การทำ Single Sign On (SSO) ระหว่าง G Suite กับ Azure AD

การทำ Single Sign On เป็นการเชื่อมบริการหนึ่งๆ เข้ากับระบบ directory อีกตัวหนึ่ง ทำให้ผู้ใช้งาน สามารถใช้ identity (โดยส่วนใหญ่จะอยู่ในรูปแบบ username และ password) ที่มีอยู่แล้ว เข้าใช้งานบริการตัวใหม่ๆ ได้เลย ไม่จำเป็นต้องจำ password ของ account สำหรับเข้าใช้งานระบบใหม่ๆ ส่วนผู้ดูแลระบบก็สามารถจัดการบัญชีผู้ใช้งานจากจุดเดียวได้โดยสะดวก ไม่ต้องมีความเสี่ยงในการเก็บ password ไว้ที่บริการแต่ละตัว

องค์ประกอบของการทำ SSO จะส่วนประกอบสำคัญ 2 ส่วน คือ

  • IdP หรือ Identity Provider ซึ่งหมายถึงระบบที่ทำหน้าที่เป็น directory กลาง ให้ระบบอื่นๆ เรียกใช้งานเพื่อยืนยันตัวตนผู้ใช้งาน ก่อนเข้าถึงข้อมูลในแต่ละระบบ
  • SP หรือ Service Provider ซึ่งหมายถึง ระบบปลายทางที่ผู้ใช้จะเข้าใช้งาน ซึ่งจะส่งการยืนยันตัวตนให้ IdP จัดการให้เรียบร้อยก่อน ผู้ใช้จึงจะเข้าใช้งานระบบนั้นๆ ได้
ในบทความนี้ เราจะตั้งค่า SSO โดยให้ Azure AD เป็น IdP และ G Suite เป็น SP นั่นก็คือ เมื่อผู้ใช้งานต้องการเข้าใช้ G Suite ก็จะถูก redirect ให้ยืนยันตัวตนกับ Azure AD ก่อน เมื่อยืนยันตัวตนผ่านแล้วก็จะเข้าใช้งาน G Suite ได้
ขั้นตอนการตั้งค่า จะเริ่มจากหน้า Azure Portal แล้วก็ไปตั้งค่ากันต่อที่ Google Admin Console รายละเอียดตามด้านล่างนี้เลยคับ
ในหน้า Azure Portal ให้เราเพิ่มโดเมนที่จะทำ SSO เข้าไปก่อน ในที่นี้คือ azure.tangerine.co.th
ที่เมนูทางซ้าย เลือก Enterprise application > + New application
เลือก app ที่ชื่อ G Suite (หรือชื่ออื่นๆ หากมีการเปลี่ยนแปลงในอนาคต) และกด Add

 

ในหน้าตั้งค่าของแอพ G Suite เลือกที่เมนู Single sign-on และไล่ตั้งค่าส่วนแรกือ Basic SAML Configuration

 

กดที่รูปดินสอ และตั้งค่า และกดปุ่ม Save เพื่อบันทึกค่า

รายละเอียดการตั้งค่า Basic SAML Configuration

 

การตั้งค่าในหัวข้อ User Attributes & Claims

 

กด Download ที่หัวข้อ Certificate (Base64) และบันทึกเก็บไว้ใช้ในขั้นตอนต่อไป

 

copy ข้อมูล ในหัวข้อ Set up G Suite ไว้ใช้ตั้งค่าบน Google Admin Console ในขั้นตอนต่อไป

 

สร้าง user สำหรับทดสอบ SSO บน Azure AD (ในที่นี้คือ pakorn.n@azure.tangerine.co.th)
ในหน้า Google Admin Console เข้ามาที่เมนู Security > Set up single sign-on (SSO)

 

ติ๊กเลือก Setup SSO with third party identity provider และตั้งค่าในช่องต่างๆ

การตั้งค่า SSO บน Google Admin Console

  • ติ๊กเลือก Setup SSO with third party identity provider
  • Sign-in page URL: https://login.microsoftonline.com//saml2
  • Sign-out page URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
  • Change password URL: https://account.activedirectory.windowsazure.com/changepassword
  • Verification certificate: กด upload และเลือกไฟล์ cert. ที่ download จาก Azure Portal
  • ติ๊กเลือก Use a domain specific issuer

 

สร้าง user สำหรับทดสอบ SSO ใน Google Admin Console ให้ตรงกับ user บน Azure AD
ผลลัพธ์จากการทำ SSO

องค์กรไหนที่ใช้งาน Azure AD อยู่ และต้องการทำ SSO กับ G Suite เพื่อลดภาระการจำ password ให้ user สามารถใช้บทความนี้เป็นแนวทางในการทดสอบการตั้งค่าได้นะคับ หากต้องการคำปรึกษาเพิ่มเติมเกี่ยวกับ cloud solution ก็สามารถติดต่อทีมงาน บริษัท แทนเจอรีน ได้คับ

www.tangerine.co.th

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s