步驟一：在阿里云獲取SAML服務提供商元數據

1. 使用阿里云賬號登錄RAM控制臺。
2. 在左側導航欄，選擇集成管理 > SSO管理。
3. 在SSO管理頁面，單擊用戶SSO頁簽。
4. 在SSO登錄設置區域，復制SAML服務提供商元數據URL。
5. 在新的瀏覽器窗口中打開復制的鏈接，將元數據XML文件另存到本地。
   說明 元數據XML文件保存了阿里云作為一個SAML服務提供商的訪問信息。您需要記錄XML文件中EntityDescriptor元素的entityID屬性值和AssertionConsumerService元素的Location屬性值，以便后續在Google Workspace的配置中使用。

步驟二：在Google Workspace創建支持SAML SSO的應用

1. 使用超級管理員登錄Google Workspace管理控制臺。
2. 在左側導航欄，選擇Apps > Web and mobile apps。
3. 單擊Add app頁簽，然后單擊Add custom SAML app。
4. 在Add custom SAML app頁面，創建支持SAML SSO的應用。
   1. 在App details頁面，輸入應用名稱（例如：AlibabaCloudUserSSO），然后單擊CONTINUE。
   2. 在 Google Identity Provider details頁面，單擊DOWNLOAD METADATA，下載元數據文檔，然后單擊CONTINUE。
   3. 在Service provider details頁面，輸入ACS URL和Entity ID，然后單擊CONTINUE。
      • ACS URL：為步驟一：在阿里云獲取SAML服務提供商元數據中記錄的Location。
      • Entity ID：為步驟一：在阿里云獲取SAML服務提供商元數據中記錄的entityID。
      • Start URL：用來配置用戶SSO登錄成功后跳轉到的阿里云頁面。
        說明 出于安全原因，您只能填寫阿里巴巴旗下的域名URL作為Default RelayState的值，例如：*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com，否則配置無效。若不配置，默認跳轉到阿里云控制臺首頁。
   4. 在Attribute mapping頁面，單擊FINISH。
5. 在創建成功的應用詳情頁，單擊User access。
6. 可選：在應用名稱下方的Organizational Units區域，選擇要使用此應用進行單點登錄的組織單元。默認為整個組織。
7. 在Service status區域，選中ON for everyone。
   說明 如果您設置了第6步，即指定了組織單元，則此處選中ON。
8. 點擊SAVE。

步驟三：在阿里云開啟用戶SSO

1. 在RAM控制臺的左側導航欄，選擇集成管理 > SSO管理。
2. 在SSO管理頁面，單擊用戶SSO頁簽。
3. 在SSO登錄設置區域，單擊編輯。
4. 在編輯SSO登錄設置面板的SSO功能狀態區域，單擊開啟。
   說明 用戶SSO是一個全局功能，開啟后，所有RAM用戶都需要使用SSO登錄。 如果您是通過RAM用戶配置的，請先保留為關閉狀態，您需要先完成RAM用戶的創建，以免配置錯誤導致自己無法登錄。您也可以通過阿里云賬號（主賬號）進行配置來規避此問題。
5. 在元數據文檔區域，單擊上傳文件，上傳從步驟二：在Google Workspace創建支持SAML SSO的應用中獲取的IdP元數據。
6. 在輔助域名區域，單擊開啟，并配置輔助域名為Google Workspace中的用戶名Email后綴。
   說明 如果您的Google Workspace中存在多種Email后綴的用戶，則只有以此處配置的后綴結尾的Email地址可以登錄到阿里云。
7. 單擊確定。

步驟四：在Google Workspace創建用戶

1. 在Google Workspace的左側導航欄，選擇Directory > Users。
2. 單擊Add new user。
3. 在User Information頁面，填寫First name、Last name和Primary email（例如：u2@example.com），然后選擇Organizational unit，最后單擊ADD NEW USER。
   說明 如果您在步驟二：在Google Workspace創建支持SAML SSO的應用中指定了使用應用的組織單元，則此處的Organizational unit需要保持一致。

步驟五：在阿里云創建RAM用戶

1. 在RAM控制臺的左側導航欄，選擇身份管理 > 用戶。
2. 在用戶頁面，單擊創建用戶。
3. 在創建用戶頁面，輸入登錄名稱和顯示名稱。
   說明 請確保RAM用戶的登錄名稱前綴與Google Workspace中的用戶名前綴保持一致，本示例中為u2。
4. 在訪問方式區域，選擇控制臺訪問，并設置登錄密碼等參數。
5. 單擊確定。

驗證結果

完成上述配置后，您可以從阿里云或Google Workspace發起SSO登錄。

• 從阿里云側發起登錄
  1. 在RAM控制臺的概覽頁，復制RAM用戶的登錄地址。
  2. 將鼠標懸停在右上角頭像的位置，單擊退出登錄或使用新的瀏覽器打開復制的RAM用戶登錄地址。
  3. 單擊使用企業賬號登錄，系統會自動跳轉到Google Workspace的登錄頁面。
  4. 在Google Workspace的登錄界面，輸入用戶名（u2@example.com）和密碼，單擊登錄。

  系統將自動SSO登錄并重定向到您指定的Start URL頁面。如果未指定Start URL或超出允許范圍，則系統會訪問如下阿里云控制臺首頁。如果出現以下頁面，表示配置成功。

  
• 從Google Workspace側發起登錄

  使用Google Workspace用戶登錄Google Workspace，在Google Workspace的主頁，找到并單擊步驟二：在Google Workspace創建支持SAML SSO的應用創建的應用。

  系統將自動SSO登錄并重定向到您指定的Start URL頁面。如果未指定Start URL或超出允許范圍，則系統會訪問以下阿里云控制臺首頁。如果出現以下頁面，表示配置成功。