只有在您採用舊版 SSO 設定檔,以及下文所述的某些情況下,才能讓超級管理員使用單一登入服務。新版 SSO 設定檔不支援此功能。
允許超級管理員使用 SSO 有好有壞。讓「所有」使用者 (包括管理員) 透過 SSO 驗證,可盡量限縮管理使用者憑證的範圍。但如果您的 IdP 遭到入侵,第三方就能存取 Google 管理控制台,以及貴機構帳戶的所有資訊。
為降低這類風險,如果您為超級管理員啟用 SSO,建議您同時在 IdP 和 Google 上為超級管理員啟用兩步驟驗證。
如何停用超級管理員的 SSO
如要停用超級管理員的 SSO,請使用新版 SSO 設定檔。如要從舊版 SSO 設定檔改用新版 SSO 設定檔,請按照這裡的說明操作。
超級管理員可以透過 SSO 登入的情況
如果您使用舊版 SSO 設定檔,超級管理員可以在下列情況透過 SSO 登入:
- 「網域專屬服務網址」設為自動將使用者重新導向至第三方 IdP。
- 由 IdP 啟動超級管理員的登入作業 (IdP 啟動的單一登入)。
- 超級管理員一開始使用非超級管理員帳戶登入 Google,但在系統將其重新導向至 IdP 時,提供超級管理員憑證。在這種情況下,Google 會接受 IdP 提供的超級管理員身分斷言。
超級管理員無法透過 SSO 登入的情況
即便使用舊版 SSO 設定檔,超級管理員在下列情況也無法透過 SSO 登入:
管理控制台
當超級管理員嘗試透過 admin.google.com 登入已啟用 SSO 的網域,他們必須輸入完整的 Google 管理員帳戶電子郵件地址,以及相關聯的 Google 密碼 (而非 SSO 使用者名稱和密碼)。然後按一下「登入」,直接存取管理控制台。Google 不會將他們重新導向 SSO 登入網頁。
Google 雲端硬碟的同步處理用戶端
當超級管理員登入 Google 雲端硬碟同步處理用戶端時,會略過單一登入 (SSO),Google 不會將其重新導向至 SSO 登入網頁。無論是透過瀏覽器、行動應用程式 (例如 iOS 雲端硬碟和 Gmail 應用程式)、Android 帳戶啟動程序等方式登入,皆適用此一原則。
