如何輪換憑證
如果您將兩個憑證上傳至 SAML 單一登入 (SSO) 設定檔,Google 可以使用其中任何一個憑證來驗證 IdP 的 SAML 回應。這樣一來,您就能在 IdP 端安全地輪替即將到期的憑證。請在憑證到期前至少 24 小時,按照下列步驟操作:
- 在 IdP 上建立新的憑證。
- 將新憑證上傳至管理控制台,做為第二個憑證。如需操作說明,請參閱「建立 SAML 設定檔」。
- 等待 24 小時,讓 Google 使用者帳戶更新為使用新憑證。
- 設定 IdP,使用新憑證取代即將到期的憑證。
- (選用) 使用者確認可以登入後,請從管理控制台移除舊憑證。您日後可視需要上傳新的憑證。
管理網域專屬的服務網址
「網域專屬的服務網址」設定可讓您控管使用者透過服務網址 (例如 https://mail.google.com/a/example.com) 登入時的處理方式。
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
- 按一下「網域專屬的服務網址」,開啟相關設定。
以下提供兩種方案供您選擇:
- 將使用者重新導向至第三方 IdP。選擇這個選項,即可將這些使用者一律轉送至您在單一登入 (SSO) 設定檔下拉式清單中選取的第三方 IdP。這可以是貴機構的單一登入 (SSO) 設定檔,或是其他第三方設定檔 (如果有的話)。
重要事項:如果您有機構單位或群組「並未」使用單一登入 (SSO) 服務,請勿選擇這項設定。否則,您的非單一登入 (SSO) 使用者將自動轉送至 IdP,且無法登入。
- 要求使用者在 Google 登入頁面輸入使用者名稱。如果採用這個選項,使用者輸入專屬的服務網址後,會先由系統傳送至 Google 登入網頁。如果他們是單一登入 (SSO) 使用者,就會重新導向至 IdP 登入頁面。
網路對應結果
網路遮罩是以無類別跨網域路由 (CIDR) 標記法所表示的 IP 位址,CIDR 會指定包含的 IP 位址位元數目。貴機構的單一登入 (SSO) 設定檔可使用網路遮罩,判斷要在哪些 IP 位址或 IP 位址範圍提供單一登入 (SSO) 服務。
注意:就網路遮罩設定而言,目前只有特定網域的服務網址 (例如 <服務>.google.com/a/example.com) 會重新導向至 SSO 登入網頁。
每個網路遮罩都必須使用正確格式。在以下的 IPv6 範例中,斜線 (/) 和其後的數字代表 CIDR。最後 96 個位元不列入考量,而在這個網路範圍內的所有 IP 位址均會受到影響。
- 2001:db8::/32
在這個 IPv4 範例中,最後 8 個位元 (零) 不列入考量,而在 64.233.187.0 至 64.233.187.255 這個範圍內的所有 IP 位址均會受到影響。
- 64.233.187.0/24
在沒有網路遮罩的網域中,您必須將不具超級管理員權限的使用者加入識別資訊提供者 (IdP)。
造訪 Google 服務網址時的單一登入 (SSO) 使用者體驗下表列出直接造訪 Google 服務網址的使用者體驗,並說明有無網路遮罩的差異:
| 「沒有」網路遮罩 | 超級管理員: | 使用者: |
|---|---|---|
| <服務>.google.com | 系統會提示他們輸入 Google 電子郵件地址和密碼。 | 系統會提示使用者輸入電子郵件地址,然後將他們重新導向至單一登入 (SSO) 頁面。 |
| 「有」網路遮罩 | 超級管理員和使用者: | |
| <服務>.google.com | 系統會提示他們輸入電子郵件地址和密碼。 | |
| <服務>.google.com /a/<您的網域>.com* (在網路遮罩「內」) |
系統會重新導向至單一登入 (SSO) 頁面。 | |
| <服務>.google.com /a/<您的網域>.com (在網路遮罩「外」 ) |
系統會提示他們輸入電子郵件地址和密碼。 | |
| accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com |
使用者如果透過 login_hint 網址參數存取 Google 的 OAuth 2.0 端點,系統會將他們重新導向至單一登入 (SSO) 頁面。 |
|
* 不是所有服務都支援這種網址模式。例如 Gmail 和 Google 雲端硬碟。
- 您的網域採用第三方 IdP 提供的 SSO。
- 您的網域有網路遮罩。
- 使用者是透過第三方 IdP 登入 (請參閱「SSO 使用者/網路對應表」這份表格)。
- 使用者工作階段的持續時間已達到 Google 工作階段控制設定 (位於管理控制台設定) 所指定的時間上限。
- 管理員透過管理控制台或 Admin SDK 修改了使用者的帳戶設定,包括變更密碼或要求使用者在下次登入時變更密碼。
使用者體驗
如果使用者是透過第三方 IdP 來啟動工作階段,系統會清除工作階段,並將使用者重新導向至 Google 登入網頁。
由於使用者是透過第三方 IdP 啟動 Google 工作階段,所以他們可能不知道為何需要登入 Google 才能取回帳戶存取權。系統可能將使用者重新導向至 Google 登入網頁,即使他們嘗試前往其他 Google 網址也一樣。
如果您打算進行的維護工作需要終止使用者目前的工作階段,而且想避免對使用者造成困擾,請指示使用者登出工作階段,並且在維護作業完成前保持登出狀態。
復原使用者
如果使用者是因為現有工作階段遭終止才看到 Google 登入網頁,他們可以採取下列任一行動以取回帳戶存取權:
- 如果使用者看到「如果系統誤將您導向這個頁面,請按這裡登出,然後試著重新登入」訊息,他們可以點選訊息中的連結。
- 如果使用者沒有看到以上訊息或連結,則需要前往 https://accounts.google.com/logout 登出再重新登入。
- 使用者可以清除自己的瀏覽器 Cookie。
使用者用了上述任一復原方式後,他們的 Google 工作階段就會徹底終止,而且隨即可以登入帳戶。
設定採用單一登入 (SSO) 的兩步驟驗證
-
請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶,就無法存取管理控制台。
-
- 在左側選取您要設定政策的機構單位。
如要為所有使用者套用設定,請選取頂層機構單位。根據預設,機構單位會沿用上層機構的設定。
- 按一下 [單一登入 (SSO) 後驗證]。
- 根據您在貴機構使用單一登入 (SSO) 設定檔的方式選擇設定。您可以為採用舊版單一登入 (SSO) 設定檔的使用者和透過其他單一登入 (SSO) 設定檔登入的使用者套用設定。
- 按一下右下方的 [儲存]。
Google 會在管理員稽核記錄中建立項目,表示已變更這項政策。
預設的單一登入 (SSO) 後驗證設定,取決於單一登入 (SSO) 使用者類型:
- 如果使用者透過舊版單一登入 (SSO) 設定檔登入,預設設定會略過額外的登入身分確認問題和兩步驟驗證機制。
- 如果使用者透過單一登入 (SSO) 設定檔登入,預設設定會套用額外的登入身分確認問題和兩步驟驗證機制。