Migracja ze starszego profilu SSO na profile SSO

Google Workspace zapewnia 2 sposoby konfigurowania logowania jednokrotnego (SSO) w Google jako jednostki uzależnionej dostawcy tożsamości:

  • Starszy profil SSO – umożliwia skonfigurowanie tylko jednego dostawcy tożsamości dla organizacji.
  • Profile SSO – nowy, zalecany sposób konfigurowania logowania jednokrotnego. Umożliwia stosowanie różnych ustawień logowania jednokrotnego do różnych użytkowników w organizacji, obsługuje zarówno SAML, jak i OIDC, zawiera bardziej nowoczesne interfejsy API i będzie głównym celem Google w zakresie nowych funkcji.

Zalecamy wszystkim klientom przejście na profile SSO, aby mogli korzystać z tych korzyści. Profile SSO mogą współistnieć z profilem SSO Twojej organizacji, dzięki czemu możesz przetestować nowe profile SSO przed przejściem na nie w całej organizacji.

Omówienie procesu migracji

  1. W konsoli administracyjnej utwórz profil SSO dla dostawcy tożsamości i zarejestruj nowy profil przy użyciu dostawcy tożsamości.
  2. Przypisz użytkowników testowych do korzystania z nowego profilu, aby sprawdzić, czy działa.
  3. Przypisz do nowego profilu jednostkę organizacyjną najwyższego poziomu.
  4. Zaktualizuj URL-e specyficzne dla domeny, aby używać nowego profilu.
  5. Uporządkuj: wyrejestruj poprzedniego dostawcę usług i sprawdź, czy automatyczna obsługa administracyjna użytkowników nadal działa.

Krok 1. Utwórz profil SSO

  1. Aby utworzyć nowy profil logowania jednokrotnego przez SAML, wykonaj te czynności. Nowy profil powinien używać tego samego dostawcy tożsamości co istniejący profil SSO w organizacji.
  2. Zarejestruj nowy profil SSO przy użyciu dostawcy tożsamości jako nowego dostawcę usługi.

    Twój dostawca tożsamości zobaczy nowy profil jako odrębnego dostawcę usług (może nazywać je „aplikacjami” lub „jednostkami uzależnionymi”). Sposób rejestracji nowego dostawcy usług zależy od dostawcy tożsamości, ale zwykle wymaga skonfigurowania identyfikatora jednostki i adresu URL usługi ACS dla nowego profilu.

Uwagi dla użytkowników interfejsu API
  • Jeśli używasz profilu SSO w organizacji, możesz zarządzać ustawieniami SSO tylko za pomocą interfejsu Google Workspace Admin Settings API.
  • Interfejs Cloud Identity API może zarządzać profilami SSO jako inboundSamlSsoProfiles i przypisywać je do grup lub jednostek organizacyjnych za pomocą inboundSsoAssignments.
Różnice między profilami SSO a starszym profilem SSO

Potwierdzenia superadministratora

Profile SSO nie akceptują potwierdzeń dotyczących superadministratorów. Gdy używasz profilu SSO w organizacji, potwierdzenia są akceptowane, ale superadministratorzy nie są przekierowywani do dostawcy tożsamości. Na przykład zaakceptowane zostaną te potwierdzenia:

  • Użytkownik klika link do menu z aplikacjami od dostawcy tożsamości (protokół SAML inicjowany przez dostawcę tożsamości)
  • Użytkownik przechodzi do adresu URL usługi specyficznego dla domeny (na przykład https://drive.google.com/a/your_domain.com).
  • Użytkownik loguje się na Chromebooku skonfigurowanym tak, aby przekierowywać bezpośrednio do dostawcy tożsamości. Więcej informacji

Ustawienia weryfikacji po logowaniu jednokrotnym

Ustawienia, które kontrolują weryfikację po logowaniu jednokrotnym (takie jak testy zabezpieczające logowanie czy weryfikacja dwuetapowa), różnią się w przypadku profili SSO i profilu SSO dla organizacji. Aby uniknąć pomyłek, zalecamy ustawienie obu ustawień na tę samą wartość. Więcej informacji

Krok 2. Przypisz użytkowników testowych do profilu

Zanim przełączysz wszystkich użytkowników, warto najpierw przetestować nowy profil SSO na użytkownikach w pojedynczej grupie lub jednostce organizacyjnej. Użyj istniejącej grupy lub jednostki organizacyjnej albo w razie potrzeby utwórz nową.

