设置 Google Workspace 单点登录 (SSO)
通过最少的配置工作,此连接器允许与 Microsoft Entra ID 集成以实现企业单点登录 (SSO)。
有关 SSO 和如何在 Logto 中配置 SSO 的更多信息,请查看 企业单点登录 (SAML & OIDC) 文档以开始使用。
步骤 1:在 Google Cloud Platform 上创建一个新项目
在你可以使用 Google Workspace 作为认证 (Authentication) 提供商之前,你必须在 Google API Console 中设置一个项目以获取 OAuth 2.0 凭证。如果你已经有一个项目,可以跳过这一步。否则,请在你的 Google 组织下创建一个新项目。
步骤 2:为你的应用程序配置用户授权页面
为了创建新的 OIDC 凭证,你需要为你的应用程序配置用户授权页面 (Consent screen)。
- 导航到 OAuth 用户授权页面 (Consent screen) 页面并选择
Internal
用户类型。这将使 OAuth 应用程序仅对你的组织内的用户可用。
- 按照页面上的说明填写
用户授权页面 (Consent Screen)
设置。你需要提供以下最少信息:
- 应用程序名称:你的应用程序的名称。它将在用户授权页面上显示。
- 支持邮箱:你的应用程序的支持邮箱。它将在用户授权页面上显示。
- 为你的应用程序设置
权限 (Scopes)
。为了正确从身份提供商 (IdP) 检索用户的身份信息和电子邮件地址,Logto SSO 连接器需要从 IdP 授予以下权限 (Scopes):
- openid:此权限是 OIDC 认证 (Authentication) 所需的。它用于检索 ID 令牌 (ID token) 并访问 IdP 的 userInfo 端点。
- profile:此权限用于访问用户的基本个人信息。
- email:此权限用于访问用户的电子邮件地址。
点击 Save
按钮以保存用户授权页面设置。
步骤 3:创建一个新的 OAuth 凭证
导航到 Credentials 页面并点击 Create Credentials
按钮。从下拉菜单中选择 OAuth client ID
选项,为你的应用程序创建一个新的 OAuth 凭证。
继续设置 OAuth 凭证,填写以下信息:
- 选择
Web application
作为应用程序类型。 - 填写你的客户端应用程序的
Name
,例如Logto SSO Connector
。这将帮助你在未来识别这些凭证。 - 在
Authorized redirect URIs
中填写 Logto 回调 URI。这是 Google 在成功认证 (Authentication) 后将用户的浏览器重定向到的 URI。当用户成功通过 IdP 认证 (Authentication) 后,IdP 会将用户的浏览器重定向回这个指定的 URI,并附带一个授权 (Authorization) 代码。Logto 将根据从此 URI 接收到的授权 (Authorization) 代码完成认证 (Authentication) 过程。 - 在
Authorized JavaScript origins
中填写 Logto 回调 URI 的来源。这确保只有你的 Logto 应用程序可以向 Google OAuth 服务器发送请求。 - 点击
Create
按钮以创建 OAuth 凭证。
步骤 4:使用客户端凭证设置 Logto 连接器
成功创建 OAuth 凭证后,你将收到一个包含客户端 ID 和客户端密钥的提示模式窗口。
复制 Client ID
和 Client secret
,并填写到 Logto 的 SSO 连接器 Connection
选项卡中的相应字段。
现在你已经在 Logto 上成功配置了一个 Google Workspace SSO 连接器。
步骤 5:附加权限 (Scopes)(可选)
使用 Scope
字段向你的 OAuth 请求添加额外的权限 (Scopes)。这将允许你从 Google OAuth 服务器请求更多信息。请参考 Google OAuth Scopes 文档以获取更多信息。
无论自定义权限 (Scope) 设置如何,Logto 总是会向身份提供商 (IdP) 发送 openid
、profile
和 email
权限 (Scopes)。这是为了确保 Logto 能够正确检索用户的身份信息和电子邮件地址。
步骤 6:设置电子邮件域并启用 SSO 连接器
在 Logto 的连接器 SSO 体验
标签中提供你组织的 电子邮件域
。这将启用 SSO 连接器作为这些用户的认证 (Authentication) 方法。
具有指定域的电子邮件地址的用户将被重定向,以使用你的 SSO 连接器作为他们唯一的认证 (Authentication) 方法。
有关 Google Workspace SSO 连接器的更多信息,请查看 Google OpenID Connector。