Opcjonalne ustawienia SSO i konserwacja

Jak wymieniać certyfikaty

Jeśli prześlesz 2 certyfikaty do profilu logowania jednokrotnego przez SAML, Google może użyć dowolnego z nich do zweryfikowania odpowiedzi SAML od dostawcy tożsamości. Dzięki temu możesz bezpiecznie zastąpić certyfikat, który wygasa, certyfikatem po stronie dostawcy tożsamości. Co najmniej 24 godziny przed wygaśnięciem certyfikatu wykonaj te czynności:

  1. Utwórz nowy certyfikat u dostawcy tożsamości.
  2. Prześlij certyfikat jako drugi certyfikat do konsoli administracyjnej. Instrukcje znajdziesz w artykule na temat tworzenia profilu przez SAML.
  3. Poczekaj 24 godziny, aż konta użytkowników Google zostaną zaktualizowane o nowy certyfikat.
  4. Skonfiguruj dostawcę tożsamości, aby używał nowego certyfikatu zamiast wygasającego.
  5. (Opcjonalnie) Gdy użytkownicy potwierdzą, że mogą się zalogować, usuń stary certyfikat z konsoli administracyjnej. W razie potrzeby możesz w przyszłości przesłać nowy certyfikat.

Zarządzanie adresami URL usług specyficznymi dla domeny

Ustawienie URL-e usług specyficzne dla domeny pozwala kontrolować, co się dzieje, gdy użytkownicy logują się za pomocą adresów URL usług, takich jak https://mail.google.com/a/example.com.

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz Menu  a potem  Zabezpieczenia > Uwierzytelnianie > Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. Kliknij URL-e usług specyficzne dla domeny, aby otworzyć ustawienia.

Dostępne są 2 opcje:

  • Kieruj użytkowników do zewnętrznego dostawcy tożsamości – wybierz tę opcję, aby zawsze kierować użytkowników do zewnętrznego dostawcy tożsamości wybranego na liście profili logowania jednokrotnego. Może to być profil logowania jednokrotnego w Twojej organizacji lub inny profil (jeśli został dodany).

    Ważne: jeśli masz jednostki organizacyjne lub grupy, które nie korzystają z logowania jednokrotnego, nie wybieraj tego ustawienia. Użytkownicy bez dostępu do logowania jednokrotnego zostaną automatycznie przekierowani na stronę dostawcy tożsamości i nie będą mogli się zalogować.

  • Wymagaj od użytkowników wpisania nazwy użytkownika na stronie logowania Google. W przypadku tej opcji użytkownicy, którzy wpiszą adresy URL właściwe dla domeny, są najpierw kierowani na stronę logowania Google. Jeśli użytkownik korzysta z logowania jednokrotnego, zostanie przekierowany na stronę logowania dostawcy tożsamości.

Wyniki mapowania sieci

Maski sieci to adresy IP przedstawione w notacji CIDR (Classless Inter-Domain Routing). Notacja CIDR określa, ile bitów adresu IP należy uwzględniać. Profil SSO w Twojej organizacji może używać masek sieci do ustalania, którym adresom IP lub zakresom adresów IP należy udostępniać usługę logowania jednokrotnego.

Uwaga: obecnie w przypadku ustawień masek sieci na stronę logowania jednokrotnego przekierowują tylko adresy URL usługi właściwe dla domeny, na przykład usluga.google.com/a/example.com.

To istotne, aby każda maska sieci miała prawidłowy format. W poniższym przykładzie adresu IPv6 ukośnik (/) i znajdująca się za nim liczba przedstawiają notację CIDR. Ostatnie 96 bitów nie jest brane pod uwagę, a w tym przedziale sieci znajdą się wszystkie adresy IP.

  • 2001:db8::/32

W tym przykładzie adresu IPv4 nie będzie brane pod uwagę ostatnie 8 bitów (wartość zero), a w przedziale znajdą się wszystkie adresy IP z zakresu od 64.233.187.0 do 64.233.187.255.

  • 64.233.187.0/24

W przypadku domen bez maski sieci do dostawcy tożsamości (IdP) dodaj użytkowników, którzy nie są superużytkownikami.

Konfigurowanie weryfikacji dwuetapowej z logowaniem jednokrotnym

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz menu  a potem  Bezpieczeństwo > Uwierzytelnianie > Testy zabezpieczające logowanie.

    Wymaga uprawnień administratora Zarządzanie zabezpieczeniami użytkowników.

  3. Po lewej wybierz jednostkę organizacyjną, w której chcesz skonfigurować zasadę.

    Aby ustawienia obejmowały wszystkich użytkowników, wybierz jednostkę organizacyjną najwyższego poziomu. Początkowo jednostki organizacyjne dziedziczą ustawienia organizacji nadrzędnej.

  4. Kliknij Weryfikacja po logowaniu jednokrotnym.
  5. Wybierz ustawienia zgodnie ze sposobem używania profili SSO w organizacji. Możesz zastosować ustawienie dla użytkowników, którzy korzystają ze starszego profilu SSO, oraz dla użytkowników, którzy logują się przy użyciu innych profili SSO.
  6. W prawym dolnym rogu kliknij Zapisz.

    Google tworzy wpis w dzienniku kontrolnym administratora, aby wskazać zmianę zasad.

Domyślne ustawienie weryfikacji po logowaniu jednokrotnym zależy od typu użytkownika logowania jednokrotnego:

  • W przypadku użytkowników logujących się przy użyciu starszego profilu SSO domyślnym ustawieniem jest pominięcie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.
  • W przypadku użytkowników logujących się przy użyciu profili SSO domyślnym ustawieniem jest stosowanie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.

Zobacz też

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

3561886805249501582
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false
false
false
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne