Impostazioni e manutenzione facoltative dell'SSO

Come ruotare i certificati

Se carichi due certificati in un profilo SSO SAML, Google può utilizzare entrambi i certificati per convalidare una risposta SAML dal tuo IdP. In questo modo puoi ruotare in sicurezza un certificato in scadenza lato IdP. Segui questa procedura almeno 24 ore prima della scadenza di un certificato:

  1. Crea un nuovo certificato nell'IdP.
  2. Carica il certificato come secondo certificato nella Console di amministrazione. Per le istruzioni, vedi Creare un profilo SAML.
  3. Attendi 24 ore per consentire l'aggiornamento degli account utente Google con il nuovo certificato.
  4. Configura l'IdP in modo che utilizzi il nuovo certificato al posto di quello in scadenza.
  5. (Facoltativo) Una volta che gli utenti hanno confermato di essere in grado di accedere, rimuovi il vecchio certificato dalla Console di amministrazione. In futuro, potrai caricare un nuovo certificato in base alle tue esigenze.

Gestire gli URL di servizio specifici del dominio

L'impostazione URL di servizio specifici del dominio consente di controllare cosa accade quando gli utenti accedono utilizzando URL di servizio come https://mail.google.com/a/example.com.

  1. Accedi a Console di amministrazione Google con un account amministratore.

    Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

  2. Vai a Menu e poi Sicurezza > Autenticazione > SSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  3. Fai clic su URL di servizio specifici del dominio per aprire le impostazioni.

Le opzioni disponibili sono due:

  • Reindirizza gli utenti all'IdP di terze parti. Scegli questa opzione per indirizzare sempre questi utenti all'IdP di terze parti che hai selezionato nell'elenco a discesa del profilo SSO. Può essere il profilo SSO della tua organizzazione o un altro profilo di terze parti (se ne hai aggiunto uno).

    Importante: se hai unità organizzative o gruppi che non utilizzano SSO, non scegliere questa impostazione. Gli utenti non SSO verranno indirizzati automaticamente all'IdP e non potranno accedere.

  • Richiedi agli utenti di inserire il loro nome utente nella pagina di accesso di Google. Con questa opzione, gli utenti che inseriscono URL specifici del dominio vengono reindirizzati prima alla pagina di accesso di Google. Se sono utenti SSO, vengono reindirizzati alla pagina di accesso dell'IdP.

Risultati della mappatura della rete

Le maschere di rete sono indirizzi IP rappresentati utilizzando il metodo Classless Inter-Domain Routing (CIDR). Il CIDR specifica il numero di bit dell'indirizzo IP inclusi. Il profilo SSO per la tua organizzazione può utilizzare le maschere di rete per determinare quali indirizzi IP o intervalli di IP presentare con il servizio SSO.

Nota:  per le impostazioni delle maschere di rete, solo gli URL del servizio specifici del dominio, ad esempio servizio.google.com/a/example.com, attualmente reindirizzano alla pagina di accesso SSO.

È importante utilizzare il formato corretto per ciascuna maschera di rete. Nel seguente esempio di IPv6, la barra (/) e il numero che la segue rappresentano il CIDR. Gli ultimi 96 bit non vengono presi in considerazione, mentre sono interessati tutti gli indirizzi IP compresi in quell'intervallo di rete.

  • 2001:db8::/32

In questo esempio relativo a IPv4, gli ultimi 8 bit (lo zero) non vengono presi in considerazione, mentre sono interessati tutti gli indirizzi IP compresi nell'intervallo tra 64.233.187.0 e 64.233.187.255.

  • 64.233.187.0/24

Per i domini senza maschera di rete, devi aggiungere al provider di identità (IdP) gli utenti che non sono super amministratori.

Esperienza utente SSO quando si visitano gli URL dei servizi Google

La tabella seguente mostra l'esperienza utente per le visite dirette agli URL dei servizi Google, con e senza una maschera di rete:

Senza maschera di rete I super amministratori sono: Gli utenti sono:
servizio.google.com Gli viene chiesto di inserire l'indirizzo email e la password di Google. Gli viene chiesto l'indirizzo email, quindi viene eseguito il reindirizzamento alla pagina di accesso SSO.
Con maschera di rete I super amministratori e gli utenti sono:
servizio.google.com Gli viene chiesto di inserire l'indirizzo email e la password.
service.google.com
/a/your_domain.com*
(all'interno della maschera di rete)		 Viene reindirizzato alla pagina di accesso SSO.
service.google.com
/a/your_domain.com
(all'esterno della maschera
di rete)		 Gli viene chiesto di inserire l'indirizzo email e la password.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Gli utenti che accedono all'endpoint OAuth 2.0 di Google utilizzando il parametro URL login_hint vengono reindirizzati alla pagina di accesso SSO.

