Okta 使用者佈建與單一登入

準備 Cloud Identity 或 Google Workspace 帳戶

建立 Okta 使用者

如要讓 Okta 存取您的 Cloud Identity 或 Google Workspace 帳戶，您必須在 Cloud Identity 或 Google Workspace 帳戶中為 Okta 建立使用者。

Okta 使用者僅適用於自動佈建。因此，最好將服務帳戶放在獨立的機構單位 (OU)，與其他使用者帳戶分開。使用獨立的 OU 也能確保日後可以停用 Okta 使用者的單一登入。

如要建立新的機構單位，請按照下列步驟操作：

1. 開啟管理控制台，並使用您申請 Cloud Identity 或 Google Workspace 時建立的超級管理員使用者登入。
2. 在選單中，依序前往「目錄」> 機構單位。
3. 按一下「建立機構單位」，然後提供機構單位的名稱和說明：
   • Name (名稱)：Automation
   • 說明：Automation users
4. 點選「建立」。

為 Okta 建立使用者帳戶，並將其放在 Automation 組織單位中：

1. 在選單中，依序按一下「目錄」>「使用者」，然後按一下「新增使用者」建立使用者。

2. 提供適當的名稱與電子郵件地址，例如：

   • 名字：Okta
   • 姓氏：Provisioning

   • 「Primary email」(主要電子郵件)：okta-provisioning

     保留電子郵件地址的主網域

3. 按一下「管理使用者的密碼、機構單位和個人資料相片」，然後設定下列選項：

   • 機構單位：選取先前建立的 Automation OU。
   • 密碼：選取「建立密碼」並輸入密碼。
   • 「要求在下次登入變更密碼」：設為「已停用」。

4. 按一下 [新增使用者]。

5. 按一下 [完成]。

指派 Okta 的權限

如要讓 Okta 在 Cloud Identity 或 Google Workspace 帳戶中建立、列出及停權使用者和群組，您必須將 okta-provisioning 使用者設為超級管理員：

1. 在清單中找出新建立的使用者，然後按一下使用者名稱，開啟帳戶頁面。
2. 在「Admin roles and privileges」(管理員角色與權限) 底下，點選 [Assign Roles] (指派角色)。
3. 啟用超級管理員角色。
4. 按一下 [儲存]。

設定 Okta 佈建

現在您可以從 Okta 目錄設定 Google Workspace 應用程式，將 Okta 連結至 Cloud Identity 或 Google Workspace 帳戶。

Google Workspace 應用程式可處理使用者佈建和單一登入。即使您使用 Cloud Identity，且只打算為 Google Cloud設定單一登入，也請使用這個應用程式。

建立應用程式

如要設定 Google Workspace 應用程式，請按照下列步驟操作：

1. 開啟 Okta 管理資訊主頁，並以具備超級管理員權限的使用者身分登入。
2. 在選單中，依序前往「應用程式」>「應用程式」。
3. 按一下「瀏覽應用程式目錄」。
4. 搜尋 Google Workspace 並選取 Google Workspace 應用程式。
5. 按一下「新增整合」。

6. 在「一般設定」頁面中，設定下列項目：

   • 應用程式標籤：Google Cloud
   • 您的 Google 應用程式公司網域：Cloud Identity 或 Google Workspace 帳戶使用的主要網域名稱。

   • 顯示下列連結：

     • 將「帳戶」設為「已啟用」。
     • 如果您使用 Google Workspace，請將其他連結設為「已啟用」；否則請設為「已停用」。

   • 應用程式瀏覽權限：如果您使用 Google Workspace，請設為「已啟用」，否則請設為「已停用」

   • 瀏覽器外掛程式自動提交：設為「已停用」

7. 點選「下一步」。

8. 在「登入選項」頁面中，設定下列項目：

   • 登入方法：選取「SAML 2.0」
   • 預設 Relay State：留空
   • 進階登入設定> RPID：留空

9. 決定要在 Cloud Identity 或 Google Workspace 中填入使用者主要電子郵件地址的方式。使用者的主要電子郵件地址必須使用 Cloud Identity 或 Google Workspace 帳戶的主網域，或是其中一個次要網域。

