設定 Google Workspace 單一登入 (SSO)
只需最少的配置工作,此連接器即可與 Microsoft Entra ID 整合以實現企業級單一登入 (SSO)。
如需更多關於單一登入 (SSO) 的資訊以及如何在 Logto 中配置 SSO,請參閱 企業級單一登入 (Enterprise SSO) (SAML & OIDC) 文件以開始使用。
步驟 1:在 Google Cloud Platform 上建立新專案
在你能使用 Google Workspace 作為驗證 (Authentication) 提供者之前,你必須在 Google API Console 中設定一個專案以取得 OAuth 2.0 憑證。如果你已經有一個專案,可以跳過此步驟。否則,請在你的 Google 組織下建立一個新專案。
步驟 2:為你的應用程式配置使用者授權頁面
為了建立新的 OIDC 憑證,你需要為應用程式設定使用者授權頁面。
- 前往 OAuth 使用者授權頁面 並選擇
Internal使用者類型。這將使 OAuth 應用程式僅對你的組織內的使用者可用。
- 根據頁面上的指示填寫
Consent Screen設定。你需要提供以下最低限度的資訊:
- Application name:你的應用程式名稱,將顯示在使用者授權頁面上。
- Support email:你的應用程式支援電子郵件,將顯示在使用者授權頁面上。
- 設定應用程式的
Scopes。為了正確從 IdP 檢索使用者的身分資訊和電子郵件地址,Logto SSO 連接器需要從 IdP 授予以下權限範圍:
- openid:此權限範圍是 OIDC 驗證所需,用於檢索 ID 權杖並存取 IdP 的 userInfo 端點。
- profile:此權限範圍是存取使用者基本個人資料資訊所需。
- email:此權限範圍是存取使用者電子郵件地址所需。
點擊 Save 按鈕以保存使用者授權頁面設定。
步驟 3:建立新的 OAuth 憑證
導航至 Credentials 頁面,然後點擊 Create Credentials 按鈕。從下拉選單中選擇 OAuth client ID 選項,為你的應用程式創建新的 OAuth 憑證。
繼續設置 OAuth 憑證,填寫以下資訊:
- 選擇
Web application作為應用程式類型。 - 填寫客戶端應用程式的
Name,例如Logto SSO Connector。這將幫助你在未來識別這些憑證。 - 在
Authorized redirect URIs中填入 Logto 回呼 URI。這是 Google 在成功驗證後將使用者的瀏覽器重定向的 URI。當使用者成功通過身分提供者 (IdP) 驗證後,IdP 會將使用者的瀏覽器重定向回此指定的 URI,並附帶授權碼。Logto 將根據從此 URI 接收到的授權碼完成驗證過程。 - 在
Authorized JavaScript origins中填入 Logto 回呼 URI 的來源。這確保只有你的 Logto 應用程式可以向 Google OAuth 伺服器發送請求。 - 點擊
Create按鈕以創建 OAuth 憑證。
步驟 4:使用客戶端憑證設定 Logto 連接器
成功建立 OAuth 憑證後,你將會看到一個提示視窗,內含 client ID 和 client secret。
複製 Client ID 和 Client secret,並填入 Logto 的 SSO 連接器 Connection 標籤中的相應欄位。
現在你已成功在 Logto 上配置了 Google Workspace SSO 連接器。
步驟 5:額外的權限範圍 (Scopes)(可選)
使用 Scope 欄位為你的 OAuth 請求新增額外的權限範圍 (Scopes)。這將允許你從 Google OAuth 伺服器請求更多資訊。更多資訊請參閱 Google OAuth Scopes 文件。
無論自訂權限範圍 (Scopes) 設定如何,Logto 將始終向 IdP 傳送 openid、profile 和 email 權限範圍 (Scopes)。這是為了確保 Logto 能夠正確檢索使用者的身分資訊和電子郵件地址。
步驟 6:設定電子郵件網域並啟用 SSO 連接器
在 Logto 的連接器 SSO 體驗 標籤中提供你組織的 電子郵件網域。這將啟用 SSO 連接器作為這些使用者的驗證 (Authentication) 方法。
擁有指定網域電子郵件地址的使用者將被重定向,使用你的 SSO 連接器作為他們唯一的驗證 (Authentication) 方法。
如需有關 Google Workspace SSO 連接器的更多資訊,請查看 Google OpenID Connector。