*Non tutti i servizi supportano questo pattern URL. Ecco alcuni esempi di servizi che lo accettano: Gmail e Drive.

Scadenza della sessione quando è configurata una maschera di rete 
Questa sezione ti riguarda solo se si verificano tutte le seguenti condizioni:
  • Nel dominio è configurato il servizio SSO con un IdP di terze parti.
  • Nel dominio è configurata una maschera di rete.
  • Un utente ha eseguito l'accesso mediante l'IdP di terze parti (vedi la tabella "Matrice della mappatura di rete/utente SSO").
Nei seguenti casi è possibile che la sessione Google attiva di un utente venga terminata e che quest'ultimo debba eseguire nuovamente l'autenticazione:
  • La sessione raggiunge la durata massima consentita specificata nell'impostazione Controllo sessione Google della Console di amministrazione.
  • L'amministratore ha modificato l'account dell'utente cambiando la password o richiedendo la modifica della password all'accesso successivo, utilizzando la Console di amministrazione o l'SDK Admin.

Esperienza utente

Se l'utente ha avviato la sessione su un IdP di terze parti, la sessione viene cancellata e l'utente viene reindirizzato alla pagina di accesso di Google.

Dal momento che l'utente ha avviato la sessione Google a partire da un IdP di terze parti, è possibile che non comprenda perché deve reinserire le credenziali per poter accedere nuovamente al proprio account. Gli utenti potrebbero essere reindirizzati alla pagina di accesso di Google anche quando tentano di passare ad altri URL Google.

Se stai pianificando un'operazione di manutenzione per cui è necessario terminare le sessioni utente attive e vuoi evitare di confondere gli utenti, chiedi loro di uscire dalle sessioni e di non accedere fino a quando la manutenzione non è completa.

Recupero degli utenti

Quando viene visualizzata la pagina di accesso di Google perché la sessione di un utente è stata terminata, l'utente può accedere nuovamente al proprio account eseguendo una di queste operazioni:

  • Se è stato visualizzato il messaggio "Se hai raggiunto questa pagina per sbaglio, fai clic qui per uscire, quindi riprova ad accedere", l'utente può fare clic sul link presente nel messaggio.
  • Se il messaggio o il link non sono stati visualizzati, l'utente può uscire e accedere nuovamente a partire dall'indirizzo https://accounts.google.com/logout.
  • L'utente può cancellare i cookie del browser.

Una volta eseguita una qualsiasi delle operazioni indicate sopra, la sessione Google viene terminata del tutto e l'utente può accedere.  

Configurare la verifica in due passaggi con SSO

  1. Accedi a Console di amministrazione Google con un account amministratore.

    Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

  2. Vai al Menu e poi Sicurezza > Autenticazione > Verifiche dell'accesso.

    È necessario disporre del privilegio di amministratore Gestione della sicurezza degli utenti .

  3. Sulla sinistra, seleziona l'unità organizzativa per cui vuoi impostare il criterio.

    Per applicare le impostazioni a tutti gli utenti, seleziona l'unità organizzativa di primo livello. Inizialmente, le unità organizzative ereditano le impostazioni dell'organizzazione di livello superiore.

  4. Fai clic su Verifica post-SSO.
  5. Scegli le impostazioni in base a come utilizzi i profili SSO nella tua organizzazione. Puoi applicare un'impostazione agli utenti che utilizzano il profilo SSO legacy e a quelli che accedono utilizzando altri profili SSO.
  6. In basso a destra, fai clic su Salva.

    Google crea una voce nel log di controllo della Console di amministrazione per indicare la modifica del criterio.

L'impostazione predefinita della verifica post-SSO dipende dal tipo di utente SSO:

  • Per gli utenti che accedono utilizzando il profilo SSO legacy, l'impostazione predefinita è ignorare le verifiche dell'accesso aggiuntive e la V2P.
  • Per gli utenti che accedono utilizzando i profili SSO, l'impostazione predefinita è applicare verifiche dell'accesso aggiuntive e la V2P.

Vedi anche

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
8633362566154256230
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false
false