   Okta 使用者名稱

   如要將使用者的 Okta 使用者名稱做為主要電子郵件地址，請使用下列設定：

   • 應用程式使用者名稱格式：Okta 使用者名稱
   • 更新應用程式使用者名稱：建立及更新。

   電子郵件

   如要將使用者的 Okta 使用者名稱做為主要電子郵件地址，請使用下列設定：

   • 應用程式使用者名稱格式：電子郵件
   • 更新應用程式使用者名稱：建立及更新。

10. 按一下 [完成]。

設定使用者佈建

在本節中，您會設定 Okta，自動將使用者和群組佈建至Google Cloud。

1. 在「Google Cloud」應用程式的設定頁面中，開啟「Provisioning」分頁標籤。

2. 按一下「設定 API 整合」，然後設定下列項目：

   • 啟用 API 整合：設為「已啟用」
   • 匯入群組：設為「已停用」，除非您在 Cloud Identity 或 Google Workspace 中有現有群組，且想匯入 Okta

3. 按一下「透過 Google Workspace 進行驗證」。

4. 使用您先前建立的使用者登入，其中 DOMAIN 是 Cloud Identity 或 Google Workspace 帳戶的主要網域。okta-provisioning@DOMAIN

5. 詳閱《Google 服務條款》和《隱私權政策》。如果同意條款，請按一下「我瞭解」。

6. 按一下 [Allow] (允許)，確認存取 Cloud Identity API。

7. 按一下 [儲存]。

Okta 已連結至您的 Cloud Identity 或 Google Workspace 帳戶，但佈建功能仍處於停用狀態。如要啟用佈建功能，請按照下列步驟操作：

1. 在「Google Cloud」應用程式的設定頁面中，開啟「Provisioning」分頁標籤。

2. 按一下「編輯」，然後設定下列項目：

   • 建立使用者：設為「已啟用」
   • 更新使用者屬性：設為「已啟用」
   • 停用使用者：設為「已啟用」
   • 同步處理密碼：設為「已停用」

3. (選用) 按一下「前往設定檔編輯器」，即可自訂屬性對應。

   如果使用自訂對應，則必須對應 userName、nameGivenName 和 nameFamilyName。其他屬性對應則為選用項目。

4. 按一下 [儲存]。

設定使用者指派

在本節中，您將設定要將哪些 Okta 使用者佈建到 Cloud Identity 或 Google Workspace：

1. 在「Google Cloud」應用程式的設定頁面中，開啟「指派」分頁標籤。
2. 依序點選「指派」>「指派給使用者」或「指派」>「指派給群組」。
3. 選取使用者或群組，然後按一下「指派」。
4. 在隨即顯示的指派對話方塊中，保留預設設定，然後按一下「儲存並返回」。
5. 按一下 [完成]。

針對要佈建的每個使用者或群組，重複執行本節中的步驟。如要將所有使用者佈建至 Cloud Identity 或 Google Workspace，請指派「所有人」群組。

設定群組指派

您也可以選擇讓 Okta 將群組佈建至 Cloud Identity 或 Google Workspace。建議您根據命名慣例設定 Okta 佈建群組，不必個別選取群組。

