Configurações e manutenção opcionais do SSO

Como rotacionar certificados

Se você enviar dois certificados para um perfil de Logon único (SSO) SAML, o Google poderá usar qualquer um deles para validar uma resposta SAML do IdP. Isso permite que você faça a rotação segura de um certificado que está prestes a expirar no lado do IdP. Siga estas etapas pelo menos 24 horas antes da expiração de um certificado:

  1. Crie um novo certificado no IdP.
  2. Faça upload do certificado como o segundo certificado no Admin Console. Para instruções, consulte Criar um perfil SAML.
  3. Aguarde 24 horas para que as contas de usuário do Google sejam atualizadas com o novo certificado.
  4. Configure o IdP para usar o novo certificado em vez do que está expirando.
  5. (Opcional) Depois que os usuários confirmarem que podem fazer login, remova o certificado antigo do Admin Console. Você poderá fazer upload de um novo certificado no futuro, conforme necessário.

Usar o e-mail do preenchimento automático para simplificar os logins do SSO

Para ajudar os usuários a fazer login, ative a opção Preencher e-mail automaticamente ao criar ou atualizar um perfil de logon único (SSO) SAML de entrada. 

O preenchimento automático de e-mail preenche automaticamente o campo de endereço de e-mail na página de login do seu provedor de identidade de terceiros (IdP). Portanto, os usuários só precisam inserir a senha. É possível ativar a opção Preencher e-mail automaticamente ao criar ou atualizar um perfil de SSO SAML de entrada.

O preenchimento automático de e-mail usa um parâmetro de sugestão de login para enviar com segurança os endereços de e-mail dos usuários ao IdP. Esse parâmetro é um recurso comum que muitos IdPs de terceiros oferecem suporte para logins iniciados pelo IdP. 

O parâmetro da dica de login não é padronizado. Por isso, diferentes IdPs usam variações diferentes, como:

  • login_hint: (compatível com IdPs como o Microsoft Entra)
  • LoginHint: (compatível com IdPs como o Okta)

Devido a essas variações, você precisa confirmar qual formato seu IdP aceita e escolher a configuração correspondente no Google Admin Console.

Opções para ativar o preenchimento automático de e-mail

Abrir seção  |  Recolher tudo

Ativar o preenchimento automático de e-mail em um novo perfil
  1. Faça login com uma conta de admin no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. Acesse Menu e depois Segurança > Autenticação > SSO com IdP de terceiros.

    Exige o privilégio de administrador Configurações de segurança.

  3. Na seção Perfis de SSO de terceiros, clique em Adicionar perfil SAML.
  4. Em Perfil de SSO via SAML, insira um nome de perfil.
  5. Em Preencher e-mail automaticamente, selecione a opção que corresponde ao formato de sugestão de login compatível com seu IdP. 
  6. Na seção Detalhes do IdP , siga estas etapas:
    1. Digite o ID da entidade do IdP, o URL da página de login e o URL da página de logout que você recebeu do IdP.
    2. Em URL para alteração de senha, digite um URL para alteração de senha para seu IdP.
      Os usuários vão acessar esse URL para redefinir as senhas.
  7. Clique em Salvar e continue criando o perfil.
Ativar o preenchimento automático de e-mail em um perfil atual
  1. Faça login com uma conta de admin no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. Acesse Menu e depois Segurança > Autenticação > SSO com IdP de terceiros.

    Exige o privilégio de administrador Configurações de segurança.

  3. Na seção Perfis de SSO de terceiros, clique no perfil que você quer atualizar.
  4. Clique em Detalhes do SP
  5. Em Preencher e-mail automaticamente, selecione a opção que corresponde ao formato de sugestão de login compatível com seu IdP. 
  6. Clique em Salvar.

Gerenciar URLs de serviço específicos do domínio

A configuração URLs de serviço específicos do domínio permite controlar o que acontece quando os usuários fazem login com URLs de serviço como https://mail.google.com/a/example.com.

  1. Faça login com uma conta de admin no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. Acesse Menu e depois Segurança > Autenticação > SSO com IdP de terceiros.

    Exige o privilégio de administrador Configurações de segurança.

  3. Clique em URLs de serviço específicos do domínio para abrir as configurações.

Existem duas opções:

  • Direcione os usuários ao IdP de terceiros. Escolha esta opção para sempre direcionar esses usuários para o IdP de terceiros que você selecionar na lista suspensa do perfil de SSO. Pode ser o perfil de SSO da organização ou outro perfil de terceiros (se você tiver adicionado um).

    Importante: se você tiver unidades organizacionais ou grupos que não usam o SSO, não escolha essa configuração. Os usuários que não usam o SSO serão direcionados automaticamente para o IdP e não poderão fazer login.

  • Exigir que os usuários digitem o nome de usuário na página de login do Google. Com essa opção, primeiro os usuários que digitam URLs específicos do domínio são enviados à página de login do Google. Se eles forem usuários do SSO, serão redirecionados para a página de login do IdP.

Resultados do mapeamento de rede

As máscaras de rede são endereços IP representados com a notação do roteamento entre domínios sem classe (CIDR). O CIDR especifica quantos bits do endereço IP são incluídos. O perfil de SSO da sua organização pode usar máscaras de rede para determinar quais endereços IP ou intervalos de endereços IP serão apresentados com o serviço de SSO.

