1. 三方认证源配置手册
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 三方认证源配置手册

认证源-Google Workspace

概述#

Google Workspace(原 G Suite)是 Google 面向企业提供的云办公套件,通过 Google Cloud Console 提供基于 OpenID Connect(OIDC)的身份认证服务。专属集成平台支持将 Google Workspace 配置为认证源,用户可使用 Google Workspace 账号一键登录平台。
Google Workspace 认证源底层基于 Google Identity Services 的 OIDC 协议,通过 Google 的 OAuth 2.0 授权服务器完成身份验证和用户信息获取。
核心能力:
统一身份登录:用户使用 Google Workspace 或 Google 账号一键登录
自动用户同步:首次登录时通过 JIT 自动创建平台用户
域名限制:支持限制仅允许指定域名的 Google Workspace 用户登录
属性持续更新:支持每次登录时按规则更新用户属性
适用场景:
企业使用 Google Workspace 作为办公套件和身份主数据源
需要为海外团队或合作伙伴提供 Google 账号登录方式
面向海外用户的 SaaS 应用,需要支持社会化登录
教育机构使用 Google Workspace for Education 管理师生身份

前提条件#

序号条件说明
1平台管理员权限拥有专属集成平台的管理员账号
2Google Cloud 项目在 Google Cloud Console 中创建项目并启用 API
3OAuth 2.0 凭据在 Google Cloud Console 中创建 OAuth 2.0 客户端 ID
4Client IDOAuth 2.0 客户端的 Client ID
5Client SecretOAuth 2.0 客户端的 Client Secret
6域名(可选)如需限制仅特定 Google Workspace 域名用户登录,需提供域名
注意:创建 Google Cloud 项目和 OAuth 凭据的详细步骤请参考 Google Identity Services 文档。如未完成 OAuth 同意屏幕的验证,Google 会标记应用为"未验证",仅测试用户可完成授权。

操作步骤#

添加 Google Workspace 认证源#

1
添加认证源
1.
登录专属集成平台管理后台。
2.
在左侧导航栏依次点击 用户中心 → 认证源管理。
3.
点击页面右上角的 添加认证源 按钮。
4.
在弹出的选择框中,选择 Google Workspace 或 OIDC 类型。
提示:Google Workspace 认证源预置了 Google OIDC 发现端点(https://accounts.google.com/.well-known/openid-configuration),简化了 OIDC 端点配置。如需支持个人 Gmail 账号登录,同样可以使用此配置。
2
配置基本信息
在认证源配置表单中填写以下参数:
参数必填说明示例
认证源名称是在登录页显示的认证源名称Google 登录
Client ID是Google Cloud Console 中 OAuth 2.0 客户端 ID123456789012-xxxxxxxxxxxxxxxxxxxx.apps.googleusercontent.com
Client Secret是Google Cloud Console 中 OAuth 2.0 客户端密钥********
Domain否限制仅允许指定域名的 Google Workspace 用户登录example.com
认证源图标否上传图标文件,支持 PNG/JPG,建议 64×64px—
重要:Client ID 和 Client Secret 需在 Google Cloud Console(https://console.cloud.google.com)的 API 和服务 → 凭据 中获取。如未创建凭据,点击 创建凭据 → OAuth 客户端 ID,应用类型选择 Web 应用。
提示:配置 Domain 参数后,仅具有该域名的 Google Workspace 用户可登录。留空则允许所有 Google 账号(包括 Gmail 个人账号)登录。如需更精确的用户范围控制,建议启用 Domain 限制。
3
配置回调地址
1.
复制专属集成平台自动生成的回调地址(格式:{平台域名}/api/auth/callback/google)。
2.
登录 Google Cloud Console,进入 API 和服务 → 凭据 → OAuth 2.0 客户端 ID → 编辑。
3.
在 已获授权的重定向 URI 部分,点击 添加 URI。
4.
填入复制的回调地址。
5.
保存 Google Cloud Console 配置。
警告:Google OAuth 2.0 要求重定向 URI 使用 HTTPS 协议,除非使用 http://localhost 进行本地开发。请确保平台域名已配置有效的 SSL 证书。
4
配置属性映射
将 Google 返回的用户属性(通过 ID Token 的 claims)映射到平台用户模型:
Google 属性平台字段映射方式说明
subgoogle_id创建且更新Google 用户唯一标识符,建议设置唯一字段匹配
emailemail创建且更新用户邮箱地址
namedisplay_name创建且更新用户全名
pictureavatar_url创建且更新用户头像 URL
given_namefirst_name创建且更新用户名字
family_namelast_name创建且更新用户姓氏
email_verifiedemail_verified创建且更新邮箱是否已验证
重要:至少需要配置一个唯一字段匹配规则(sub → google_id),这是系统识别已有用户的依据。Google 的 sub 是用户的全局唯一标识符,跨应用不变。不建议使用 email 作为唯一匹配字段,因为 Google 用户可能更改邮箱。
提示:如果启用了 Domain 限制,Google Workspace 仅返回符合域名条件的用户信息。hd(hosted domain)claim 包含用户的 Google Workspace 域名,可用于验证用户归属。
5
完成配置
1.
确认所有参数填写无误。
2.
点击 保存 按钮。
3.
系统将验证 Google API 连通性,验证通过后认证源创建成功。
4.
认证源将出现在列表中,状态为 已启用。

验证与测试#

测试项验证方法预期结果
认证源连通性在认证源列表中点击 测试连接提示连接成功
登录跳转打开登录页,点击 Google 认证源图标正确跳转至 Google 登录页面
用户授权在 Google 页面选择账号并完成授权成功跳回平台并完成登录
属性同步登录后查看用户中心个人信息用户名、邮箱、头像与 Google 账号一致
JIT 创建使用 Google 中未预先创建的新用户登录平台自动创建该用户账号
域名限制使用非指定域名的 Google 账号登录登录被拒绝,显示相应提示
拒绝授权在 Google 授权页面点击取消平台显示相应提示,不创建用户

常见问题#

Q1:Google 授权后提示"此应用未经验证"?
Q2:非 Google Workspace 用户(Gmail 个人账号)能否登录?
Q3:Google 登录后获取不到用户的头像图片?
Q4:能否限制特定组织单位(OU)的用户登录?
修改于 2026-05-06 10:48:56
上一页
认证源-微信公众号
下一页
认证源-AD Azure
Built with