logo文件
平台指引
文檔首頁
主頁導航帳戶管理財務中心組織開發指引
搜尋
繁體中文
English
繁體中文
简体中文
日本語
ภาษาไทย
Español
登錄
帳戶管理 / SSO / Google Admin

Google Admin SSO 配置指南

最新更新:2025-10-24

本指南詳細介紹如何在 EngageLab 平台通過 Google Admin 配置 SAML 單點登錄(SSO)。請結合 EngageLab SSO 配置頁面的操作指引,完成整個配置流程。

在 Google Admin 與 EngageLab 的 SSO 集成中,用戶賬號的映射關係依賴於 Google Admin 配置的群組與 EngageLab SSO 群組的對應關係。

完成 Google Admin SSO 配置需滿足以下前提條件。本文將按照以下順序逐步說明:

  • Google Admin 權限:您需擁有 Google Workspace 的管理員權限
  • EngageLab 賬戶與 SSO 權益:目標組織已開通 SSO 功能(如未開通,請聯繫 EngageLab 商務申請)。
  • 群組授權:已在 Google Admin 中將 EngageLab 應用授權給需要開通 SSO 的群組。
  • 賬號一致性要求:用於登錄 EngageLab 的郵箱地址必須與 Google Admin 中授權郵箱完全一致。

:在 Google 環境中,SSO 配置基於用戶的 Primary Email 屬性。Google Admin 不支持為同一用戶配置多個 SSO 郵箱地址。請確保用於 SSO 登錄的郵箱與 Google Admin 目錄中的主郵箱一致,以確保身份認證順利完成。

配置流程

  1. 登錄 Google 管理員中心,在左側導航菜單中,點擊"應用 > Web 應用和移動應用”。 alt text
  2. 點擊“添加應用”,並選擇“添加自定義 SAML 應用”。您將進入添加應用程序的流程。 alt text
  3. 輸入“應用名稱”和“說明”,便於後續識別和管理。 alt text
  4. 請先複製並妥善保存 SSO 網址及證書信息,後續在 EngageLab SSO 配置時使用。 alt text
  5. 登錄 EngageLab 控制台,進入 SSO 配置頁面,複製實體 ID 和 ACS URL 等關鍵信息。 alt text alt text
  6. 在 Google Admin SAML 應用配置中,將實體 ID 和 ACS URL 分別填入對應字段。 alt text 7.名稱 ID 格式選擇 EMAIL,名稱 ID 選擇 Basic Information > Primary email,點擊“繼續”。 alt text
  7. 添加 Google 目錄屬性 Primary email,應用屬性填寫:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 此屬性適用於所有 EngageLab 的 Google SSO 配置。 alt text 點擊“完成”以結束 Google Admin 側的初步配置。
  8. 返回 EngageLab SSO 配置頁面,將保存的 SSO 網址、證書信息分別填入 IdP Login URL、IdP Logout URL 及 x509 Certificate 字段。 alt text
  9. 配置完成後,在“應用”菜單下的“Web 應用和移動應用”中選擇剛剛創建的 SAML 應用,點擊“用戶訪問權限”區域(非超鏈接部分)。 alt text
  10. 在服務狀態中選擇“對所有人啟用”,確保所有目標用戶均可通過 SSO 登錄。 alt text

登錄與註銷說明

如需詳細了解標準登錄與註銷流程,請參考 EngageLab SSO 配置頁面。本節重點介紹使用 Google Admin 作為身份提供商(IdP)時,與其他 IdP 不同的認證流程及常見問題。

賬號一致性校驗

在使用 Google Admin SSO 進行身份驗證時,系統會校驗您輸入的 Google 賬號是否與當前瀏覽器已登錄的 Google 賬號一致。包含以下場景:

  • 官網 SSO 登錄按鈕發起的登錄流程
  • SSO 專屬登錄鏈接(包括邀請用戶加入 SSO 組織時,邀請郵件中的專屬登錄鏈接)

根據 Google 賬號的登錄狀態和一致性,系統會有不同的處理邏輯:

瀏覽器已登錄且賬號一致

無需額外操作,系統自動進入後續 SSO 認證流程。

瀏覽器已登錄多個 Google 賬號

系統彈出賬號選擇窗口,請選擇與 SSO 登錄郵箱一致的賬號。
alt text

瀏覽器未登錄任何 Google 賬號

系統自動引導用戶登錄 Google 賬號,請按提示登錄與 SSO 登錄郵箱一致的賬號。 alt text

瀏覽器已登錄但賬號不一致

系統提示 403 錯誤,拒絕登錄。
403 報錯

問題排查與賬號切換

如遇 403 報錯,建議按以下步驟排查並切換賬號:

以 Google Chrome 瀏覽器為例, 進入“管理 Chrome 個人資料”頁面。 alt text 添加或切換至需要用於 EngageLab SSO 登錄的 Google 郵箱賬號,確認無誤後再嘗試 SSO 登錄 EngageLab。 alt text 除此之外,若如不需要保存瀏覽歷史,可使用瀏覽器無痕模式進行 SSO 登錄。在無痕模式下,系統會自動引導您登錄 Google 賬號,確保環境乾淨,減少賬號衝突。

常見問題解答

Q:登出賬號時,系統引導選擇賬號,點擊後出現 400 錯誤頁面。
alt text 400 報錯頁面

A: Google Workspace 不支持 SLO(Single Logout),因此無法通過 EngageLab 的登出按鈕直接註銷 Google 賬號。如需登出,請前往瀏覽器的 Google 賬號管理頁面,手動退出當前 Google 賬號。
Google 賬號管理界面

icon
聯繫銷售