การทำ Single Sign On (SSO) ระหว่าง G Suite กับ Azure AD

การทำ Single Sign On เป็นการเชื่อมบริการหนึ่งๆ เข้ากับระบบ directory อีกตัวหนึ่ง ทำให้ผู้ใช้งาน สามารถใช้ identity (โดยส่วนใหญ่จะอยู่ในรูปแบบ username และ password) ที่มีอยู่แล้ว เข้าใช้งานบริการตัวใหม่ๆ ได้เลย ไม่จำเป็นต้องจำ password ของ account สำหรับเข้าใช้งานระบบใหม่ๆ ส่วนผู้ดูแลระบบก็สามารถจัดการบัญชีผู้ใช้งานจากจุดเดียวได้โดยสะดวก ไม่ต้องมีความเสี่ยงในการเก็บ password ไว้ที่บริการแต่ละตัว

องค์ประกอบของการทำ SSO จะส่วนประกอบสำคัญ 2 ส่วน คือ

• IdP หรือ Identity Provider ซึ่งหมายถึงระบบที่ทำหน้าที่เป็น directory กลาง ให้ระบบอื่นๆ เรียกใช้งานเพื่อยืนยันตัวตนผู้ใช้งาน ก่อนเข้าถึงข้อมูลในแต่ละระบบ
• SP หรือ Service Provider ซึ่งหมายถึง ระบบปลายทางที่ผู้ใช้จะเข้าใช้งาน ซึ่งจะส่งการยืนยันตัวตนให้ IdP จัดการให้เรียบร้อยก่อน ผู้ใช้จึงจะเข้าใช้งานระบบนั้นๆ ได้

ในบทความนี้ เราจะตั้งค่า SSO โดยให้ Azure AD เป็น IdP และ G Suite เป็น SP นั่นก็คือ เมื่อผู้ใช้งานต้องการเข้าใช้ G Suite ก็จะถูก redirect ให้ยืนยันตัวตนกับ Azure AD ก่อน เมื่อยืนยันตัวตนผ่านแล้วก็จะเข้าใช้งาน G Suite ได้

ขั้นตอนการตั้งค่า จะเริ่มจากหน้า Azure Portal แล้วก็ไปตั้งค่ากันต่อที่ Google Admin Console รายละเอียดตามด้านล่างนี้เลยคับ

ในหน้า Azure Portal ให้เราเพิ่มโดเมนที่จะทำ SSO เข้าไปก่อน ในที่นี้คือ azure.tangerine.co.th

ที่เมนูทางซ้าย เลือก Enterprise application > + New application

เลือก app ที่ชื่อ G Suite (หรือชื่ออื่นๆ หากมีการเปลี่ยนแปลงในอนาคต) และกด Add

ในหน้าตั้งค่าของแอพ G Suite เลือกที่เมนู Single sign-on และไล่ตั้งค่าส่วนแรกือ Basic SAML Configuration

กดที่รูปดินสอ และตั้งค่า และกดปุ่ม Save เพื่อบันทึกค่า

 รายละเอียดการตั้งค่า Basic SAML Configuration

• Sign on URL: https://mail.google.com/a/
• Entity ID: google.com/a/ 

การตั้งค่าในหัวข้อ User Attributes & Claims

กด Download ที่หัวข้อ Certificate (Base64) และบันทึกเก็บไว้ใช้ในขั้นตอนต่อไป

copy ข้อมูล ในหัวข้อ Set up G Suite ไว้ใช้ตั้งค่าบน Google Admin Console ในขั้นตอนต่อไป

สร้าง user สำหรับทดสอบ SSO บน Azure AD (ในที่นี้คือ pakorn.n@azure.tangerine.co.th)

ในหน้า Google Admin Console เข้ามาที่เมนู Security > Set up single sign-on (SSO)

ติ๊กเลือก Setup SSO with third party identity provider และตั้งค่าในช่องต่างๆ

 การตั้งค่า SSO บน Google Admin Console

• ติ๊กเลือก Setup SSO with third party identity provider
• Sign-in page URL: https://login.microsoftonline.com//saml2
• Sign-out page URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
• Change password URL: https://account.activedirectory.windowsazure.com/changepassword
• Verification certificate: กด upload และเลือกไฟล์ cert. ที่ download จาก Azure Portal
• ติ๊กเลือก Use a domain specific issuer

สร้าง user สำหรับทดสอบ SSO ใน Google Admin Console ให้ตรงกับ user บน Azure AD

ผลลัพธ์จากการทำ SSO

องค์กรไหนที่ใช้งาน Azure AD อยู่ และต้องการทำ SSO กับ G Suite เพื่อลดภาระการจำ password ให้ user สามารถใช้บทความนี้เป็นแนวทางในการทดสอบการตั้งค่าได้นะคับ หากต้องการคำปรึกษาเพิ่มเติมเกี่ยวกับ cloud solution ก็สามารถติดต่อทีมงาน บริษัท แทนเจอรีน ได้คับ
---
www.tangerine.co.th