全部產品
Search

搜尋本產品

    Resource Access Management:使用Google Workspace進行使用者SSO的樣本

    文件中心

    Resource Access Management:使用Google Workspace進行使用者SSO的樣本

    更新時間:Sep 18, 2025

    本文提供一個以Google Workspace與阿里雲進行使用者SSO的樣本,協助您理解企業IdP與阿里雲進行SSO的端到端配置流程。

    步驟一:在阿里雲擷取SAML服務提供者中繼資料

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇整合管理 > SSO管理

    3. 單擊使用者SSO頁簽,在SAML 服務提供者中繼資料地區,複製當前阿里雲帳號的中繼資料URL。

    4. 在新的瀏覽器視窗中開啟複製的連結,將中繼資料XML檔案另存到本地。

      說明

      中繼資料XML檔案儲存了阿里雲作為一個SAML服務提供者的訪問資訊。您需要記錄XML檔案中EntityDescriptor元素的entityID屬性值和AssertionConsumerService元素的Location屬性值,以便後續在Google Workspace的配置中使用。

    步驟二:在Google Workspace建立支援SAML SSO的應用

    1. 使用超級管理員登入Google Workspace管理主控台

    2. 在左側導覽列,選擇Apps > Web and mobile apps

    3. 單擊Add app頁簽,然後單擊Add custom SAML app

    4. Add custom SAML app頁面,建立支援SAML SSO的應用。

      1. App details頁面,輸入應用程式名稱(例如:AlibabaCloudUserSSO),然後單擊CONTINUE

      2. Google Identity Provider details頁面,單擊DOWNLOAD METADATA,下載中繼資料文檔,然後單擊CONTINUE

      3. Service provider details頁面,輸入ACS URLEntity ID,然後單擊CONTINUE

      4. Attribute mapping頁面,單擊FINISH

    5. 在建立成功的應用詳情頁,單擊User access

    6. 可選:在應用程式名稱下方的Organizational Units地區,選擇要使用此應用進行單點登入的組織單元。預設為整個組織。

    7. Service status地區,選中ON for everyone

      說明

      如果您設定了第6步,即指定了組織單元,則此處選中ON

    8. 點擊SAVE

    步驟三:在阿里雲開啟使用者SSO

    1. 在RAM控制台的左側導覽列,選擇整合管理 > SSO管理

    2. 單擊使用者SSO頁簽,在SSO功能狀態地區,單擊開啟

      說明

      使用者SSO是一個全域功能,開啟後,所有RAM使用者都需要使用SSO登入。 如果您是通過RAM使用者配置的,請先保留為關閉狀態,您需要先完成RAM使用者的建立,以免配置錯誤導致自己無法登入。您也可以通過阿里雲帳號(主帳號)進行配置來規避此問題。

    3. 中繼資料文檔地區,單擊上傳中繼資料,上傳從步驟二:在Google Workspace建立支援SAML SSO的應用中擷取的IdP中繼資料。

    4. 輔助網域名稱地區,單擊編輯,然後開啟輔助網域名稱並配置輔助網域名稱為Google Workspace中的使用者名稱Email尾碼。

      說明

      如果您的Google Workspace中存在多種Email尾碼的使用者,則只有以此處配置的尾碼結尾的Email地址可以登入到阿里雲。

    步驟四:在Google Workspace建立使用者

    1. 在Google Workspace的左側導覽列,選擇Directory > Users

    2. 單擊Add new user

    3. User Information頁面,填寫First nameLast namePrimary email(例如:u2@example.com),然後選擇Organizational unit,最後單擊ADD NEW USER

      說明

      如果您在步驟二:在Google Workspace建立支援SAML SSO的應用中指定了使用應用的組織單元,則此處的Organizational unit需要保持一致。

    步驟五:在阿里雲建立RAM使用者

    1. 在RAM控制台的左側導覽列,選擇身份管理 > 使用者

    2. 使用者頁面,單擊建立使用者

    3. 建立使用者頁面,輸入登入名稱稱顯示名稱

      說明

      請確保RAM使用者的登入名稱稱首碼與Google Workspace中的使用者名稱首碼保持一致,本樣本中為u2。

    4. 訪問方式地區,選擇控制台訪問,並設定登入密碼等參數。

    5. 單擊確定

    驗證結果

    完成上述配置後,您可以從阿里雲或Google Workspace發起SSO登入。

    從阿里雲側發起登入

    1. RAM控制台概覽頁,複製RAM使用者的登入地址。

    2. 將滑鼠移至上方在右上方頭像的位置,單擊退出登入或使用新的瀏覽器開啟複製的RAM使用者登入地址。

    3. 單擊使用企業帳號登入,系統會自動跳轉到Google Workspace的登入頁面。企業賬戶登入

    4. 在Google Workspace的登入介面,輸入使用者名稱(u2@example.com)和密碼,單擊登入

    系統將自動SSO登入並重新導向到您指定的Start URL頁面。如果未指定Start URL或超出允許範圍,則系統會訪問如下阿里雲控制台首頁。如果出現以下頁面,表示配置成功。

    SSO配置驗證

    從Google Workspace側發起登入

    使用Google Workspace使用者登入Google Workspace,在Google Workspace的首頁,找到並單擊步驟二:在Google Workspace建立支援SAML SSO的應用建立的應用。

    系統將自動SSO登入並重新導向到您指定的Start URL頁面。如果未指定Start URL或超出允許範圍,則系統會訪問以下阿里雲控制台首頁。如果出現以下頁面,表示配置成功。

    SSO配置驗證