过设置 Okta 目录中的 Google Workspace 应用,将 Okta 连接到 Cloud Identity 或 Google Workspace 账号。
Google Workspace 应用可以处理用户预配和单点登录。即使您使用的是 Cloud Identity,并且打算只为 Google Cloud设置单点登录,也可使用此应用。
创建应用
如需设置 Google Workspace 应用,请执行以下操作:
- 打开 Okta 管理信息中心,然后以具有超级用户权限的用户身份登录。
- 在菜单中,转到应用 > 应用。
- 点击浏览应用目录。
- 搜索
Google Workspace并选择 Google Workspace 应用。 - 点击添加集成。
在常规设置页面上,配置以下内容:
- 应用标签:
Google Cloud - 您的 Google Apps 公司网域:您的 Cloud Identity 或 Google Workspace 账号使用的主域名。
显示以下链接:
- 将账号设置为已启用。
- 如果您使用的是 Google Workspace,请将其他链接设置为已启用,否则将其他链接设置为已停用。
应用可见性:如果您使用的是 Google Workspace,则设置为已启用,否则设置为已停用
浏览器插件自动提交:设置为已停用
- 应用标签:
点击下一步。
在登录选项页面上,配置以下各项:
- 登录方法:选择 SAML 2.0
- 默认中继状态:留空
- 高级登录设置 > RPID:留空
确定您要如何为 Cloud Identity 或 Google Workspace 中的用户填充主电子邮件地址。用户的主电子邮件地址必须使用您的 Cloud Identity 或 Google Workspace 账号的主域名或其辅助域名之一。
Okta 用户名
若要将用户的 Okta 用户名用作主电子邮件地址,请使用以下设置:
- 应用用户名格式:Okta 用户名
- 何时更新应用用户名:创建和更新时。
电子邮件
若要将用户的 Okta 用户名用作主电子邮件地址,请使用以下设置:
- 应用用户名格式:电子邮件
- 何时更新应用用户名:创建和更新时。
点击完成。
配置用户预配
在本部分中,您将 Okta 配置为自动将用户和群组预配到Google Cloud。
- 在 Google Cloud 应用的设置页面上,打开预配标签页。
点击配置 API 集成并配置以下内容:
- 启用 API 集成:设置为已启用
- 导入群组:设置为已停用,除非您在 Cloud Identity 或 Google Workspace 中已有要导入 Okta 的群组
点击通过 Google Workspace 进行身份验证。
使用您之前创建的
okta-provisioning@DOMAIN用户登录,其中DOMAIN是您的 Cloud Identity 或 Google Workspace 账号的主域名。查看 Google 服务条款和隐私权政策。如果您同意这些条款,请点击我了解。
点击允许以确认对 Cloud Identity API 的访问。
点击保存。
Okta 已关联到您的 Cloud Identity 或 Google Workspace 账号,但预配仍处于停用状态。如需启用预配,请执行以下操作:
- 在 Google Cloud 应用的设置页面上,打开预配标签页。
点击修改并配置以下内容:
- 创建用户:设置为已启用
- 更新用户属性:设置为已启用
- 停用用户:设置为已启用
- 同步密码:设置为已停用
(可选)点击转到配置文件编辑器以自定义属性映射。
如果您使用自定义映射,则必须映射
userName、nameGivenName和nameFamilyName。所有其他属性映射都是可选的。点击保存。
配置用户分配
在本部分中,您将配置要预配到 Cloud Identity 或 Google Workspace 的 Okta 用户:
- 在 Google Cloud 应用的设置页面上,打开分配标签页。
- 点击分配 > 分配给人员或分配 > 分配给群组。
- 选择用户或群组,然后点击分配。
- 在显示的分配对话框中,保留默认设置,然后点击保存并返回。
- 点击完成。
对您要预配的每个用户或群组重复本部分中的步骤。如需将所有用户预配到 Cloud Identity 或 Google Workspace,请分配所有人群组。
配置群组分配
(可选)您可以让 Okta 将群组预配到 Cloud Identity 或 Google Workspace。最好将 Okta 配置为根据命名惯例预配群组,而不是单独选择群组。
例如,要让 Okta 预配以 google-cloud 开头的所有群组,请执行以下操作:
- 在 Google Cloud 应用的设置页面上,打开推送群组标签页。
- 点击推送群组 > 按角色查找群组。
在按规则推送群组页面上,配置以下规则:
- 规则名称:角色的名称,例如
Google Cloud。 - 群组名称 :开头是
google-cloud
- 规则名称:角色的名称,例如
点击创建规则。
问题排查
如需排查用户或群组预配问题,请点击 Google Cloud 应用设置页面上的查看日志。
如需让 Okta 重试失败的预配用户尝试,请执行以下操作:
- 转到信息中心 > 任务。
- 找到失败的任务并打开详细信息。
- 在详情页面上,点击重试所选任务。
为 Okta 配置单点登录
如果您已按照相关步骤配置 Okta 预配,则所有相关的 Okta 用户现在都会自动预配到 Cloud Identity 或 Google Workspace。若要允许这些用户登录,请配置单点登录:
- 在 Google Cloud 应用的设置页面上,打开登录标签页。
- 点击 SAML 2.0 > 更多详情。
- 点击下载以下载签名证书。
- 记下登录网址、退出网址和颁发者值,在下面的某个步骤中需要用到。
创建 SAML 配置文件
在 Cloud Identity 或 Google Workspace 账号中创建 SAML 个人资料:
返回管理控制台,然后前往使用第三方身份提供商进行单点登录。
依次点击第三方单点登录配置文件 > 添加 SAML 配置文件。
在 SAML 单点登录配置文件页面上,输入以下设置:
- 名称:
Okta - IDP 实体 ID:输入 Okta 管理信息中心中的颁发者。
- 登录页面网址:输入 Okta 管理信息中心中的登录网址。
- 退出登录页面网址:输入 Okta 管理信息中心中的退出登录网址。
- 更改密码网址:
https://ORGANIZATION.okta.com/enduser/settings,其中ORGANIZATION是您的 Okta 组织的名称。
- 名称:
在验证证书下,点击上传证书,然后选择先前下载的令牌签名证书。