舉例來說，如要讓 Okta 佈建所有開頭為 google-cloud 的群組，請按照下列步驟操作：

1. 在「Google Cloud」應用程式的設定頁面中，開啟「推送群組」分頁標籤。
2. 依序點選「推送群組」>「依角色尋找群組」。

3. 在「Push groups by rule」(依規則推送群組) 頁面中，設定下列規則：

   • 規則名稱：角色的名稱，例如 Google Cloud。
   • 群組名稱：開頭為 google-cloud

4. 按一下「建立規則」。

疑難排解

如要排解使用者或群組帳戶管理問題，請在「Google Cloud」應用程式的設定頁面中，按一下「查看記錄」。

如要讓 Okta 重新嘗試佈建使用者，請按照下列步驟操作：

1. 依序前往「資訊主頁」>「工作」。
2. 找出失敗的工作並開啟詳細資料。
3. 在詳細資料頁面中，按一下「重試所選項目」。

設定 Okta 處理單一登入

如果您已按照步驟設定 Okta 佈建，所有相關的 Okta 使用者現在都會自動佈建至 Cloud Identity 或 Google Workspace。如要允許這些使用者登入，請設定單一登入功能：

1. 在「Google Cloud」應用程式的設定頁面中，開啟「登入」分頁。
2. 依序點選「SAML 2.0」>「更多詳細資料」。
3. 按一下「下載」即可下載簽署憑證。
4. 請記下「登入網址」、「登出網址」和「簽發者」值，您會在後續步驟中用到這些值。

建立 SAML 設定檔

在 Cloud Identity 或 Google Workspace 帳戶中建立 SAML 設定檔：

1. 返回管理控制台，然後前往「使用第三方 IdP 的單一登入 (SSO) 服務」。

   前往「使用第三方 IdP 的單一登入 (SSO) 服務」

2. 依序按一下「第三方單一登入 (SSO) 設定檔」>「新增 SAML 設定檔」。

3. 在「SAML SSO profile」頁面中，輸入下列設定：

   • Name (名稱)：Okta
   • IDP 實體 ID：輸入 Okta 管理資訊主頁中的「核發者」。
   • 登入頁面網址：輸入 Okta 管理資訊主頁中的「登入網址」。
   • 登出網頁網址：輸入 Okta 管理資訊主頁中的「登出網址」。
   • 變更密碼網址： https://ORGANIZATION.okta.com/enduser/settings，其中 ORGANIZATION是 Okta 機構的名稱。

4. 在「Verification certificate」(驗證憑證) 底下，按一下「Upload certificate」(上傳憑證)，然後挑選您之前下載的符記簽署憑證。

5. 按一下 [儲存]。

   隨即顯示「SAML 單一登入設定檔」頁面，其中包含格式為 https://accounts.google.com/samlrp/RPID 的「實體 ID」，RPID 為專屬 ID。

   請記下 RPID 值。在下一步中將會用到。

指派 SAML 設定檔

選取要套用新 SAML 設定檔的使用者：

1. 在管理控制台的「使用第三方 IdP 的單一登入 (SSO) 服務」頁面中， 依序點選「管理單一登入 (SSO) 設定檔指派作業」>「管理」。

   前往「管理單一登入 (SSO) 設定檔指派作業」

2. 在左側窗格中，選取要套用單一登入 (SSO) 設定檔的群組或機構單位。如要為所有使用者套用設定檔，請選取根機構單位。

3. 在右側窗格的選單中，選取您先前建立的 Okta - SAML SSO 設定檔。

4. 按一下 [儲存]。

如要將 SAML 設定檔指派給其他群組或機構單位，請重複上述步驟。

更新 Automation OU 的 SSO 設定，停用單一登入：

1. 在左側窗格中，選取 Automation OU。
2. 將單一登入 (SSO) 設定檔指派作業變更為「無」。
3. 按一下 [覆寫]。

在 Okta 中完成單一登入設定

返回 Okta 並完成單一登入 (SSO) 設定：

1. 在 Okta 管理資訊主頁中，開啟「Google Cloud」應用程式的設定頁面，然後開啟「Sign on」分頁。

2. 按一下「編輯」，然後更新下列設定：

   • 進階登入設定> RPID：輸入從管理控制台複製的 RPID。

3. 按一下 [儲存]。

選用：設定登入身分確認問題

如果使用者從不明裝置登入，或登入嘗試因其他原因而顯得可疑，Google 登入可能會要求使用者進行額外驗證。登入身分確認問題機制有助於提升安全性，因此建議您啟用這項功能。

