繁體中文(香港)
  • google
  • workspace
  • sso
  • authentication

將 Google Workspace 單一登入 (SSO) 整合到你的應用程式中

學習如何在幾分鐘內將 Google Workspace 單一登入 (SSO) 整合到你的應用程式中。

Simeng
Simeng
Developer

Google Workspace(前稱 G Suite)是一套由 Google 開發的雲端運算、生產力和協作工具。它提供了一組企業級服務,包括 Gmail、Docs、Drive、Calendar、Meet 等。

由於 Google Workspace 在企業界廣泛使用,允許企業用戶使用他們的 Google Workspace 帳戶通過 Logto 登入你的應用程式,而無需創建新帳戶是至關重要的。在本教程中,我們將向你展示如何在幾分鐘內將你的應用程式與 Google Workspace SSO 整合。

先決條件

在開始之前,你需要擁有一個 Google Cloud 帳戶和一個 Google Workspace 組織。如果你沒有,可以在 此處註冊一個免費的 Google Cloud 帳戶。

當然,你也需要擁有一個 Logto 帳戶。如果你沒有,非常歡迎註冊一個 Logto 帳戶。Logto 對個人使用是免費的。所有功能對於免費開發租戶都是可用的,包括 SSO 功能。

還需要一個良好整合的 Logto 應用程式。如果你還沒有,請按照 整合指南創建一個 Logto 應用程式。

免費試用 Logto Cloud

在 Logto 中創建新的 Google Workspace SSO 連接器

  1. 訪問你的 Logto 雲端控制台並導航到 企業 SSO 頁面。
  2. 點擊 添加企業 SSO 按鈕並選擇 Google Workspace 作為 SSO 提供者。
okta connector

在進入下一步之前,我們需要從你的 Google Workspace 帳戶中收集一些信息。

創建 Google Workspace 認證專案並配置 OAuth 同意屏幕

  1. 若要將 Google Workspace 用作認證提供者,必須在 Google API 控制台 中設置專案以獲取 OAuth 2.0 憑證。如果你已有專案,可以跳過此步。否則,請在你的 Google 組織下創建新專案。

  2. 如果這是你第一次實施 Google Workspace 認證,則必須在創建 OAuth 客戶憑證之前配置你的 OAuth 同意屏幕。為此,點擊左側導航欄中的 OAuth 同意屏幕 以配置你的 OAuth 同意屏幕。

  3. 選擇 內部 作為用戶類型。這將確保只有你的 Google Workspace 組織內的用戶才能訪問你的應用程式。

OAuth 同意屏幕

  1. 按頁面上的說明填寫應用程式一般信息。你需要提供以下信息:

OAuth 同意配置

欄位名稱描述
應用程式名稱你的應用程式名稱。在要求用戶授權訪問你的應用程式時,這個名稱將顯示在同意屏幕上。
用戶支援電子郵件用戶可聯繫以獲取支援的電子郵件地址。
授權的網域允許訪問你應用程式的網域名稱。你需要在此處添加你的 Logto 租戶網域名稱。e.g. https://${tenant_id}.logto.app

點擊 儲存並繼續 按鍵進入下一步

  1. 設置應用程式的 範圍。為了使用 Google Workspace 作為認證提供者並獲取用戶身分信息,Logto SSO 連接器需要訪問以下範圍:
  • openid - 此範圍用於檢索用戶的身分信息。
  • profile - 此範圍用於檢索用戶的基本資料資訊。
  • email - 此範圍用於檢索用戶的電子郵件地址。

OAuth 同意範圍

點擊 儲存並繼續 按鍵進入摘要頁面。

為你的 Logto SSO 連接器創建 OAuth 客戶憑證

  1. 導航到 憑證 頁面並點擊 創建憑證 按鍵。選擇 OAuth 客戶 ID 作為憑證類型。

創建 OAuth 客戶憑證

  1. 配置 OAuth 客戶憑證如下:

憑證配置

  • 應用程式類型: 選擇 Web 應用程式 作為應用程式類型。

  • 名稱: OAuth 客戶憑證的名稱。

  • 授權的重定向 URI: 重定向 URI 用於在 SSO 流程完成後將用戶重定向到 Logto 應用程式。你可以在 Logto 的 Google Workspace SSO 連接器頁面找到重定向 URI 值。

    重定向 URI

  • 授權的 JavaScript 來源: Logto 應用程式的來源。這用於防止 OAuth 客戶憑證被其他應用程式使用。使用與重定向 URI 相同的來源。點擊 創建 按鍵完成 OAuth 客戶憑證的創建。

在 Logto 中配置 Google Workspace SSO 連接器

  1. 從 Google Workspace OAuth 客戶憑證頁面複製 客戶 ID客戶秘密,然後將它們粘貼到 Logto Google Workspace SSO 連接器表單中。點擊 儲存 按鍵完成 SSO 連接器的創建。

客戶 ID 和客戶秘密

  1. 導航到 Logto Google Workspace SSO 連接器頁面的 SSO 體驗 標籤,並填寫 企業電子郵件網域 欄位。這將啟用 SSO 連接器作為這些用戶的認證方式。例如,如果你填入 logto.io 作為企業電子郵件網域,則所有電子郵件地址以 @logto.io 結尾的用戶將被限制使用 Google Workspace SSO 連接器登入 Logto 應用程式。

SSO 體驗

在 Logto 的登入體驗中啟用 SSO

  1. 導航到 登入體驗 頁面。
  2. 點擊 註冊和登入 標籤。
  3. 向下滾動至 高級選項 區域,並啟用 企業 SSO 切換。

啟用 SSO

測試 SSO 整合

使用登入體驗實況預覽來測試 SSO 整合。你可以在 登入體驗預覽 區域的右上角找到實況預覽按鈕。

成功的 SSO 整合將把用戶重定向到 Google 登入頁面。在用戶成功登入後,將重定向回 Logto 的示範應用程式。

免費試用 Logto Cloud