De inlogpagina voor de Beheerdersconsole is admin.google.com. Deze wordt omgeleid naar accounts.google.com. De inlogpagina voor een individuele Google-service is service.google.com/a/example.com. Als u SSO configureert voor uw domein, is het gedrag van deze pagina's anders als de gebruiker die inlogt hoofdbeheerdersrechten heeft en als het domein een netwerkmasker heeft.
Inloggen met hoofdbeheerdersrechten
Beheerdersconsole
Als hoofdbeheerders proberen in te loggen bij een domein met SSO via admin.google.com, moeten ze het volledige e-mailadres van hun Google-beheerdersaccount en het bijbehorende Google-wachtwoord invoeren (niet hun SSO-gebruikersnaam en -wachtwoord) en klikken op Inloggen om de Beheerdersconsole rechtstreeks te openen. Google leidt ze niet naar de SSO-inlogpagina.
Google Drive-synchronisatieclient
Als hoofdbeheerders inloggen bij de Google Drive-synchronisatieclient, slaan ze SSO over. Google leidt ze niet naar de SSO-inlogpagina. Dit geldt als ze inloggen via browsers, mobiele apps (zoals de iOS Drive- en Gmail-apps), de activatiestroom van Android-accounts etc.
Google-services met een domeinspecifieke URL
Als hoofdbeheerder kunt u met SSO inloggen bij een Google-service met een domeinspecifieke URL (zoals mail.google.com/a/example.com) als het volgende van toepassing is:
- Uw domein gebruikt het SSO-profiel van derden voor uw organisatie. Als uw domein een netwerkmasker gebruikt, moet u zich bovendien binnen het netwerkmasker bevinden.
- Domeinspecifieke service-URL's is ingesteld op Gebruikers automatisch omleiden naar de IdP van derden en het SSO-profiel is ingesteld op SSO-profiel voor uw organisatie.
Als u een ander SSO-profiel gebruikt (niet het SSO-profiel voor uw organisatie), wordt inloggen met hoofdbeheerders bij domeinspecifieke URL's via uw IdP niet ondersteund. Als Domeinspecifieke service-URL's is ingesteld om gebruikers automatisch om te leiden naar dat SSO-profiel, krijgen ze een inlogfout als ze inloggen bij een domeinspecifieke URL.
Andere gevallen waarin hoofdbeheerders kunnen inloggen met SSO
Als uw domein het SSO-profiel van derden voor uw organisatie gebruikt, kunnen hoofdbeheerders ook inloggen via SSO in de volgende situaties:
- Als de login van de hoofdbeheerder wordt gestart door de IdP (door de IdP gestarte SSO).
- Als een hoofdbeheerder in eerste instantie inlogt bij Google met een niet-hoofdbeheerdersaccount, maar daarna de inloggegevens van de hoofdbeheerder opgeeft als deze wordt omgeleid naar de IdP. In dat geval accepteert Google de identiteitsverklaring van hoofdbeheerders van de IdP.