如果登入身分確認問題造成太多不便，可以按照下列步驟停用：

1. 在管理控制台中，依序點選「安全性」>「驗證」>「登入身分確認問題」。
2. 在左側窗格中，選取要停用登入身分確認問題的機構單位。如要為所有使用者停用登入挑戰，請選取根機構單位。
3. 在「透過其他單一登入 (SSO) 設定檔登入時，使用者所看到的設定」下方，選取「不要求使用者透過 Google 進行其他驗證」。
4. 按一下 [儲存]。

將 Google Cloud 控制台和其他 Google 服務新增至應用程式資訊主頁

如要將 Google Cloud 管理控制台和 (選用) 其他 Google 服務新增至使用者的 Okta 應用程式資訊主頁，請按照下列步驟操作：

1. 在 Okta 管理資訊主頁中，依序選取「Applications」>「Applications」。
2. 按一下「瀏覽應用程式目錄」。
3. 搜尋 Bookmark app 並選取「書籤應用程式」。
4. 按一下「新增整合」。

5. 在「一般設定」頁面中，設定下列項目：

   • 應用程式標籤：Google Cloud console
   • 網址：https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/，將 PRIMARY_DOMAIN 替換為 Cloud Identity 或 Google Workspace 帳戶使用的主要網域名稱。

6. 按一下 [完成]。

7. 將應用程式標誌變更為 Google Cloud logo。

8. 開啟「登入」分頁。

9. 依序點選「使用者驗證」>「編輯」，然後設定下列項目：

   • 驗證政策：設為 Okta 資訊主頁

10. 按一下 [儲存]。

11. 開啟「指派」分頁，然後指派一或多位使用者。指派的使用者會在使用者資訊主頁中看到 Google Cloud 控制台連結。

    Google Cloud

(選用) 如要將其他 Google 服務納入使用者資訊主頁，請重複上述步驟。下表列出常用 Google 服務的網址和標誌：

Google 服務	網址	標誌
Google Cloud 控制台	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
Google 文件	https://docs.google.com/a/DOMAIN
Google 試算表	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
Google 協作平台	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/
Google 雲端硬碟	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google 網路論壇	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/
YouTube	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/

測試單一登入

您現在已經在 Okta 與 Cloud Identity 或 Google Workspace 上完成單一登入設定，可透過以下兩種方式存取 Google Cloud ：

• 透過 Okta 使用者資訊主頁中的清單。
• 直接開啟 https://console.cloud.google.com/。

如要檢查第二個選項是否正常運作，請執行下列測試：

1. 選擇已佈建至 Cloud Identity 或 Google Workspace 且不具有超級管理員權限的 Okta 使用者。具有超級管理員權限的使用者一律必須使用 Google 憑證登入，因此不適合用來測試單一登入功能。
2. 開啟新的瀏覽器視窗，然後前往 https://console.cloud.google.com/。
3. 在顯示的 Google 登入頁面上，輸入使用者的電子郵件地址，然後按一下「下一步」。

4. 系統會將您重新導向至 Okta，並顯示另一個登入提示。 輸入使用者的電子郵件地址，然後按照步驟驗證。

   成功驗證之後，Okta 會將您重新導向至 Google 登入頁面。由於這是您第一次透過該使用者的身分登入，系統會要求您接受《Google 服務條款》和《隱私權政策》。

5. 如果同意條款，請按一下「我瞭解」。

   系統會將您重新導向至 Google Cloud 主控台，並要求您確認偏好設定，並接受《Google Cloud 服務條款》。

6. 如果您同意條款，請按一下 [Yes] (是)，然後點選 [Agree and Continue] (同意並繼續)。

7. 按一下頁面左上方的顯示圖片，然後點選 [Sign out] (登出)。

   系統會將您重新導向至 Okta 頁面，確認您已成功登出。

請注意，具有超級管理員權限的使用者不必執行單一登入，因此您仍然可以使用管理控制台驗證或變更設定。