Как перейти с устаревшего профиля SSO на профили SSO

В Google Workspace можно двумя способами настроить систему единого входа (SSO), в которой Google выступает в качестве проверяющей стороны для вашего поставщика идентификационной информации:

  • Устаревший профиль SSO – вы можете настроить только одного поставщика идентификационной информации для организации.
  • Профили SSO – более новый, рекомендуемый способ настройки SSO. Вы можете применять разные настройки SSO к разным пользователям в организации. Этот способ поддерживает и SAML, и OIDC, в нем более современные API, и именно в него мы будем добавлять новые функции.

Рекомендуем всем клиентам перейти на профили SSO, чтобы воспользоваться этими преимуществами. Профили SSO можно использовать вместе с профилем SSO организации, поэтому вы можете попробовать новые возможности, не выполняя переход для всей организации.

Процедура миграции

  1. В консоли администратора создайте профиль SSO для вашего поставщика идентификационной информации и зарегистрируйте этот профиль у него.
  2. Назначьте профилю тестовых пользователей, чтобы убедиться, что он работает.
  3. Назначьте профилю организационное подразделение верхнего уровня.
  4. Измените URL, относящиеся к домену, чтобы в них использовался новый профиль.
  5. Удалите ненужные данные: отмените регистрацию предыдущего поставщика услуг, а затем убедитесь, что автоматическая инициализация аккаунтов по-прежнему работает.

Шаг 1. Создайте профиль SSO

  1. Создайте профиль системы единого входа на базе SAML, следуя этим инструкциям. В нем должен использоваться тот же поставщик идентификационной информации, что и в существующем профиле SSO организации.
  2. Зарегистрируйте новый профиль SSO, используя вашего поставщика идентификационной информации в качестве нового поставщика услуг.

    У вашего поставщика идентификационной информации появится новый профиль в виде отдельного поставщика услуг (может называться "Приложения" или "Проверяющие стороны"). Способ регистрации нового поставщика услуг зависит от поставщика идентификационной информации, но обычно нужно настроить для нового профиля идентификатор объекта и URL Assertion Consumer Service (ACS).

Примечания для пользователей API
  • Если вы используете профиль SSO для организации, то управлять настройками SSO можете только с помощью Google Workspace Admin Settings API.
  • Cloud Identity API можно использовать для управления профилями SSO как inboundSamlSsoProfile и назначать их группам и организационным подразделениям с помощью inboundSsoAssignment.
Чем отличаются профили SSO от устаревшего профиля SSO

Утверждения о суперадминистраторах

Профили SSO не поддерживают утверждения о суперадминистраторах. При использовании профиля SSO для организации утверждения принимаются, но суперадминистраторы не направляются к поставщику идентификационной информации. Например, принимаются следующие утверждения:

  • Пользователь переходит по ссылке для запуска приложения от поставщика идентификационной информации (SAML, инициированный поставщиком идентификационной информации).
  • Пользователь переходит по URL сервиса, относящегося к домену (например, https://drive.google.com/a/your_domain.com).
  • Пользователь входит в систему Chromebook, настроенную на переход напрямую к поставщику идентификационной информации. Подробнее… 

Настройки подтверждения личности после SSO

Настройки, влияющие на подтверждение личности после SSO, например дополнительную или двухэтапную аутентификацию, различаются для профилей SSO и профиля SSO организации. Чтобы избежать путаницы, рекомендуем задать для них одинаковое значение. Подробнее…

Шаг 2. Назначьте профилю тестовых пользователей

Рекомендуем проверить новый профиль SSO для пользователей в одной группе или организационном подразделении, прежде чем применять его для всех сотрудников. Выберите имеющуюся либо создайте новую группу или организационное подразделение.

Если вы управляли устройствами с ChromeOS, рекомендуем выполнять проверку на основе организационного подразделения, поскольку вы можете назначать устройства с ChromeOS организационным подразделениям, но не группам.

  1. Если нужно, создайте новое организационное подразделение или группу конфигурации и назначьте тестовых пользователей.
  2. Назначьте пользователей новому профилю SSO, следуя этим инструкциям.
Примечания для организаций с управляемыми устройствами с ChromeOS

Если вы настроили SSO для устройств с ChromeOS, чтобы пользователи переходили напрямую к поставщику идентификационной информации, рекомендуем проверить работу SSO для таких пользователей отдельно.

Обратите внимание, что для успешного входа профиль SSO, назначенный организационному подразделению устройства, должен соответствовать профилю SSO, назначенному подразделению пользователя этого устройства.

Пример: сотрудники в организационном подразделении "Отдел продаж" используют управляемые устройства Chromebook и входят непосредственно на сайте поставщика идентификационной информации. Создайте подразделение sales_sso_testing, назначьте ему новый профиль и переместите в это подразделение часть пользователей и их устройства Chromebook.

Шаг 3. Назначьте организационное подразделение верхнего уровня и измените URL сервиса

После успешной проверки нового профиля SSO для тестовой группы или организационного подразделения можно приступать к переносу остальных пользователей.

  1. Выберите Безопасность>Система единого входа со сторонним поставщиком идентификационной информации>Управление профилями SSO.
  2. Нажмите Управление.
  3. Выберите организационное подразделение верхнего уровня и назначьте его новому профилю SSO.
  4. Если профилю SSO организации назначены и другие подразделения или группы, назначьте их новому профилю SSO.

Шаг 4. Обновите URL, относящиеся к домену

Если в вашей организации используются URL, относящиеся к домену (например, https://mail.google.com/a/your_domain.com), измените этот параметр, чтобы использовался новый профиль SSO:

  1. Выберите Безопасность>Система единого входа со сторонним поставщиком идентификационной информации>URL сервисов, относящиеся к домену.
  2. В раскрывающемся списке "Автоматически перенаправлять пользователей на страницу входа стороннего поставщика идентификационной информации, который указан в следующем профиле системы единого входа" выберите новый профиль SSO.

Шаг 5. Выполните очистку

  1. В разделе Безопасность>Система единого входа со сторонним поставщиком идентификационной информации>Профили SSO нажмите Устаревший профиль SSO, чтобы открыть настройки профиля.
  2. Снимите флажок Включить устаревший профиль SSO.
  3. Убедитесь, что автоматическая инициализация аккаунтов у поставщика идентификационной информации работает правильно при использовании нового профиля SSO.
  4. Отмените регистрацию предыдущего поставщика услуг у поставщика идентификационной информации.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
7529559766612864943
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false