Configurações e manutenção opcionais do SSO

Como rotacionar certificados

Se você enviar dois certificados para um perfil de SSO SAML, o Google poderá usar qualquer um deles para validar uma resposta SAML do IdP. Isso permite que você faça a rotação segura de um certificado que está prestes a expirar no lado do IdP. Siga estas etapas pelo menos 24 horas antes da expiração de um certificado:

Crie um novo certificado no IdP.
Faça upload do certificado como o segundo certificado no Admin Console. Para instruções, consulte Criar um perfil SAML.
Aguarde 24 horas para que as contas de usuário do Google sejam atualizadas com o novo certificado.
Configure o IdP para usar o novo certificado em vez do que está expirando.
(Opcional) Depois que os usuários confirmarem que podem fazer login, remova o certificado antigo do Admin Console. Você poderá fazer upload de um novo certificado no futuro, conforme necessário.

Gerenciar URLs de serviço específicos do domínio

A configuração URLs de serviço específicos do domínio permite controlar o que acontece quando os usuários fazem login com URLs de serviço como https://mail.google.com/a/example.com.

Faça login no Google Admin Console.
Use sua conta de administrador (não termina em @gmail.com).
No Admin Console, acesse Menu SegurançaAutenticaçãoSSO com IdP de terceiros.
Clique em URLs de serviço específicos do domínio para abrir as configurações.

Existem duas opções:

Direcione os usuários ao IdP de terceiros. Escolha esta opção para sempre direcionar esses usuários para o IdP de terceiros que você selecionar na lista suspensa do perfil de SSO. Pode ser o perfil de SSO da organização ou outro perfil de terceiros (se você tiver adicionado um).
Importante: se você tiver unidades organizacionais ou grupos que não usam o SSO, não escolha essa configuração. Os usuários que não usam o SSO serão direcionados automaticamente para o IdP e não poderão fazer login.
Exigir que os usuários digitem o nome de usuário na página de login do Google. Com essa opção, primeiro os usuários que digitam URLs específicos do domínio são enviados à página de login do Google. Se eles forem usuários do SSO, serão redirecionados para a página de login do IdP.

Resultados do mapeamento de rede

As máscaras de rede são endereços IP representados com a notação do roteamento entre domínios sem classe (CIDR). O CIDR especifica quantos bits do endereço IP são incluídos. O perfil de SSO da sua organização pode usar máscaras de rede para determinar quais endereços IP ou intervalos de endereços IP serão apresentados com o serviço de SSO.

Observação: nas configurações das máscaras de rede, apenas URLs de serviço específicos do domínio, como serviço.google.com/a/example.com, redirecionam para a página de login via SSO.

É importante que cada máscara de rede use o formato correto. No exemplo do IPv6 abaixo, a barra (/) e o número depois da barra representam o CIDR. Os últimos 96 bits não são considerados, e todos os IPs no intervalo de rede são afetados.

2001:db8::/32

Neste exemplo do IPv4, os últimos 8 bits (o zero) não são levados em conta, e todos os IPs no intervalo 64.233.187.0–64.233.187.255 são afetados.

64.233.187.0/24

Em domínios sem máscara de rede, é preciso adicionar usuários que não sejam superadministradores ao Provedor de identidade (idP).

Experiência do usuário do SSO ao acessar URLs de serviços do Google

A tabela a seguir mostra a experiência do usuário em visitas diretas aos URLs dos Serviços do Google, com e sem uma máscara de rede:

Sem máscara de rede	Os superadministradores são:	Os usuários são:
service.google.com	Solicitados de endereço de e-mail e senha do Google.	Solicitados a informar o endereço de e-mail e, em seguida, redirecionados para a página de login do SSO.
Com máscara de rede	Os superadministradores e usuários são:
service.google.com	Solicitados do endereço de e-mail e senha.
serviço.google.com /a/your_domain.com* (dentro de uma máscara de rede)	Redirecionados para a página de login do SSO.
service.google.com /a/your_domain.com (fora de uma máscara de rede)	Solicitados do endereço de e-mail e senha.
accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com	Os usuários que acessam o endpoint do OAuth 2.0 do Google usando o parâmetro de URL login_hint são redirecionados para a página de login do SSO.

* Nem todos os serviços são compatíveis com esse padrão do URL. Exemplos de serviços que fazem isso são o Gmail e o Drive.

Expiração da sessão quando uma máscara de rede está configurada

Esta seção só será aplicável a você se todas estas condições forem verdadeiras:

Seu domínio tem SSO com um IdP de terceiros.
Seu domínio tem uma máscara de rede.
Um usuário conectado por meio do IdP de terceiros (consulte a tabela em "Matriz de mapeamento de usuário/rede SSO").

Uma sessão ativa do Google pode ser encerrada, e o usuário talvez precise fazer uma nova autenticação nestas situações:

A sessão do usuário atinge a duração máxima permitida, conforme especificado na configuração do controle de sessão do Google no Admin Console.
O administrador modificou a conta do usuário alterando a senha ou exigindo que o usuário altere a senha no próximo login (por meio do Admin Console ou do SDK Admin).

Experiência do usuário

Se o usuário iniciou a sessão em um IdP de terceiros, a sessão será apagada e o usuário será redirecionado para a página de login do Google.

Como o usuário iniciou a sessão do Google em um IdP de terceiros, ele pode não entender por que precisa fazer login no Google para recuperar o acesso à conta. Os usuários podem ser redirecionados para uma página de Login do Google, mesmo quando tentam acessar outros URLs do Google.

Se você estiver planejando alguma manutenção que inclua o encerramento de sessões ativas, peça aos usuários que saiam das sessões e permaneçam desconectados até que a manutenção seja concluída.

Recuperação de usuários

Quando aparecer a página de login do Google porque a sessão ativa foi encerrada, o usuário pode recuperar o acesso à conta seguindo um destes procedimentos:

Se aparecer a mensagem "Se você acessou esta página por engano, clique neste link para sair e tente fazer login novamente", o usuário poderá clicar no link da mensagem.
Se a mensagem ou o link não aparecer, o usuário sairá e fará login novamente acessando https://accounts.google.com/logout.
O usuário pode limpar os cookies do navegador.

Depois de utilizar um dos métodos de recuperação, a sessão do Google será encerrada, e o usuário poderá fazer login.

Configurar a verificação em duas etapas com SSO

Faça login no Google Admin Console.
Use sua conta de administrador (não termina em @gmail.com).
No Admin Console, acesse Menu SegurançaAutenticaçãoDesafios de login.
À esquerda, selecione a unidade organizacional em que você quer definir a política.
Para incluir todos os usuários, selecione a unidade organizacional de nível superior. Inicialmente, as unidades organizacionais herdam as configurações da unidade organizacional mãe.
Clique em Verificação pós-SSO.
Escolha as configurações de acordo com a forma como você usa os perfis de SSO na sua organização. Você pode aplicar uma configuração aos usuários que usam o perfil de SSO legado e aos que fazem login com outros perfis de SSO.
No canto inferior direito, clique em Salvar.
O Google cria uma entrada no registro de auditoria do administrador para indicar qualquer alteração da política.

A configuração padrão da verificação pós-SSO depende do tipo de usuário do SSO:

Para os usuários que fazem login com o perfil SSO legado, a configuração padrão é ignorar os desafios de login adicionais e a verificação em duas etapas.
Para os usuários que fazem login com outros perfis de SSO, a configuração padrão é aplicar mais desafios de login e a verificação em duas etapas.

Consulte também

Isso foi útil?

Como podemos melhorá-lo?