การทำ Single Sign On เป็นการเชื่อมบริการหนึ่งๆ เข้ากับระบบ directory อีกตัวหนึ่ง ทำให้ผู้ใช้งาน สามารถใช้ identity (โดยส่วนใหญ่จะอยู่ในรูปแบบ username และ password) ที่มีอยู่แล้ว เข้าใช้งานบริการตัวใหม่ๆ ได้เลย ไม่จำเป็นต้องจำ password ของ account สำหรับเข้าใช้งานระบบใหม่ๆ ส่วนผู้ดูแลระบบก็สามารถจัดการบัญชีผู้ใช้งานจากจุดเดียวได้โดยสะดวก ไม่ต้องมีความเสี่ยงในการเก็บ password ไว้ที่บริการแต่ละตัว
องค์ประกอบของการทำ SSO จะส่วนประกอบสำคัญ 2 ส่วน คือ
IdP หรือ Identity Provider ซึ่งหมายถึงระบบที่ทำหน้าที่เป็น directory กลาง ให้ระบบอื่นๆ เรียกใช้งานเพื่อยืนยันตัวตนผู้ใช้งาน ก่อนเข้าถึงข้อมูลในแต่ละระบบ
SP หรือ Service Provider ซึ่งหมายถึง ระบบปลายทางที่ผู้ใช้จะเข้าใช้งาน ซึ่งจะส่งการยืนยันตัวตนให้ IdP จัดการให้เรียบร้อยก่อน ผู้ใช้จึงจะเข้าใช้งานระบบนั้นๆ ได้
ในบทความนี้ เราจะตั้งค่า SSO โดยให้ Azure AD เป็น IdP และ G Suite เป็น SP นั่นก็คือ เมื่อผู้ใช้งานต้องการเข้าใช้ G Suite ก็จะถูก redirect ให้ยืนยันตัวตนกับ Azure AD ก่อน เมื่อยืนยันตัวตนผ่านแล้วก็จะเข้าใช้งาน G Suite ได้
ขั้นตอนการตั้งค่า จะเริ่มจากหน้า Azure Portal แล้วก็ไปตั้งค่ากันต่อที่ Google Admin Console รายละเอียดตามด้านล่างนี้เลยคับ
ในหน้า Azure Portal ให้เราเพิ่มโดเมนที่จะทำ SSO เข้าไปก่อน ในที่นี้คือ azure.tangerine.co.th
ที่เมนูทางซ้าย เลือก Enterprise application > + New application
เลือก app ที่ชื่อ G Suite (หรือชื่ออื่นๆ หากมีการเปลี่ยนแปลงในอนาคต) และกด Add
ในหน้าตั้งค่าของแอพ G Suite เลือกที่เมนู Single sign-on และไล่ตั้งค่าส่วนแรกือ Basic SAML Configuration
กดที่รูปดินสอ และตั้งค่า และกดปุ่ม Save เพื่อบันทึกค่า
รายละเอียดการตั้งค่า Basic SAML Configuration
Sign on URL: https://www.google.com/a/<yourdomain.com>
Entity ID: google.com/a/
การตั้งค่าในหัวข้อ User Attributes & Claims
กด Download ที่หัวข้อ Certificate (Base64) และบันทึกเก็บไว้ใช้ในขั้นตอนต่อไป
copy ข้อมูล ในหัวข้อ Set up G Suite ไว้ใช้ตั้งค่าบน Google Admin Console ในขั้นตอนต่อไป
สร้าง user สำหรับทดสอบ SSO บน Azure AD (ในที่นี้คือ pakorn.n@azure.tangerine.co.th)
ในหน้า Google Admin Console เข้ามาที่เมนู Security > Set up single sign-on (SSO)
ติ๊กเลือก Setup SSO with third party identity provider และตั้งค่าในช่องต่างๆ
การตั้งค่า SSO บน Google Admin Console
ติ๊กเลือก Setup SSO with third party identity provider
Sign-in page URL: <ใส่ Login URL ที่ได้จาก Azure>
Sign-out page URL: <ใส่ Logout URL ที่ได้จาก Azure>
Change password URL: https://account.activedirectory.windowsazure.com/changepassword
Verification certificate: กด upload และเลือกไฟล์ cert. ที่ download จาก Azure Portal
ติ๊กเลือก Use a domain specific issuer
สร้าง user สำหรับทดสอบ SSO ใน Google Admin Console ให้ตรงกับ user บน Azure AD
ผลลัพธ์จากการทำ SSO
VIDEO
องค์กรไหนที่ใช้งาน Azure AD อยู่ และต้องการทำ SSO กับ G Suite เพื่อลดภาระการจำ password ให้ user สามารถใช้บทความนี้เป็นแนวทางในการทดสอบการตั้งค่าได้นะคับ หากต้องการคำปรึกษาเพิ่มเติมเกี่ยวกับ cloud solution ก็สามารถติดต่อทีมงาน
บริษัท แทนเจอรีน ได้คับ
---
www.tangerine.co.th
ความคิดเห็น
แสดงความคิดเห็น