设置 Google Workspace 单点登录 (SSO)

通过最少的配置工作，此连接器允许与 Microsoft Entra ID 集成以实现企业单点登录 (SSO)。

提示:

有关 SSO 和如何在 Logto 中配置 SSO 的更多信息，请查看企业单点登录 (SAML & OIDC) 文档以开始使用。

步骤 1：在 Google Cloud Platform 上创建一个新项目

在你可以使用 Google Workspace 作为认证 (Authentication) 提供商之前，你必须在 Google API Console 中设置一个项目以获取 OAuth 2.0 凭证。如果你已经有一个项目，可以跳过这一步。否则，请在你的 Google 组织下创建一个新项目。

为了创建新的 OIDC 凭证，你需要为你的应用程序配置用户授权页面 (Consent screen)。

访问 OAuth 用户授权页面 (Consent screen) 页面并选择 Internal 用户类型。这将使 OAuth 应用程序仅对你的组织内的用户可用。

openid: 此权限 (Scope) 是 OIDC 认证 (Authentication) 所必需的。它用于检索 ID 令牌 (ID token) 并访问 IdP 的 userInfo 端点。
profile: 此权限 (Scope) 是访问用户基本个人信息所必需的。
email: 此权限 (Scope) 是访问用户电子邮件地址所必需的。

点击 Save 按钮以保存用户授权页面 (Consent screen) 设置。

导航到 Credentials 页面并点击 Create Credentials 按钮。从下拉菜单中选择 OAuth client ID 选项，为你的应用程序创建一个新的 OAuth 凭证。

继续设置 OAuth 凭证，填写以下信息：

选择 Web application 作为应用程序类型。
填写你的客户端应用程序的 Name，例如 Logto SSO Connector。这将帮助你在将来识别这些凭证。
在 Authorized redirect URIs 中填写 Logto 回调 URI。这是 Google 在成功认证 (Authentication) 后将用户的浏览器重定向到的 URI。当用户成功通过 IdP 认证 (Authentication) 后，IdP 会将用户的浏览器重定向回这个指定的 URI，并附带一个授权 (Authorization) 代码。Logto 将根据从此 URI 接收到的授权 (Authorization) 代码完成认证 (Authentication) 过程。
在 Authorized JavaScript origins 中填写 Logto 回调 URI 的来源。这确保只有你的 Logto 应用程序可以向 Google OAuth 服务器发送请求。
点击 Create 按钮以创建 OAuth 凭证。

成功创建 OAuth 凭证后，你将收到一个包含客户端 ID 和客户端密钥的提示窗口。

复制 Client ID 和 Client secret，并填写到 Logto 的 SSO 连接器 Connection 选项卡中的相应字段。

现在你已经在 Logto 上成功配置了一个 Google Workspace SSO 连接器。

使用 Scope 字段向你的 OAuth 请求添加额外的权限 (Scopes)。这将允许你从 Google OAuth 服务器请求更多信息。请参考 Google OAuth Scopes 文档以获取更多信息。

无论自定义权限 (Scope) 设置如何，Logto 总是会向身份提供商 (IdP) 发送 openid、profile 和 email 权限 (Scopes)。这是为了确保 Logto 能够正确检索用户的身份信息和电子邮件地址。

在 Logto 的连接器 SSO 体验 标签中提供你组织的 电子邮件域。这将启用 SSO 连接器作为这些用户的认证 (Authentication) 方法。

具有指定域的电子邮件地址的用户将被重定向，以使用你的 SSO 连接器作为他们唯一的认证 (Authentication) 方法。

有关 Google Workspace SSO 连接器的更多信息，请查看 Google OpenID Connector。