logo
開發者文件
總覽開發空間工作空間API 參考最佳實踐更新日誌
搜尋
繁體中文
開發空間 / 個人中心 / 單一登入 / Google 管理員
Google Admin SSO 詳細設定指南
最新更新:8 天前

Google Admin SSO 詳細設定指南

本指南提供如何在 GPTBots 平台上,使用 Google Admin 配置 SAML 單一登入(SSO)的完整操作說明。請參考 GPTBots SSO 設定頁面 完成全流程設定。

在 Google Admin 與 GPTBots 進行 SSO 整合時,使用者帳號的對應關係,會根據 Google Admin 所設定的群組與 GPTBots SSO 群組的映射來判斷。

要完成 Google Admin SSO 設定,請確認以下前置條件,並依照步驟操作:

  • Google Admin 帳戶:已註冊 Google Admin 管理員帳戶。
  • GPTBots 帳戶與 SSO 權限:目標組織需已啟用 SSO 功能(如尚未啟用,請聯繫銷售團隊)。
  • 群組授權:已在 Google Admin 中授權 GPTBots 應用給需要 SSO 存取的群組。
  • 帳號一致性要求:登入 GPTBots 的電子郵件需與 Google Admin 授權的 Email 完全一致。

注意:Google 環境下,SSO 設定以使用者的主要電子郵件(Primary Email)為依據。Google Admin 不支援為同一用戶設定多個 SSO 電子郵件。請確保 SSO 登入時所用 Email 與 Google Admin 目錄中的主電子郵件一致,才能順利通過驗證。

設定流程

  1. 登入 Google Admin 控制台,於左側選單點選 「應用程式 > 網頁和行動應用程式」
    Google Admin 應用程式管理畫面截圖

  2. 請點擊 「新增應用程式」,然後選擇 「新增自訂 SAML 應用程式」
    新增自訂 SAML 應用程式畫面

  3. 輸入 應用程式名稱描述,以利辨識此 SAML 應用。
    輸入應用程式名稱與描述畫面

  4. 請複製並妥善保存 SSO URL 及憑證(x509 Certificate)資訊,稍後將於 GPTBots SSO 設定時使用。
    複製 SSO URL 與憑證畫面

  5. 登入 GPTBots 控制台,前往 SSO 設定頁,複製「實體 ID (Entity ID)」與「ACS URL (Assertion Consumer Service URL)」等關鍵資訊。
    GPTBots SSO 設定資訊畫面

  6. 回到 Google Admin SAML 應用設定,將「實體 ID (Entity ID)」與「ACS URL」貼入對應欄位。
    Google Admin SAML 設定畫面

  7. 選擇 EMAIL 作為 Name ID 格式,並指定 基本資訊 > 主要電子郵件 (Primary Email) 為 Name ID,點擊 「繼續」
    設定 Name ID 格式畫面

  8. 新增 Google 目錄屬性 主要電子郵件 (Primary Email),並將應用程式屬性設為:
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    此屬性適用於所有 Google SSO 與 GPTBots 的整合。
    新增目錄屬性畫面
    點擊 「完成」,即完成 Google Admin 端初步設定。

  9. 回到 GPTBots SSO 設定頁,將剛才保存的 SSO URL、憑證資訊分別填入 IdP 登入 URLIdP 登出 URLx509 憑證欄位。
    GPTBots SSO 設定畫面

  10. 設定完成後,請於 「應用程式」 選單的 「網頁和行動應用程式」 下,找到剛建立的 SAML 應用,點擊 「使用者存取」(非超連結區域)。
    應用程式使用者存取設定畫面

  11. 在服務狀態選擇 「對所有人啟用」,確保所有目標用戶皆可透過 SSO 登入。
    啟用所有人存取畫面

登入與登出說明

如需標準登入與登出流程,請參考 GPTBots SSO 設定頁面。本節重點說明以 Google Admin 作為身份提供者(IdP)時的驗證邏輯與常見問題。

帳號一致性檢查說明

為確保安全,系統會檢查您輸入的 Google 帳號是否與「目前瀏覽器已登入的 Google 帳號」一致。這是因為 Google SSO 僅允許以主要電子郵件進行驗證,避免帳號混淆與權限錯誤。常見情境如下:

  • 透過 SSO 登入按鈕發起的登入
  • 透過 SSO 登入連結(如邀請郵件中的登入連結)

根據登入狀態與帳號是否匹配,系統會有以下反應:

1. 瀏覽器已登入且帳號一致

無需額外操作,系統自動進入 SSO 驗證流程。

2. 瀏覽器已登入多組 Google 帳號

系統會顯示帳號選擇視窗,請選擇與 SSO 電子郵件一致的帳號。
Google 帳號選擇畫面

3. 瀏覽器未登入任何 Google 帳號

系統會自動提示登入,請依指示登入與 SSO 電子郵件一致的帳號。
Google 登入提示畫面

4. 瀏覽器已登入但帳號不一致

系統會顯示 403 錯誤,並阻擋登入。
403 錯誤畫面
常見原因與解決方式:

  • 請確認您登入的 Google 帳號與 SSO 電子郵件完全相符。
  • 可切換瀏覽器個人檔案或使用無痕模式重新登入正確帳號。

疑難排解與帳號切換

若遇到 403 錯誤,請依下列步驟排解:

以 Google Chrome 為例,請前往 「管理 Chrome 個人檔案」 頁面。
Chrome 個人檔案管理畫面
新增或切換至正確的 Google 帳號,再重新嘗試 SSO 登入。
帳號切換畫面
如不需保留瀏覽紀錄,也可使用瀏覽器無痕模式登入,系統會自動提示登入正確 Google 帳號,能有效避免帳號衝突。

常見問題 FAQ

Q:登出時,系統提示選擇帳號,但點擊後出現 400 錯誤頁?
Google 帳號選擇畫面
400 錯誤頁面

A: Google Workspace 不支援 SLO(Single Logout,單一登出),因此無法透過 GPTBots 登出按鈕直接登出 Google 帳號。如需完全登出,請至瀏覽器的 Google 帳號管理頁面手動登出目前 Google 帳號。
Google 帳號管理入口畫面

若您遇到其他 SSO 整合問題,建議搜尋「Google Admin SSO」、「GPTBots SSO 設定」等關鍵詞,或洽詢 GPTBots 客服團隊協助。