將 Google Workspace SSO 整合到你的應用程式中
瞭解如何在幾分鐘內將 Google Workspace SSO 整合到你的應用程式中。
Developer
Google Workspace(前稱為 G Suite)是 Google 開發的一套雲端運算、生產力和協作工具。它提供一套企業級服務,包括 Gmail、Docs、Drive、Calendar、Meet 等。
由於 Google Workspace 在企業界被廣泛使用,允許企業用戶使用他們的 Google Workspace 帳戶通過 Logto 登錄你的應用程式,而無需創建新帳戶,是至關重要的。在本教程中,我們將向你展示如何在幾分鐘內將你的應用程式與 Google Workspace SSO 整合。
先決條件
在我們開始之前,你需要擁有一個 Google Cloud 帳戶和一個 Google Workspace 組織。如果你還沒有,可以在這裡註冊一個免費的 Google Cloud 帳戶。
當然,你還需要擁有一個 Logto 帳戶。如果你還沒有,非常歡迎你註冊一個 Logto 帳戶。Logto 對個人使用是免費的,所有功能對免費開發租戶都是可用的,包括 SSO 功能。
同時也需要一個整合良好的 Logto 應用程式。如果你還沒有,請按照整合指南創建一個 Logto 應用程式。
在 Logto 中創建新的 Google Workspace SSO 連接器
- 訪問你的 Logto Cloud Console 並導航到 Enterprise SSO 頁面。
- 點擊 Add Enterprise SSO 按鈕並選擇 Google Workspace 作為 SSO 提供者。
在我們進入下一步之前,我們需要從你的 Google Workspace 帳戶中收集一些信息。
創建 Google Workspace 驗證專案並配置 OAuth 資源同意畫面
-
在你使用 Google Workspace 作為驗證提供者之前,你必須在 Google API Console 中設立一個專案以獲取 OAuth 2.0 憑證。如果你已經有專案,可以跳過這一步。否則,請在你的 Google 組織下創建一個新專案。
-
如果這是你首次實施 Google Workspace 驗證,你必須先配置 OAuth 資源同意畫面才能創建 OAuth 客戶端憑證。為此,點擊左側導航欄的 OAuth consent screen 來配置你的 OAuth 資源同意畫面。
-
選擇 Internal 作為用戶類型。這將確保只有你的 Google Workspace 組織內的用戶可以訪問你的應用程式。
- 按照頁面上的說明填寫應用程式的一般信息。你需要提供以下信息:
| Field Name | Description |
|---|---|
| Application name | 你的應用程式的名稱。這名稱將顯示在用戶授予應用程式訪問權限時的同意畫面上。 |
| User support email | 用戶可以聯繫以獲得支持的電子郵件地址。 |
| Authorized domains | 允許訪問應用程式的網域名稱。你需要在此添加你的 Logto 租戶網域名稱。例如 https://${tenant_id}.logto.app |
點擊 Save and Continue 按鈕進入下一步。
- 設置你的應用程式的 Scopes。為了使用 Google Workspace 作為驗證提供者並檢索用戶的身份信息,Logto SSO 連接器需要訪問以下範圍:
openid- 此範圍用於檢索用戶的身份信息。profile- 此範圍用於檢索用戶的基本個人信息。email- 此範圍用於檢索用戶的電子郵件地址。
點擊 Save and Continue 按鈕進入摘要頁面。
為你的 Logto SSO 連接器創建 OAuth 客戶端憑證
- 導航到 Credentials 頁面並點擊 Create Credentials 按鈕。選擇 OAuth client ID 作為憑證類型。
- 按如下配置 OAuth 客戶端憑證:
-
Application type: 選擇 Web application 作為應用類型。
-
Name: OAuth 客戶端憑證的名稱。
-
Authorized redirect URIs: 重定向 URI 用於在 SSO 流程完成後將用戶重定向到 Logto 應用程式。你可以在 Logto 的 Google Workspace SSO 連接器頁面找到重定向 URI。
-
Authorized JavaScript origins: Logto 應用程式的起源。這用於防止 OAuth 客戶端憑證被其他應用程式使用。使用與重定向 URI 相同的起源。
-
點擊 Create 按鈕完成 OAuth 客戶端憑證創建。
配置 Logto 中的 Google Workspace SSO 連接器
- 從 Google Workspace OAuth 客戶端憑證頁面中復制 Client ID 和 Client Secret,並將其粘貼到 Logto Google Workspace SSO 連接器表單中。點擊 Save 按鈕完成 SSO 連接器創建。
- 導航到 Logto Google Workspace SSO 連接器頁面的 SSO Experience 標籤,並填寫 Enterprise email domain 欄位。這將啟用 SSO 連接器作為這些用戶的驗證方法。例如,如果你填寫
logto.io作為企業電子郵件域,則所有結尾為@logto.io的用戶將被限制使用 Google Workspace SSO 連接器登錄 Logto 應用程式。
啟用 Logto 中的 SSO 登錄體驗
- 導航到 Sign-in Experience 頁面。
- 點擊 Sign-up and sign-in 標籤。
- 滾動到 ADVANCED OPTIONS 區域並啟用 Enterprise SSO 切換。
測試 SSO 整合
使用登錄體驗實時預覽來測試 SSO 整合。你可以在 Sign-in Experience preview 區域的右上角找到實時預覽按鈕。
成功的 SSO 整合將用戶重定向到 Google 登錄頁面。在用戶成功登錄後,將用戶重定向回 Logto 的演示應用程式。