logo
開發者文件
概述开发空间工作空间API Reference最佳实践更新日志
搜尋
繁體中文
开发空间 / 个人中心 / SSO / Google Admin
Google Admin SSO 配置指南
最新更新:大约 1 小时内

Google Admin SSO 配置指南

本指南详细介绍如何在 GPTBots 平台通过 Google Admin 配置 SAML 单点登录(SSO)。请结合 GPTBots SSO 配置页面的操作指引,完成整个配置流程。

在 Google Admin 与 GPTBots 的 SSO 集成中,用户账号的映射关系依赖于 Google Admin 配置的群组与 GPTBots SSO 群组的对应关系。

完成 Google Admin SSO 配置需满足以下前提条件。本文将按照以下顺序逐步说明:

  • Google Admin 权限:您需拥有 Google Workspace 的管理员权限
  • GPTBots 账户与 SSO 权益:目标组织已开通 SSO 功能(如未开通,请联系 GPTBots 商务申请)。
  • 群组授权:已在 Google Admin 中将 GPTBots 应用授权给需要开通 SSO 的群组。
  • 账号一致性要求:用于登录 GPTBots 的邮箱地址必须与 Google Admin 中授权邮箱完全一致。

:在 Google 环境中,SSO 配置基于用户的 Primary Email 属性。Google Admin 不支持为同一用户配置多个 SSO 邮箱地址。请确保用于 SSO 登录的邮箱与 Google Admin 目录中的主邮箱一致,以确保身份认证顺利完成。

配置流程

  1. 登录 Google 管理员中心,在左侧导航菜单中,点击"应用 > Web 应用和移动应用”。
    alt text
  2. 点击“添加应用”,并选择“添加自定义 SAML 应用”。您将进入添加应用程序的流程。
    alt text
  3. 输入“应用名称”和“说明”,便于后续识别和管理。
    alt text
  4. 请先复制并妥善保存 SSO 网址及证书信息,后续在 GPTBots SSO 配置时使用。
    alt text
  5. 登录 GPTBots 控制台,进入 SSO 配置页面,复制实体 ID 和 ACS URL 等关键信息。
    alt text
  6. 在 Google Admin SAML 应用配置中,将实体 ID 和 ACS URL 分别填入对应字段。
    alt text
    7.名称 ID 格式选择 EMAIL,名称 ID 选择 Basic Information > Primary email,点击“继续”。
    alt text
  7. 添加 Google 目录属性 Primary email,应用属性填写:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    此属性适用于所有 GPTBots 的 Google SSO 配置。
    alt text
    点击“完成”以结束 Google Admin 侧的初步配置。
  8. 返回 GPTBots SSO 配置页面,将保存的 SSO 网址、证书信息分别填入 IdP Login URL、IdP Logout URL 及 x509 Certificate 字段。
    alt text
  9. 配置完成后,在“应用”菜单下的“Web 应用和移动应用”中选择刚刚创建的 SAML 应用,点击“用户访问权限”区域(非超链接部分)。
    alt text
  10. 在服务状态中选择“对所有人启用”,确保所有目标用户均可通过 SSO 登录。
    alt text

登录与注销说明

如需详细了解标准登录与注销流程,请参考 GPTBots SSO 配置页面。本节重点介绍使用 Google Admin 作为身份提供商(IdP)时,与其他 IdP 不同的认证流程及常见问题。

账号一致性校验

在使用 Google Admin SSO 进行身份验证时,系统会校验您输入的 Google 账号是否与当前浏览器已登录的 Google 账号一致。包含以下场景:

  • 官网 SSO 登录按钮发起的登录流程
  • SSO 专属登录链接(包括邀请用户加入 SSO 组织时,邀请邮件中的专属登录链接)

根据 Google 账号的登录状态和一致性,系统会有不同的处理逻辑:

浏览器已登录且账号一致

无需额外操作,系统自动进入后续 SSO 认证流程。

浏览器已登录多个 Google 账号

系统弹出账号选择窗口,请选择与 SSO 登录邮箱一致的账号。
alt text

浏览器未登录任何 Google 账号

系统自动引导用户登录 Google 账号,请按提示登录与 SSO 登录邮箱一致的账号。
alt text

浏览器已登录但账号不一致

系统提示 403 错误,拒绝登录。
403 报错

问题排查与账号切换

如遇 403 报错,建议按以下步骤排查并切换账号:

以 Google Chrome 浏览器为例,
进入“管理 Chrome 个人资料”页面。
alt text
添加或切换至需要用于 GPTBots SSO 登录的 Google 邮箱账号,确认无误后再尝试 SSO 登录 GPTBots。
alt text
除此之外,若如不需要保存浏览历史,可使用浏览器无痕模式进行 SSO 登录。在无痕模式下,系统会自动引导您登录 Google 账号,确保环境干净,减少账号冲突。

常见问题解答

Q:登出账号时,系统引导选择账号,点击后出现 400 错误页面。
alt text
400 报错页面

A: Google Workspace 不支持 SLO(Single Logout),因此无法通过 GPTBots 的登出按钮直接注销 Google 账号。如需登出,请前往浏览器的 Google 账号管理页面,手动退出当前 Google 账号。
Google 账号管理界面