简体中文
  • google
  • workspace
  • sso
  • authentication

将 Google Workspace SSO 集成到你的应用程序

了解如何在几分钟内将 Google Workspace SSO 集成到你的应用程序中。

Simeng
Simeng
Developer

Google Workspace(前称 G Suite)是 Google 开发的一套云计算、生产力和协作工具。它提供了一组企业级服务,包括 Gmail、Docs、Drive、Calendar、Meet 等。

由于 Google Workspace 在企业界广泛使用,因此允许企业用户通过 Logto 使用他们的 Google Workspace 帐户登录你的应用程序,而无需创建新帐户,这一点至关重要。在本教程中,我们将向你展示如何在几分钟内将你的应用程序与 Google Workspace SSO 集成。

先决条件

在我们开始之前,你需要拥有一个 Google Cloud 帐户和一个 Google Workspace 组织。如果你还没有,可以在此处注册一个免费的 Google Cloud 帐户。

当然,你还需要有一个 Logto 帐户。如果你没有,非常欢迎你注册一个 Logto 帐户。Logto 对个人使用是免费的,包括 SSO 功能的所有功能都对免费开发租户开放。

还需要一个良好集成的 Logto 应用程序。如果你没有,请按照集成指南 创建一个 Logto 应用程序。

免费试用 Logto 云

在 Logto 中创建新的 Google Workspace SSO 连接器

  1. 访问你的 Logto Cloud Console 并导航到 Enterprise SSO 页面。
  2. 点击 Add Enterprise SSO 按钮并选择 Google Workspace 作为 SSO 提供者。
okta connector

在我们进入下一步之前,我们需要从你的 Google Workspace 帐户中收集一些信息。

创建 Google Workspace 身份验证项目并配置 OAuth 同意屏幕

  1. 在你可以使用 Google Workspace 作为身份验证提供者之前,你必须在 Google API Console 中设置项目以获取 OAuth 2.0 凭证。如果你已经有一个项目,可以跳过此步骤。否则,在你的 Google 组织下创建一个新项目。

  2. 如果这是你第一次实施 Google Workspace 身份验证,则必须配置 OAuth 同意屏幕,才能创建 OAuth 客户端凭证。为此,点击左侧导航栏中的 OAuth consent screen 来配置你的 OAuth 同意屏幕。

  3. 选择 Internal 作为用户类型。这将确保只有你的 Google Workspace 组织中的用户可以访问你的应用程序。

OAuth consent screen

  1. 按照页面上的说明填写应用程序的一般信息。你需要提供以下信息:

OAuth consent settings

字段名称描述
应用程序名称你的应用程序的名称。当用户被要求授予对你的应用程序的访问权限时,此名称将显示在同意屏幕上。
用户支持电邮用户可以通过该电子邮件地址联系以获取支持。
授权域名可以访问你的应用程序的域名。你需要在此处添加你的 Logto 租户域名。例如 https://${tenant_id}.logto.app

点击 Save and Continue 按钮继续下一步。

  1. 设置应用程序的 Scopes。为了使用 Google Workspace 作为身份验证提供者并检索用户的身份信息,Logto SSO 连接器需要访问以下范围:
  • openid - 该范围用于检索用户的身份信息。
  • profile - 该范围用于检索用户的基本个人资料信息。
  • email - 该范围用于检索用户的电子邮件地址。

OAuth consent scopes

点击 Save and Continue 按钮继续到摘要页面。

为你的 Logto SSO 连接器创建 OAuth 客户端凭证

  1. 导航到 Credentials 页面并点击 Create Credentials 按钮。选择 OAuth client ID 作为凭证类型。

Create OAuth client credential

  1. 按如下方式配置 OAuth 客户端凭证:

Credential settings

  • 应用程序类型:选择 Web application 作为应用程序类型。

  • 名称:OAuth 客户端凭证的名称。

  • 授权重定向 URI:重定向 URI 用于在 SSO 流完成后将用户重定向到 Logto 应用程序。你可以在 Logto 的 Google Workspace SSO 连接器页面找到重定向 URI 值。

    Redirect URI

  • 授权 JavaScript 来源:Logto 应用程序的来源。该来源用于防止 OAuth 客户端凭证被其他应用程序使用。使用与重定向 URI 相同的来源。

  • 点击 Create 按钮完成 OAuth 客户端凭证创建。

在 Logto 中配置 Google Workspace SSO 连接器

  1. 从 Google Workspace OAuth 客户端凭证页面复制 Client IDClient Secret 并将其粘贴到 Logto 的 Google Workspace SSO 连接器表单中。点击 Save 按钮完成 SSO 连接器的创建。

Client ID and Client Secret

  1. 导航到 Logto 的 Google Workspace SSO 连接器页面上的 SSO Experience 选项卡,并填写 Enterprise email domain 字段。这将启用 SSO 连接器作为这些用户的身份验证方法。例如,如果你在企业电子邮件域中填写 logto.io,则所有电子邮件地址以 @logto.io 结尾的用户将被限制使用 Google Workspace SSO 连接器登录 Logto 应用程序。

SSO Experience

启用 Logto 登录体验中的 SSO

  1. 导航到 Sign-in Experience 页面。
  2. 点击 Sign-up and sign-in 选项卡。
  3. 滚动到 ADVANCED OPTIONS 部分并启用 Enterprise SSO 切换。

Enable SSO

测试 SSO 集成

使用登录体验实时预览测试 SSO 集成。你可以在 Sign-in Experience preview 部分的右上角找到实时预览按钮。

成功的 SSO 集成将重定向用户到 Google 登录页面。在用户成功登录后,用户将被重定向回 Logto 的演示应用程序。

免费试用 Logto 云