如何輪換憑證
如果您將兩個憑證上傳至 SAML 單一登入 (SSO) 設定檔,Google 可以使用其中任何一個憑證來驗證 IdP 的 SAML 回應。這樣一來,您就能在 IdP 端安全地輪替即將到期的憑證。請在憑證到期前至少 24 小時,按照下列步驟操作:
- 在 IdP 上建立新的憑證。
- 將新憑證上傳至管理控制台,做為第二個憑證。如需操作說明,請參閱「建立 SAML 設定檔」。
- 等待 24 小時,讓 Google 使用者帳戶更新為使用新憑證。
- 設定 IdP,使用新憑證取代即將到期的憑證。
- (選用) 使用者確認可以登入後,請從管理控制台移除舊憑證。您日後可視需要上傳新的憑證。
管理網域專屬的服務網址
「網域專屬的服務網址」設定可讓您控管使用者透過服務網址 (例如 https://mail.google.com/a/example.com) 登入時的處理方式。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
- 按一下「網域專屬的服務網址」,開啟相關設定。
以下提供兩種方案供您選擇:
- 將使用者重新導向至第三方 IdP。選擇這個選項,即可將這些使用者一律轉送至您在單一登入 (SSO) 設定檔下拉式清單中選取的第三方 IdP。這可以是貴機構的單一登入 (SSO) 設定檔,或是其他第三方設定檔 (如果有的話)。
重要事項:如果您有機構單位或群組「並未」使用單一登入 (SSO) 服務,請勿選擇這項設定。否則,您的非單一登入 (SSO) 使用者將自動轉送至 IdP,且無法登入。
- 要求使用者在 Google 登入頁面輸入使用者名稱。如果採用這個選項,使用者輸入專屬的服務網址後,會先由系統傳送至 Google 登入網頁。如果他們是單一登入 (SSO) 使用者,就會重新導向至 IdP 登入頁面。
網路對應結果
網路遮罩是以無類別跨網域路由 (CIDR) 標記法所表示的 IP 位址,CIDR 會指定包含的 IP 位址位元數目。貴機構的單一登入 (SSO) 設定檔可使用網路遮罩,判斷要在哪些 IP 位址或 IP 位址範圍提供單一登入 (SSO) 服務。
注意:就網路遮罩設定而言,目前只有特定網域的服務網址 (例如 <服務>.google.com/a/example.com) 會重新導向至 SSO 登入網頁。
每個網路遮罩都必須使用正確格式。在以下的 IPv6 範例中,斜線 (/) 和其後的數字代表 CIDR。最後 96 個位元不列入考量,而在這個網路範圍內的所有 IP 位址均會受到影響。
- 2001:db8::/32
在這個 IPv4 範例中,最後 8 個位元 (零) 不列入考量,而在 64.233.187.0 至 64.233.187.255 這個範圍內的所有 IP 位址均會受到影響。
- 64.233.187.0/24
在沒有網路遮罩的網域中,您必須將不具超級管理員權限的使用者加入識別資訊提供者 (IdP)。
設定採用單一登入 (SSO) 的兩步驟驗證
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
- 在左側選取您要設定政策的機構單位。
如要為所有使用者套用設定,請選取頂層機構單位。根據預設,機構單位會沿用上層機構的設定。
- 按一下 [單一登入 (SSO) 後驗證]。
- 根據您在貴機構使用單一登入 (SSO) 設定檔的方式選擇設定。您可以為採用舊版單一登入 (SSO) 設定檔的使用者和透過其他單一登入 (SSO) 設定檔登入的使用者套用設定。
- 按一下右下方的 [儲存]。
Google 會在管理員稽核記錄中建立項目,表示已變更這項政策。
預設的單一登入 (SSO) 後驗證設定,取決於單一登入 (SSO) 使用者類型:
- 如果使用者透過舊版單一登入 (SSO) 設定檔登入,預設設定會略過額外的登入身分確認問題和兩步驟驗證機制。
- 如果使用者透過單一登入 (SSO) 設定檔登入,預設設定會套用額外的登入身分確認問題和兩步驟驗證機制。