Migrazione dall'accesso SSO legacy ai profili SSO

Google Workspace offre due modi per configurare il Single Sign-On (SSO) con Google come parte attendibile del tuo provider di identità:

  • Profilo SSO legacy: consente di configurare un solo IdP per l'organizzazione.
  • Profili SSO: il modo più recente e consigliato per configurare l'accesso SSO. Ti consente di applicare impostazioni SSO diverse a utenti diversi della tua organizzazione, supporta sia SAML che OIDC, dispone di API più moderne e sarà il focus di Google per le nuove funzionalità.

Consigliamo a tutti i clienti di eseguire la migrazione ai profili SSO per usufruire di questi vantaggi. I profili SSO possono coesistere con il profilo SSO della tua organizzazione; pertanto, puoi testare i nuovi profili SSO prima di eseguire la transizione dell'intera organizzazione.

Panoramica del processo di migrazione

  1. Nella Console di amministrazione, crea un profilo SSO per il tuo IdP e registra il nuovo profilo con il tuo IdP.
  2. Assegna agli utenti di test il nuovo profilo da utilizzare per verificare che funzioni.
  3. Assegna l'unità organizzativa principale al nuovo profilo.
  4. Aggiorna gli URL specifici del dominio per utilizzare il nuovo profilo.
  5. Pulizia: annulla la registrazione del tuo vecchio fornitore di servizi e verifica che il provisioning automatico degli utenti funzioni ancora.

Passaggio 1: crea un profilo SSO

  1. Segui questi passaggi per creare un nuovo profilo SAML SSO. Il nuovo profilo deve utilizzare lo stesso IdP del profilo SSO esistente della tua organizzazione.
  2. Registra il nuovo profilo SSO indicando il tuo IdP come nuovo fornitore di servizi.

    L'IdP vedrà il nuovo profilo come un fornitore di servizi distinto (potrebbe chiamarlo "App" o "Parti attendibili"). La modalità di registrazione del nuovo fornitore di servizi varia in base all'IdP, ma in genere richiede la configurazione dell'ID entità e dell'URL Assertion Consumer Service (ACS) per il nuovo profilo.

Note per gli utenti dell'API
  • Se utilizzi il profilo SSO della tua organizzazione, puoi usare solo l'API Google Workspace Admin Settings per gestire le impostazioni SSO.
  • L'API Cloud Identity può gestire i profili SSO come inboundSamlSsoProfiles e assegnarli a gruppi o unità organizzative utilizzando inboundSsoAssignments.
Differenze tra i profili SSO e il profilo SSO legacy

Affermazioni del super amministratore

I profili SSO non accettano asserzioni sui super amministratori. Quando utilizzi il profilo SSO della tua organizzazione, le asserzioni vengono accettate, ma i super amministratori non vengono reindirizzati all'IdP. Ad esempio, le seguenti asserzioni sarebbero accettate:

  • L'utente segue un link di avvio dell'app dal tuo IdP (SAML avviato dall'IdP)
  • L'utente accede a un URL di servizio specifico del dominio (ad esempio, https://drive.google.com/a/your_domain.com)
  • L'utente accede a un Chromebook configurato per passare direttamente al tuo IdP. Scopri di più

Impostazioni di verifica post-SSO

Le impostazioni che controllano la verifica post-SSO (ad esempio, le verifiche dell'accesso o la verifica in due passaggi) dei profili SSO sono diverse rispetto a quelle del profilo SSO della tua organizzazione. Per evitare di fare confusione, ti consigliamo di impostare entrambe le impostazioni sullo stesso valore. Ulteriori informazioni.

Passaggio 2: assegna gli utenti di test al profilo

Ti consigliamo di testare inizialmente il nuovo profilo SSO sugli utenti di un singolo gruppo o di una singola unità organizzativa prima di effettuare il passaggio di tutti gli utenti. Utilizza un gruppo o un'unità organizzativa esistente oppure creane di nuovi in base alle esigenze.

Se hai dispositivi ChromeOS gestiti, ti consigliamo di eseguire test sulle unità organizzative, poiché puoi assegnare i dispositivi ChromeOS alle unità organizzative, ma non ai gruppi.

  1. (Facoltativo) Crea una nuova unità organizzativa o un nuovo gruppo di configurazione da assegnare agli utenti di test.
  2. Segui questi passaggi per assegnare gli utenti al nuovo profilo SSO.
Note per le organizzazioni con dispositivi ChromeOS gestiti

Se hai configurato il servizio SSO per i dispositivi ChromeOS in modo che gli utenti accedano direttamente al tuo IdP, ti consigliamo di testare il comportamento del servizio SSO separatamente per questi utenti.

Tieni presente che, per la riuscita dell'accesso, il profilo SSO assegnato all'unità organizzativa del dispositivo deve corrispondere a quello assegnato all'unità organizzativa dell'utente del dispositivo. 

Ad esempio, se al momento hai un'unità organizzativa Vendite per i dipendenti che utilizzano Chromebook gestiti e accedono direttamente al tuo IdP, crea un'unità organizzativa come "sales_sso_testing", assegnala per l'utilizzo del nuovo profilo e sposta alcuni utenti e i Chromebook che utilizzano in quell'unità organizzativa.

Passaggio 3: assegna l'unità organizzativa principale e aggiorna gli URL dei servizi

Dopo aver testato correttamente il nuovo profilo SSO in un gruppo di test o in un'unità organizzativa, puoi passare ad altri utenti.

  1. Vai su SicurezzaquindiSSO con IdP di terze partiquindiGestisci assegnazioni di profili SSO.
  2. Fai clic su Gestisci.
  3. Seleziona l'unità organizzativa di primo livello e assegnala al nuovo profilo SSO.
  4. (Facoltativo) Se al profilo SSO della tua organizzazione sono assegnate altre unità organizzative o altri gruppi, assegnali al nuovo profilo SSO.

Passaggio 4: aggiorna gli URL specifici del dominio

Se la tua organizzazione utilizza URL specifici del dominio (ad esempio, https://mail.google.com/a/your_domain.com), aggiorna l'impostazione per utilizzare il nuovo profilo SSO:

  1. Vai su SicurezzaquindiSSO con IdP di terze partiquindiURL di servizio specifici del dominio.
  2. Nella sezione Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente, seleziona il nuovo profilo SSO dall'elenco a discesa.

Passaggio 5: pulizia

  1. In SicurezzaquindiSSO con IdP di terze partiquindiProfili SSO, fai clic su Profilo SSO legacy per aprire le impostazioni del profilo.
  2. Deseleziona Attiva profilo SSO legacy per disattivare il profilo legacy.
  3. Verifica che il provisioning automatico degli utenti configurato con l'IdP funzioni correttamente con il nuovo profilo SSO.
  4. Annulla la registrazione del vecchio fornitore di servizi dall'IDP.

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
9714478718638593830
true
Cerca nel Centro assistenza
false
true
true
true
true
true
73010
false
false
false
false