整合 Google Workspace 與 VMware Workspace ONE Access SSO
近年來越來越多客戶都用 Google 家的 Google Workspace 來做企業組織管理,畢竟 Google Drive 公認的好用, Gsuite 拿來統整公司這些生產力工具下放權限也是不錯好用。
而 VMware 在終端裝置管理相關的解決方案 - Workspace ONE 跟組織管理相關的帳號來進行串接會相當方便,帳號串進 Workspace ONE Access 後就能基於現正使用裝置的型號啊例如公司筆電有筆電的規範、手機有公司行動裝置的規範,有沒有用 VPN 是否用瀏覽器開等等,這些透過 Workspace ONE 能夠設定的細節 Compliance。
傳統整合 AD/LDAP 網路上很多文章了,相關 SSO 的串接也很順~
今天來串某個客戶想要整的 Google Workspace SSO,我們來看看要怎麼做:
注意事項
- Gsuite 本身沒有 Org. unit 的分別,意思就是如果要開啟 SSO 是整座 Gsuite domain 都會開啟,沒辦法分 BU 來啟用。
- Gsuite 開啟 SSO 後,因為就會直接跳去 Workspace ONE Access 去做權限認證處理,所以若原本有啟用 Google Authenticator 來做 2FA 這功能會失效。如果公司規定一定要做雙因素認證的話,就要記得在 Workspace ONE 上載開啟 MFA 多因素認證,這時候一樣可以串 Google Authenticator 或甚至是 Microsoft Authenticator, Okta Verify 等等。
- Gsuite 的 Super Admins 會 bypass 所有 SSO,固定使用 Google 畫面登入,所以記得測試帳號不能用超級帳號,不過不用擔心串完會完全無法登入 Google Suite。
/ 開始串接 - Workspace ONE Access /
我的環境是 Workspace ONE Access SaaS ,記得先創立一個測試帳號,本文的測試帳號暫時叫 [email protected]:
以下做法是讓登入 WS1 User 能夠
- 以 Admin User (TA) 登入 Workspace ONE Access
- 點選 Resources > New 會跳出 New SaaS Application 視窗
- Definition 這分頁,在 Search 部分輸入 Google 選擇 Google Apps,下面他就會自動代入了
- Configuration 這分頁,Single Sign-On 這頁也都自動代入了參數,預設是 Gmail 頁面,保持不變的 Manual選項,拉到最下在 Application Parameters > Value 部分填入 Gsuite domain 即可
- Access Policies 我選我 default
- 接下來就看 Summary,沒問題我們案 Save & Assign
- 接著它會跳出 Assign 視窗,由於我只要用一個帳號來測試 Gsuite SSO,我就選我單獨的那個 User,公司如果要套用的話記得選擇 ALL USERS,Deployment Type 調整成自動 Automatic。
- 回到 Web Apps 就會看到 Google Apps 的出現,在 Workspace ONE 這邊前置作業就完成啦,不過這頁先別關,我們留在這準備等等 Gsuite 要的憑證。
- 開新視窗使用測試帳號登入 Intelligence Hub 就會出現 Google Apps 啦,點進去也順利導向了 Gmail。
/ 整合 Gsuite Admin Portal /
- 回到剛剛的 Resources > Web Apps 這邊我們點選 SETTINGS,會跳出視窗
- 選 SAML Metadata 就會看到我們整合的憑證,點 Download 下載下來一個「signingCertificate.cer」檔案。
- 接著我們來到 G Suite Admin Portal,使用 Admin 登入, 點選「安全性」
- 拉到最下面選擇「使用第三方識別資訊提供者 (IDP) 的單一登入 (SSO) 服務」
- 接著點擊「新增SSO設定檔」填入以下資料:
登入網頁網址:https://YOURWORKSPACEONEACCESSTENANT/SAAS/auth/federation/sso
e.g. https://td-lyahsuan-64f2a.vidmpreview.com/SAAS/auth/federation/sso
登出網頁網址:https://YOURWORKSPACEONEACCESSTENANT/SAAS/auth/logout
e.g. https://td-lyahsuan-64f2a.vidmpreview.com/SAAS/auth/logout
驗證憑證:上傳在 Workspace ONE Access 下載的 「signingCertificate.cer」
最後打勾「透過第三方識別資訊提供者設定 SSO」
- 完成啦!接著登出看看
- Google 登出後也順利跳轉至 Workspace ONE Access哩
- 選擇測試帳號並登入
- 成功跳轉!(影片使用 hello@gxxxdesign.com 替換 sapphireGD@test.com)
Reference:
- Google WorkspaceSAML 式單一登入 (SSO):技術總覽
- How To Integrate Google Workspace & VMware Workspace One Access for SSO
- Workspace ONE Access multi-factor authentication features/custom integrations
- A Quick And Easy Win Along The Path To Zero Trust: Workspace ONE’s Certificate Authentication For Windows 10 And macOS
- Google Sync Integration Guide
- Using Google Cloud Identity Secure LDAP with Workspace ONE
- Add and connect new LDAP clients
