跳到主要内容

设置 Google Workspace 单点登录 (SSO)

通过最少的配置工作,此连接器允许与 Microsoft Entra ID 集成以实现企业单点登录 (SSO)。

提示:

有关 SSO 和如何在 Logto 中配置 SSO 的更多信息,请查看 企业单点登录 (SAML & OIDC) 文档以开始使用。

步骤 1:在 Google Cloud Platform 上创建一个新项目

在你可以使用 Google Workspace 作为认证 (Authentication) 提供商之前,你必须在 Google API Console 中设置一个项目以获取 OAuth 2.0 凭证。如果你已经有一个项目,可以跳过这一步。否则,请在你的 Google 组织下创建一个新项目。

为了创建新的 OIDC 凭证,你需要为你的应用程序配置用户授权页面 (Consent screen)。

  1. 导航到 OAuth 用户授权页面 (Consent screen) 页面并选择 Internal 用户类型。这将使 OAuth 应用程序仅对你的组织内的用户可用。

Google Workspace 用户授权页面用户类型.webp

  1. 按照页面上的说明填写 用户授权页面 (Consent Screen) 设置。你需要提供以下最少信息:
  • 应用程序名称:你的应用程序的名称。它将在用户授权页面上显示。
  • 支持邮箱:你的应用程序的支持邮箱。它将在用户授权页面上显示。

Google Workspace 用户授权页面设置.webp

  1. 为你的应用程序设置 权限 (Scopes)。为了正确从身份提供商 (IdP) 检索用户的身份信息和电子邮件地址,Logto SSO 连接器需要从 IdP 授予以下权限 (Scopes):

Google Workspace 用户授权页面权限.webp

  • openid:此权限是 OIDC 认证 (Authentication) 所需的。它用于检索 ID 令牌 (ID token) 并访问 IdP 的 userInfo 端点。
  • profile:此权限用于访问用户的基本个人信息。
  • email:此权限用于访问用户的电子邮件地址。

点击 Save 按钮以保存用户授权页面设置。

步骤 3:创建一个新的 OAuth 凭证

导航到 Credentials 页面并点击 Create Credentials 按钮。从下拉菜单中选择 OAuth client ID 选项,为你的应用程序创建一个新的 OAuth 凭证。

Google Workspace create credentials.webp

继续设置 OAuth 凭证,填写以下信息:

Google Workspace credentials config.webp

  1. 选择 Web application 作为应用程序类型。
  2. 填写你的客户端应用程序的 Name,例如 Logto SSO Connector。这将帮助你在未来识别这些凭证。
  3. Authorized redirect URIs 中填写 Logto 回调 URI。这是 Google 在成功认证 (Authentication) 后将用户的浏览器重定向到的 URI。当用户成功通过 IdP 认证 (Authentication) 后,IdP 会将用户的浏览器重定向回这个指定的 URI,并附带一个授权 (Authorization) 代码。Logto 将根据从此 URI 接收到的授权 (Authorization) 代码完成认证 (Authentication) 过程。
  4. Authorized JavaScript origins 中填写 Logto 回调 URI 的来源。这确保只有你的 Logto 应用程序可以向 Google OAuth 服务器发送请求。
  5. 点击 Create 按钮以创建 OAuth 凭证。

步骤 4:使用客户端凭证设置 Logto 连接器

成功创建 OAuth 凭证后,你将收到一个包含客户端 ID 和客户端密钥的提示模式窗口。

Google Workspace 客户端凭证.webp

复制 Client IDClient secret,并填写到 Logto 的 SSO 连接器 Connection 选项卡中的相应字段。

现在你已经在 Logto 上成功配置了一个 Google Workspace SSO 连接器。

步骤 5:附加权限 (Scopes)(可选)

使用 Scope 字段向你的 OAuth 请求添加额外的权限 (Scopes)。这将允许你从 Google OAuth 服务器请求更多信息。请参考 Google OAuth Scopes 文档以获取更多信息。

无论自定义权限 (Scope) 设置如何,Logto 总是会向身份提供商 (IdP) 发送 openidprofileemail 权限 (Scopes)。这是为了确保 Logto 能够正确检索用户的身份信息和电子邮件地址。

步骤 6:设置电子邮件域并启用 SSO 连接器

在 Logto 的连接器 SSO 体验 标签中提供你组织的 电子邮件域。这将启用 SSO 连接器作为这些用户的认证 (Authentication) 方法。

具有指定域的电子邮件地址的用户将被重定向,以使用你的 SSO 连接器作为他们唯一的认证 (Authentication) 方法。

有关 Google Workspace SSO 连接器的更多信息,请查看 Google OpenID Connector