Okta 用户预配和单点登录

本文档介绍如何在 Okta 组织和 Cloud Identity 或 Google Workspace 账号之间设置用户预配和单点登录。

本文档假定您已在组织中使用 Okta,并希望使用 Okta 允许用户向 Google Cloud进行身份验证。

准备 Cloud Identity 或 Google Workspace 账号

为 Okta 创建用户

如需允许 Okta 访问 Cloud Identity 或 Google Workspace 账号,您必须在 Cloud Identity 或 Google Workspace 账号中创建 Okta 用户。

Okta 用户仅用于自动预配。因此,最好将其保存在单独的组织部门 (OU) 中,以与其他用户账号分开。使用单独的组织部门还可确保您可以稍后为 Okta 用户停用单点登录

  1. 创建新的组织部门:

    1. 打开管理控制台,然后使用您在注册 Cloud Identity 或 Google Workspace 时创建的超级用户登录。
    2. 在菜单中,转到目录 > 组织部门
    3. 点击创建组织部门,并为组织部门提供名称和说明:
      • 名称Automation
      • 说明Automation users
    4. 点击创建

  2. 为 Okta 创建一个用户账号,并将其放置在 Automation 组织部门中。如需详细说明,请参阅为新用户添加账号为多位用户添加账号(Beta 版)

    1. 创建账号时,请提供适当的名称和电子邮件地址,如下所示:

      • 名字Okta
      • 姓氏Provisioning
      • 主电子邮件okta-provisioning

      保留电子邮件地址的主域名。

    2. 对于用户账号,将组织部门设置为您之前创建的 Automation 组织部门。有关详情,请参阅将用户移至某个组织部门

    3. 配置密码:

      • 如果该页面上提供了密码选项,请确保未选择自动生成新密码,然后输入密码。确保未选中要求在下次登录时更改密码
      • 如果该页面上没有密码选项,请保存新用户账号,然后重置用户的密码

向 Okta 分配权限

若要让 Okta 创建、列出和暂停 Cloud Identity 或 Google Workspace 账号中的用户和群组,您必须将 okta-provisioning 用户设为超级用户:

  1. 在列表中找到新创建的用户,然后点击该用户的名称以打开其账号页面。
  2. 管理员角色和权限下,点击分配角色
  3. 启用超级用户角色。
  4. 点击保存

配置 Okta 预配

现在,您可以通过设置 Okta 目录中的 Google Workspace 应用,将 Okta 连接到 Cloud Identity 或 Google Workspace 账号。

Google Workspace 应用可以处理用户预配和单点登录。即使您使用的是 Cloud Identity,并且打算只为 Google Cloud设置单点登录,也可使用此应用。

创建应用

如需设置 Google Workspace 应用,请执行以下操作:

  1. 打开 Okta 管理信息中心,然后以具有超级用户权限的用户身份登录。
  2. 在菜单中,转到应用 > 应用
  3. 点击浏览应用目录
  4. 搜索 Google Workspace 并选择 Google Workspace 应用。
  5. 点击添加集成

  6. 常规设置页面上,配置以下内容:

    • 应用标签Google Cloud
    • 您的 Google Apps 公司网域:您的 Cloud Identity 或 Google Workspace 账号使用的主域名。

    • 显示以下链接

      • 账号设置为已启用
      • 如果您使用的是 Google Workspace,请将其他链接设置为已启用,否则将其他链接设置为已停用

    • 应用可见性:如果您使用的是 Google Workspace,则设置为已启用,否则设置为已停用

    • 浏览器插件自动提交:设置为已停用

  7. 点击下一步

  8. 登录选项页面上,配置以下各项:

    • 登录方法:选择 SAML 2.0
    • 默认中继状态:留空
    • 高级登录设置 > RPID:留空

  9. 确定您要如何为 Cloud Identity 或 Google Workspace 中的用户填充主电子邮件地址。用户的主电子邮件地址必须使用您的 Cloud Identity 或 Google Workspace 账号的主域名或其辅助域名之一。

    Okta 用户名

    若要将用户的 Okta 用户名用作主电子邮件地址,请使用以下设置:

    • 应用用户名格式Okta 用户名
    • 何时更新应用用户名创建和更新时

    电子邮件

    若要将用户的 Okta 用户名用作主电子邮件地址,请使用以下设置:

    • 应用用户名格式电子邮件
    • 何时更新应用用户名创建和更新时

  10. 点击完成

配置用户预配

在本部分中,您将 Okta 配置为自动将用户和群组预配到Google Cloud。

  1. Google Cloud 应用的设置页面上,打开预配标签页。

  2. 点击配置 API 集成并配置以下内容:

    • 启用 API 集成:设置为已启用
    • 导入群组:设置为已停用,除非您在 Cloud Identity 或 Google Workspace 中已有要导入 Okta 的群组

