I Google Workspace finns det två sätt att konfigurera enkel inloggning (SSO) med Google som betrodd part för identitetsleverantören:
- Äldre SSO-profil – gör det möjligt att bara konfigurera en IdP för organisationen.
- SSO-profiler – det nyare och rekommenderade sättet att konfigurera SSO. Du kan tillämpa olika SSO-inställningar på olika användare i organisationen, stöder både SAML och OIDC, har modernare API:er och är Googles fokus för nya funktioner.
Vi rekommenderar att alla kunder migrerar till SSO-profiler för att dra nytta av dessa fördelar. SSO-profiler kan samexistera med SSO-profilen för organisationen så att du kan testa nya SSO-profiler innan du migrerar hela organisationen.
Översikt över migreringsprocessen
- Skapa en SSO-profil för IdP:n i administratörskonsolen och registrera den nya profilen hos IdP:n.
- Tilldela testanvändare den nya profilen för att bekräfta att den fungerar.
- Tilldela organisationsenheten på toppnivå till den nya profilen.
- Uppdatera domänspecifika webbadresser så att den nya profilen används.
- Städa upp: Avregistrera den gamla tjänsteleverantören och kontrollera att automatisk användaradministration fortfarande fungerar.
Steg 1: Skapa en SSO-profil
- Följ de här stegen för att skapa en ny SAML SSO-profil. Den nya profilen ska använda samma IdP som den befintliga SSO-profilen för organisationen.
- Registrera den nya SSO-profilen hos IdP som en ny tjänsteleverantör.
IdP:n ser den nya profilen som en separat tjänsteleverantör (den kan kalla dem Appar eller Förtroendefulla parter). Hur du registrerar den nya tjänsteleverantören varierar beroende på IdP, men det kräver vanligtvis att du konfigurerar enhets-id:t och ACS-webbadressen (Assertion Consumer Service) för den nya profilen.
- Om du använder SSO-profilen för organisationen kan du bara använda Google Workspace Admin Settings API för att hantera SSO-inställningar.
- Cloud Identity API kan hantera SSO-profiler som inboundSamlSsoProfiles och tilldela dem till grupper eller organisationsenheter med inboundSsoAssignments.
Avancerade administratörsanspråk
SSO-profiler godkänner inte påståenden om avancerade administratörer. När du använder SSO-profilen för organisationen godkänns påståenden, men avancerade administratörer omdirigeras inte till IdP. Följande påståenden godkänns till exempel:
- Användaren följer en länk till appstartaren från IdP (IdP-initierad SAML)
- Användaren navigerar till en domänspecifik webbadress för tjänst (till exempel https://drive.google.com/a/your_domain.com)
- Användaren loggar in på en Chromebook som är konfigurerad för att navigera direkt till IdP. Läs mer.
Inställningar för verifiering efter SSO
Inställningar som styr verifiering efter SSO (till exempel inloggningsfrågor eller tvåstegsverifiering) är olika för SSO-profiler än för organisationens SSO-profil. Vi rekommenderar att du anger samma värde för båda inställningarna för att undvika förvirring. Läs mer.
Steg 2: Tilldela testanvändare till profilen
Vi rekommenderar att du testar den nya SSO-profilen på användare i en grupp eller organisationsenhet innan du byter över alla användare. Använd en befintlig grupp eller organisationsenhet eller skapa en ny vid behov.
Om du har hanterade ChromeOS-enheter rekommenderar vi organisationsenhetsbaserad testning eftersom du kan tilldela ChromeOS-enheter till organisationsenheter men inte till grupper.
- (Valfritt) Skapa en ny organisationsenhet eller konfigurationsgrupp och tilldela testanvändare till den.
- Följ de här stegen för att tilldela användare den nya SSO-profilen.
Om du har konfigurerat SSO för ChromeOS-enheter så att användarna navigerar direkt till IdP bör du testa SSO-beteendet separat för dessa användare.
Observera att för att inloggningen ska lyckas måste SSO-profilen som har tilldelats enhetens organisationsenhet matcha SSO-profilen som har tilldelats enhetsanvändarens organisationsenhet.
Om du till exempel för närvarande har en organisationsenhet för försäljning för anställda som använder hanterade Chromebooks och loggar in direkt på IdP:n skapar du en organisationsenhet som sales_sso_testing, tilldelar den den nya profilen och flyttar vissa användare och de Chromebooks de använder till den organisationsenheten.
Steg 3: Tilldela den översta organisationsenheten och uppdatera tjänstadresserna
När du har testat den nya SSO-profilen i en testgrupp eller organisationsenhet kan du byta till andra användare.
- Öppna SäkerhetEnkel inloggning med externa IdP:erHantera SSO-profiltilldelningar.
- Klicka på Hantera.
- Välj organisationsenheten på toppnivå och tilldela den den nya SSO-profilen.
- (Valfritt) Om andra organisationsenheter eller grupper har tilldelats SSO-profilen för organisationen tilldelar du dem den nya SSO-profilen.
Steg 4: Uppdatera domänspecifika webbadresser
Om organisationen använder domänspecifika webbadresser (till exempel https://mail.google.com/a/your_domain.com) uppdaterar du inställningen så att den använder den nya SSO-profilen:
- Öppna SäkerhetEnkel inloggning med externa IdP:erDomänspecifika webbadresser för tjänst.
- Välj den nya SSO-profilen i rullgardinsmenyn under Omdirigera automatiskt användare till IdP från tredje part i följande SSO-profil.
Steg 5: Rensa
- Gå till SäkerhetEnkel inloggning med externa IDP:erSSO-profiler. Klicka på Äldre SSO-profil för att öppna profilinställningarna.
- Avmarkera Aktivera äldre SSO-profil för att inaktivera den äldre profilen.
- Bekräfta att automatisk användaradministration som har konfigurerats med IdP fungerar korrekt med den nya SSO-profilen.
- Avregistrera den gamla tjänsteleverantören från IdP.