Observação: nas configurações das máscaras de rede, apenas URLs de serviço específicos do domínio, como serviço.google.com/a/example.com, redirecionam para a página de login via SSO.

É importante que cada máscara de rede use o formato correto. No exemplo do IPv6 abaixo, a barra (/) e o número depois da barra representam o CIDR. Os últimos 96 bits não são considerados, e todos os IPs no intervalo de rede são afetados.

  • 2001:db8::/32

Neste exemplo do IPv4, os últimos 8 bits (o zero) não são levados em conta, e todos os IPs no intervalo 64.233.187.0–64.233.187.255 são afetados.

  • 64.233.187.0/24

Em domínios sem máscara de rede, é preciso adicionar usuários que não sejam superadministradores ao Provedor de identidade (idP).

Experiência do usuário do SSO ao acessar URLs de serviços do Google

A tabela a seguir mostra a experiência do usuário em visitas diretas aos URLs dos Serviços do Google, com e sem uma máscara de rede:

Sem máscara de rede Os superadministradores são: Os usuários são:
service.google.com Solicitados de endereço de e-mail e senha do Google. Solicitados a informar o endereço de e-mail e, em seguida, redirecionados para a página de login do SSO.
Com máscara de rede Os superadministradores e usuários são:
service.google.com Solicitados do endereço de e-mail e senha.
serviço.google.com
/a/your_domain.com*
(dentro de uma máscara de rede)		 Redirecionados para a página de login do SSO.
service.google.com
/a/your_domain.com
(fora de uma máscara de
rede)		 Solicitados do endereço de e-mail e senha.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Os usuários que acessam o endpoint do OAuth 2.0 do Google usando o parâmetro de URL login_hint são redirecionados para a página de login do SSO.

* Nem todos os serviços são compatíveis com esse padrão do URL. Exemplos de serviços que fazem isso são o Gmail e o Drive.

Expiração da sessão quando uma máscara de rede está configurada
Esta seção só será aplicável a você se todas estas condições forem verdadeiras:
  • Seu domínio tem SSO com um IdP de terceiros.
  • Seu domínio tem uma máscara de rede.
  • Um usuário conectado por meio do IdP de terceiros (consulte a tabela em "Matriz de mapeamento de usuário/rede SSO").
Uma sessão ativa do Google pode ser encerrada, e o usuário talvez precise fazer uma nova autenticação nestas situações:
  • A sessão do usuário atinge a duração máxima permitida, conforme especificado na configuração do controle da sessão do Google no Admin Console.
  • O administrador modificou a conta do usuário alterando a senha ou exigindo que o usuário altere a senha no próximo login (por meio do Admin Console ou do SDK Admin).

Experiência do usuário

Se o usuário iniciou a sessão em um IdP de terceiros, a sessão será apagada e o usuário será redirecionado para a página de login do Google.

Como o usuário iniciou a sessão do Google em um IdP de terceiros, ele pode não entender por que precisa fazer login no Google para recuperar o acesso à conta. Os usuários podem ser redirecionados para uma página de Login do Google, mesmo quando tentam acessar outros URLs do Google.

Se você estiver planejando alguma manutenção que inclua o encerramento de sessões ativas, peça aos usuários que saiam das sessões e permaneçam desconectados até que a manutenção seja concluída.

Recuperação de usuários

Quando aparecer a página de login do Google porque a sessão ativa foi encerrada, o usuário pode recuperar o acesso à conta seguindo um destes procedimentos:

  • Se aparecer a mensagem "Se você acessou esta página por engano, clique neste link para sair e tente fazer login novamente", o usuário poderá clicar no link da mensagem.
  • Se a mensagem ou o link não aparecer, o usuário sairá e fará login novamente acessando https://accounts.google.com/logout.
  • O usuário pode limpar os cookies do navegador.

Depois de utilizar um dos métodos de recuperação, a sessão do Google será encerrada, e o usuário poderá fazer login.

Configurar a verificação em duas etapas com SSO

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisAutenticaçãoe depoisDesafios de login.

    Exige o privilégio de administrador Gerenciamento de segurança do usuário.

  2. À esquerda, selecione a unidade organizacional em que você quer definir a política.

    Para incluir todos os usuários, selecione a unidade organizacional de nível superior. Inicialmente, as unidades organizacionais herdam as configurações da unidade organizacional mãe.

  3. Clique em Verificação pós-SSO.
  4. Escolha as configurações de acordo com a forma como você usa os perfis de SSO na sua organização. Você pode aplicar uma configuração aos usuários que usam o perfil de SSO legado e aos que fazem login com outros perfis de SSO.
  5. No canto inferior direito, clique em Salvar.

    O Google cria uma entrada no registro de auditoria do administrador para indicar qualquer alteração da política.

A configuração padrão da verificação pós-SSO depende do tipo de usuário do SSO:

  • Para os usuários que fazem login com o perfil SSO legado, a configuração padrão é ignorar os desafios de login adicionais e a verificação em duas etapas.
  • Para os usuários que fazem login com outros perfis de SSO, a configuração padrão é aplicar mais desafios de login e a verificação em duas etapas.

Consulte também

 


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receba respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
10245456744072531823
true
Pesquisar na Central de Ajuda
false
true
true
true
true
true
73010
false
false
false
false