  3. 点击通过 Google Workspace 进行身份验证

  4. 使用您之前创建的 okta-provisioning@DOMAIN 用户登录,其中 DOMAIN 是您的 Cloud Identity 或 Google Workspace 账号的主域名。

  5. 查看 Google 服务条款和隐私权政策。如果您同意这些条款,请点击我了解

  6. 点击允许以确认对 Cloud Identity API 的访问。

  7. 点击保存

Okta 已关联到您的 Cloud Identity 或 Google Workspace 账号,但预配仍处于停用状态。如需启用预配,请执行以下操作:

  1. Google Cloud 应用的设置页面上,打开预配标签页。

  2. 点击修改并配置以下内容:

    • 创建用户:设置为已启用
    • 更新用户属性:设置为已启用
    • 停用用户:设置为已启用
    • 同步密码:设置为已停用

  3. (可选)点击转到配置文件编辑器以自定义属性映射。

    如果您使用自定义映射,则必须映射 userNamenameGivenNamenameFamilyName。所有其他属性映射都是可选的。

  4. 点击保存

配置用户分配

在本部分中,您将配置要预配到 Cloud Identity 或 Google Workspace 的 Okta 用户:

  1. Google Cloud 应用的设置页面上,打开分配标签页。
  2. 点击分配 > 分配给人员分配 > 分配给群组
  3. 选择用户或群组,然后点击分配
  4. 在显示的分配对话框中,保留默认设置,然后点击保存并返回
  5. 点击完成

对您要预配的每个用户或群组重复本部分中的步骤。如需将所有用户预配到 Cloud Identity 或 Google Workspace,请分配所有人群组。

配置群组分配

(可选)您可以让 Okta 将群组预配到 Cloud Identity 或 Google Workspace。最好将 Okta 配置为根据命名惯例预配群组,而不是单独选择群组。

例如,要让 Okta 预配以 google-cloud 开头的所有群组,请执行以下操作:

  1. Google Cloud 应用的设置页面上,打开推送群组标签页。
  2. 点击推送群组 > 按角色查找群组

  3. 按规则推送群组页面上,配置以下规则:

    • 规则名称:角色的名称,例如 Google Cloud
    • 群组名称 开头是 google-cloud

  4. 点击创建规则

问题排查

如需排查用户或群组预配问题,请点击 Google Cloud 应用设置页面上的查看日志

如需让 Okta 重试失败的预配用户尝试,请执行以下操作:

  1. 转到信息中心 > 任务
  2. 找到失败的任务并打开详细信息。
  3. 在详情页面上,点击重试所选任务

为 Okta 配置单点登录

如果您已按照相关步骤配置 Okta 预配,则所有相关的 Okta 用户现在都会自动预配到 Cloud Identity 或 Google Workspace。若要允许这些用户登录,请配置单点登录:

  1. Google Cloud 应用的设置页面上,打开登录标签页。
  2. 点击 SAML 2.0 > 更多详情
  3. 点击下载以下载签名证书。
  4. 记下登录网址退出网址颁发者值,在下面的某个步骤中需要用到。

创建 SAML 配置文件

在 Cloud Identity 或 Google Workspace 账号中创建 SAML 配置文件:

  1. 返回管理控制台,然后前往使用第三方身份提供商进行单点登录

    转到“使用第三方身份提供商进行单点登录”

  2. 依次点击第三方单点登录配置文件 > 添加 SAML 配置文件

  3. SAML SSO 配置文件页面上,输入以下设置:

    • 名称Okta
    • IDP 实体 ID:输入 Okta 管理信息中心中的颁发者
    • 登录页面网址:输入 Okta 管理信息中心中的登录网址
    • 退出页面网址:输入 Okta 管理员信息中心中的退出网址
    • 更改密码网址https://ORGANIZATION.okta.com/enduser/settings,其中 ORGANIZATION 是您的 Okta 组织的名称。

  4. 验证证书下,点击上传证书,然后选择先前下载的令牌签名证书。

  5. 点击保存

    随即显示的 SAML SSO 配置文件页面包含一个格式为 https://accounts.google.com/samlrp/RPID实体 ID,其中 RPID 是一个唯一 ID。

    记下 RPID 值。下一步操作将会用到它。

分配 SAML 配置文件

选择应应用新 SAML 配置文件的用户:

  1. 在管理控制台中的使用第三方身份提供商的单点登录服务页面上,依次点击管理单点登录配置文件分配 > 管理

    前往“管理单点登录配置文件分配”页面

  2. 在左侧窗格中,选择您要应用单点登录配置文件的群组或组织部门。如要将配置文件应用于所有用户,请选择根组织部门。

  3. 在右侧窗格的菜单中,选择您之前创建的 Okta - SAML SSO 配置文件。

  4. 点击保存

如需将 SAML 配置文件分配给其他群组或组织部门,请重复上述步骤。

更新 Automation 组织部门的 SSO 设置以停用单点登录

  1. 在左侧窗格中,选择 Automation 组织部门。
  2. 将 SSO 配置文件分配更改为
  3. 点击覆盖

在 Okta 中完成 SSO 配置

返回 Okta 并完成单点登录配置:

  1. 在 Okta 管理信息中心内,在 Google Cloud 应用的设置页面上,打开登录标签页。

  2. 点击修改,然后更新以下设置:

    • 高级登录设置 > RPID:输入您从管理控制台中复制的 RPID

  3. 点击保存

可选:配置登录验证

当用户从未知设备登录时,或者当用户的登录尝试因其他原因看起来可疑时,Google 登录可能会要求用户进行额外的验证。这些登录验证有助于提高安全性,建议您保持启用登录验证。

如果您发现登录验证太麻烦,则可以执行以下操作来停用登录验证:

  1. 在管理控制台中,依次前往安全性 > 身份验证 > 登录验证
  2. 在左侧窗格中,选择您要停用登录验证的组织部门。如需为所有用户停用登录验证,请选择根组织部门。
  3. 使用其他单点登录配置文件进行登录的用户的设置下,选择不让 Google 要求用户进行额外的身份验证
  4. 点击保存

将 Google Cloud 控制台和其他 Google 服务添加到应用信息中心

若要将 Google Cloud 控制台和(可选)其他 Google 服务添加到用户的 Okta 应用信息中心,请执行以下操作:

  1. 在 Okta 管理信息中心内,选择应用 > 应用
  2. 点击浏览应用目录
  3. 搜索 Bookmark app 并选择书签应用这项应用。
  4. 点击添加集成

  5. 常规设置页面上,配置以下内容:

    • 应用标签Google Cloud console
    • 网址https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/,将 PRIMARY_DOMAIN 替换为您的 Cloud Identity 或 Google Workspace 账号使用的主域名。

  6. 点击完成

  7. 将应用徽标更改为 Google Cloud 徽标

  8. 打开登录标签页。

  9. 点击用户身份验证 > 修改,然后配置以下内容:

    • 身份验证政策:设置为 Okta 信息中心

  10. 点击保存

  11. 打开分配标签页,然后分配一个或多个用户。已分配的用户会在其用户信息中心看到 Google Cloud 控制台链接。

(可选)对于要包含在用户信息中心内的任何附加 Google 服务,重复上述步骤。下表包含常用 Google 服务的网址和徽标:

Google 服务 网址 徽标
Google Cloud 控制台 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ Google Cloud 徽标
Google 文档 https://docs.google.com/a/DOMAIN Google 文档徽标
Google 表格 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/ Google 表格徽标
Google 协作平台 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ Google 协作平台徽标
Google 云端硬盘 https://drive.google.com/a/DOMAIN Google 云端硬盘徽标
Gmail https://mail.google.com/a/DOMAIN Gmail 徽标
Google 群组 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ Google 群组徽标
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/ Google Keep 徽标
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ Looker Studio 徽标
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ YouTube 徽标

测试单点登录

在 Okta 和 Cloud Identity 或 Google Workspace 中完成单点登录配置后,您可以通过两种方式访问 Google Cloud :

如需检查第二个选项是否按预期工作,请运行以下测试:

  1. 选择已预配到 Cloud Identity 或 Google Workspace 且未分配有超级用户权限的 Okta 用户。由于具有超级用户权限的用户始终必须使用 Google 凭据登录,因此不适合测试单点登录。
  2. 打开新的浏览器窗口,然后前往 https://console.cloud.google.com/
  3. 在显示的“Google 登录”页面中,输入用户的电子邮件地址,然后点击下一步

  4. 您会被重定向到 Okta,并将看到另一个登录提示。输入用户的电子邮件地址,然后按照相应步骤进行身份验证。

    成功进行身份验证后,Okta 应将您重定向回 Google 登录。由于这是您首次使用此用户登录,因此系统会询问您是否接受 Google 服务条款和隐私权政策。

  5. 如果您同意这些条款,请点击我了解

    您将被重定向到 Google Cloud 控制台,控制台会要求您确认偏好设置并接受 Google Cloud 服务条款。

  6. 如果您同意这些条款,请选择,然后点击同意并继续

  7. 点击页面左上角的头像图标,然后点击退出登录

    您将被重定向到 Okta 页面,确认您已成功退出登录。

请注意,具有超级用户权限的用户不必进行单点登录,因此您仍然可以使用管理控制台来验证或更改设置。