Jeśli masz zarządzane urządzenia z ChromeOS, zalecamy testowanie na podstawie jednostek organizacyjnych, ponieważ urządzenia z ChromeOS możesz przypisywać do jednostek organizacyjnych, a nie do grup.

  1. (Opcjonalnie) Utwórz nową jednostkę organizacyjną lub grupę konfiguracji i przypisz do niej użytkowników testowych.
  2. Aby przypisać użytkowników do nowego profilu SSO, wykonaj te czynności.
Uwagi dla organizacji korzystających z zarządzanych urządzeń z ChromeOS

Jeśli masz skonfigurowane logowanie jednokrotne na urządzeniach z ChromeOS, aby użytkownicy przechodzili bezpośrednio do dostawcy tożsamości, musisz osobno przetestować działanie logowania jednokrotnego w przypadku tych użytkowników.

Aby logowanie się powiodło, profil logowania jednokrotnego przypisany do jednostki organizacyjnej urządzenia musi być zgodny z profilem logowania jednokrotnego przypisanym do jednostki organizacyjnej użytkownika urządzenia.

Jeśli na przykład masz już jednostkę organizacyjną Sprzedaż dla pracowników, którzy korzystają z zarządzanych Chromebooków i logują się bezpośrednio przy użyciu dostawcy tożsamości, utwórz jednostkę organizacyjną, np. „sprzedaż_testowanie_sso”, przypisz do niej nowy profil i przenieś do niej wybranych użytkowników i ich Chromebooki.

Krok 3. Przypisz jednostkę organizacyjną najwyższego poziomu i zaktualizuj URL-e usług

Po przetestowaniu nowego profilu SSO w grupie testowej lub jednostce organizacyjnej możesz przełączyć innych użytkowników.

  1. Otwórz Zabezpieczenia a potem Logowanie jednokrotne przy użyciu zewnętrznych dostawców tożsamości a potem Zarządzaj przypisaniem profili logowania jednokrotnego.
  2. Kliknij Zarządzaj.
  3. Wybierz jednostkę organizacyjną najwyższego poziomu i przypisz ją do nowego profilu SSO.
  4. (Opcjonalnie) Jeśli inne jednostki organizacyjne lub grupy są przypisane do profilu SSO w Twojej organizacji, przypisz je do nowego profilu SSO.

Krok 4. Zaktualizuj URL-e specyficzne dla domeny

Jeśli Twoja organizacja używa URL-i specyficznych dla domeny (np. https://mail.google.com/a/your_domain.com), zaktualizuj to ustawienie, aby używać nowego profilu SSO:

  1. Otwórz Zabezpieczenia a potem Logowanie jednokrotne przy użyciu zewnętrznych dostawców tożsamości a potem URL-e usług specyficzne dla domeny.
  2. W sekcji Automatycznie kieruj użytkowników do zewnętrznego dostawcy tożsamości w następującym profilu logowania jednokrotnego wybierz nowy profil SSO z listy.

Krok 5. Uporządkuj

  1. W sekcji Zabezpieczenia a potem Logowanie jednokrotne przy użyciu zewnętrznych dostawców tożsamości a potem Profile logowania jednokrotnego kliknij Starszy profil SSO, aby otworzyć ustawienia profilu.
  2. Odznacz pole Włącz starszy profil SSO, aby wyłączyć starszy profil.
  3. Sprawdź, czy automatyczna obsługa administracyjna użytkowników skonfigurowana w dostawcy tożsamości działa prawidłowo z nowym profilem SSO.
  4. Wyrejestruj poprzedniego dostawcę usług u dostawcy tożsamości.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
7583157158075937992
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false
false
false