Google gebruikt een Security Assertion Markup Language-provider (SAML) voor gebruikersverificatie. Als uw gebruikers inloggen bij Google Workspace, zien ze een scherm op de hoofdpagina van Google Workspace waarop ze hun identiteit moeten bevestigen.
Hoe vaak zien gebruikers het scherm?
Dit scherm verschijnt slechts één keer voor elk account op een apparaat, om gebruikers zo min mogelijk te storen. Als gebruikers hun identiteit in een specifieke Chrome-browser of op een specifiek apparaat hebben bevestigd, kunnen ze veilig opnieuw inloggen zonder hun identiteit opnieuw te hoeven bevestigen.
Opmerking: SSO-gebruikers kunnen extra verificatiechallenges zien als u ervoor kiest challenges met SSO aan te zetten. Verificatie in 2 stappen wordt dan ook aangezet als dit is ingesteld voor uw Google-account. (Verificatie in 2 stappen staat meestal uit voor gebruikers die inloggen via SSO.)
Wat is het doel?
- Bescherming tegen phishing-aanvallen: Het inlogscherm zorgt dat gebruikers van de Chrome-browser niet onbewust inloggen op een account dat is gemaakt en wordt beheerd door hackers. Tijdens een phishingcampagne kan een gebruiker bijvoorbeeld worden misleid zodat deze inlogt op een Google-account dat wordt beheerd door een hacker. Bij dit soort aanvallen kan SAML Single sign-on (SSO) worden gebruikt, omdat hierbij geen gebruikersinteractie is vereist om in te loggen. Het verificatiescherm is toegevoegd om gebruikers te beschermen.
- Overal dezelfde identiteit laten zien: Deze nieuwe beveiligingsfunctie is onderdeel van een groter project om in alle Google Workspace-services (zoals Gmail) en systeemeigen Chrome-browserservices (zoals Chrome-synchronisatie) dezelfde identiteit te laten zien. Zo kunnen ingelogde gebruikers makkelijker de systeemeigen functies van de Chrome-browser gebruiken. Er is wel extra bescherming nodig tijdens de verificatie. Met dit nieuwe scherm wordt deze bescherming toegevoegd en lopen uw gebruikers minder risico dat hackers SAML SSO gebruiken om gebruikers te laten inloggen op schadelijke accounts.
Kan ik het scherm uitzetten?
Ja, u kunt het verificatiescherm uitzetten. U kunt dit bijvoorbeeld doen als u het aantal interacties tussen uw gebruikers en Google wilt verminderen.
Als u het nieuwe scherm wilt uitzetten voor uw organisatie, gebruikt u de HTTP-koptekst X-GoogApps-AllowedDomains om domeinen te identificeren waarvan de gebruikers toegang mogen hebben tot Google-services. Gebruikers in die domeinen zien het extra scherm niet. Google gaat ervan uit dat deze accounts worden vertrouwd door uw gebruikers.
U kunt ook het groepsbeleid AllowedDomainsForApps gebruiken om deze koptekst in te stellen.