点击保存。
随即显示的 SAML SSO 配置文件页面包含格式为
https://accounts.google.com/samlrp/RPID的实体 ID,其中RPID是唯一 ID。记下 RPID 值。下一步操作将会用到它。
分配 SAML 配置文件
选择应应用新 SAML 配置文件的用户:
在管理控制台中,点击使用第三方身份提供商的单点登录页面上的管理单点登录配置文件分配 > 管理。
在左侧窗格中,选择您要为其应用单点登录配置文件的群组或组织部门。如要将此配置文件应用于所有用户,请选择根组织部门。
在右侧窗格中的菜单中,选择您之前创建的
Okta - SAMLSSO 配置文件。点击保存。
如需将 SAML 配置文件分配给其他群组或组织部门,请重复上述步骤。
更新 Automation 组织部门的 SSO 设置以停用单点登录:
- 在左侧窗格中,选择
Automation组织部门。 - 将 SSO 配置文件分配更改为无。
- 点击覆盖。
在 Okta 中完成 SSO 配置
返回 Okta 并完成 SSO 配置:
- 在 Okta 管理信息中心内,打开 Google Cloud 应用的设置页面,然后打开 Sign on(登录)标签页。
点击修改,然后更新以下设置:
- 高级登录设置 > RPID:输入您从管理控制台中复制的 RPID。
点击保存。
可选:配置登录验证
当用户从陌生设备登录,或者其登录尝试因其他原因而看起来可疑时,Google 登录功能可能会要求用户进行额外验证。这些登录验证有助于提高安全性,我们建议您启用登录验证。
如果您发现登录验证太麻烦,则可以执行以下操作来停用登录验证:
- 在管理控制台中,依次前往安全 > 身份验证 > 登录验证。
- 在左侧窗格中,选择您要为其停用登录验证的组织部门。如需为所有用户停用登录质询,请选择根组织部门。
- 在使用其他单点登录配置文件进行登录的用户的设置下,选择不让 Google 要求用户进行额外的身份验证。
- 点击保存。
将 Google Cloud 控制台和其他 Google 服务添加到应用信息中心
如需将 Google Cloud 控制台和(可选)其他 Google 服务添加到用户的 Okta 应用信息中心,请执行以下操作:
- 在 Okta 管理信息中心内,选择应用 > 应用。
- 点击浏览应用目录。
- 搜索
Bookmark app并选择书签应用这项应用。 - 点击添加集成。
在常规设置页面上,配置以下内容:
- 应用标签:
Google Cloud console - 网址:
https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/,将PRIMARY_DOMAIN替换为您的 Cloud Identity 或 Google Workspace 账号使用的主域名。
- 应用标签:
点击完成。
将应用徽标更改为 Google Cloud 徽标。
打开登录标签页。
点击用户身份验证 > 修改,然后配置以下内容:
- 身份验证政策:设置为 Okta 信息中心
点击保存。
打开分配标签页,然后分配一个或多个用户。已分配的用户会在其用户信息中心看到 Google Cloud 控制台链接。
(可选)对于要包含在用户信息中心内的任何附加 Google 服务,重复上述步骤。下表包含常用 Google 服务的网址和徽标:
| Google 服务 | 网址 | 徽标 |
|---|---|---|
| Google Cloud 控制台 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
 |
| Google 文档 | https://docs.google.com/a/DOMAIN |
 |
| Google 表格 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
 |
| Google 协作平台 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
 |
| Google 云端硬盘 | https://drive.google.com/a/DOMAIN |
 |
| Gmail | https://mail.google.com/a/DOMAIN |
 |
| Google 群组 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
 |
| Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
 |
| Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
 |
| YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
 |
测试单点登录
在 Okta 和 Cloud Identity 或 Google Workspace 中完成单点登录配置后,您可以通过以下两种方式访问 Google Cloud :
- 通过 Okta 用户信息中心中的列表。
- 直接打开 https://console.cloud.google.com/。
如需检查第二个选项是否按预期工作,请运行以下测试:
- 选择已预配到 Cloud Identity 或 Google Workspace 且未分配有超级用户权限的 Okta 用户。由于具有超级用户权限的用户始终必须使用 Google 凭据登录,因此不适合测试单点登录。
- 打开新的浏览器窗口,然后前往 https://console.cloud.google.com/。
- 在显示的“Google 登录”页面中,输入用户的电子邮件地址,然后点击下一步。
您会被重定向到 Okta,并将看到另一个登录提示。输入用户的电子邮件地址,然后按照相应步骤进行身份验证。
成功进行身份验证后,Okta 应将您重定向回 Google 登录。由于这是您首次使用此用户登录,因此系统会询问您是否接受 Google 服务条款和隐私权政策。
如果您同意这些条款,请点击我了解。
您将被重定向到 Google Cloud 控制台,控制台会要求您确认偏好设置并接受 Google Cloud 服务条款。
如果您同意这些条款,请选择是,然后点击同意并继续。
点击页面左上角的头像图标,然后点击退出登录。
您将被重定向到 Okta 页面,确认您已成功退出登录。
请注意,具有超级用户权限的用户不必进行单点登录,因此您仍然可以使用管理控制台来验证或更改设置。
清理
为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用,请删除包含这些资源的项目,或者保留项目但删除各个资源。