Optionele SSO-instellingen en -onderhoud

Certificaten laten rouleren

Als u 2 certificaten uploadt naar een SAML SSO-profiel, kan Google beide certificaten gebruiken om een SAML-reactie van uw IdP te valideren. Zo kunt u een verlopen certificaat veiliger laten rouleren aan de IdP-zijde. Volg deze stappen minstens 24 uur voordat een certificaat verloopt:

  1. Maak een nieuw certificaat bij de IdP.
  2. Upload het certificaat als 2e certificaat naar de Beheerdersconsole. Ga naar Een SAML-profiel maken voor instructies.
  3. Wacht 24 uur zodat de Google-gebruikersaccounts kunnen worden geüpdatet met het nieuwe certificaat.
  4. Stel de IdP in om het nieuwe certificaat te gebruiken in plaats van het certificaat dat verloopt.
  5. (Optioneel) Nadat gebruikers hebben bevestigd dat ze kunnen inloggen, verwijdert u het oude certificaat uit de Beheerdersconsole. U kunt later zo nodig een nieuw certificaat uploaden.

Domeinspecifieke service-URL's beheren

Met de instelling Domeinspecifieke service-URL's bepaalt u wat er gebeurt als gebruikers inloggen met service-URL's als https://mail.google.com/a/example.com.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Beveiligingand then Verificatieand then SSO met IdP van derden.
  3. Klik op Domeinspecifieke service-URL's om de instellingen te openen.

Er zijn 2 opties:

  • Gebruikers omleiden naar de IdP van derden. Kies deze optie om deze gebruikers altijd door te sturen naar de IdP van derden die u selecteert in het dropdownmenu voor het SSO-profiel. Dit kan het SSO-profiel voor uw organisatie zijn of een ander profiel van derden (als u er een heeft toegevoegd).

    Belangrijk: Als u organisatie-eenheden of groepen heeft die geen SSO gebruiken, kiest u deze instelling niet. Uw niet-SSO-gebruikers worden automatisch omgeleid naar de IdP en kunnen niet inloggen.

  • Vereisen dat gebruikers eerst hun gebruikersnaam invullen op de inlogpagina van Google. Als u deze optie kiest, worden gebruikers die domeinspecifieke URL's invullen eerst naar de inlogpagina van Google gestuurd. Als ze SSO-gebruikers zijn, worden ze omgeleid naar de inlogpagina van de IdP.

Resultaten netwerktoewijzingen

Netwerkmaskers zijn IP-adressen die worden weergegeven met CIDR (Classless Inter-Domain Routing). De CIDR specificeert hoeveel bits van het IP-adres moeten worden meegenomen. Het SSO-profiel voor uw organisatie kan netwerkmaskers gebruiken om te bepalen welke IP-adressen of welke reeksen IP-adressen worden voorzien van de SSO-service.

Opmerking: Voor de instellingen voor netwerkmaskers worden momenteel alleen domeinspecifieke service-URL's, zoals service.google.com/a/example.com, omgeleid naar de SSO-inlogpagina.

Het is belangrijk dat elk netwerkmasker de juiste indeling krijgt. In het volgende IPv6-voorbeeld vertegenwoordigen de slash (/) en het nummer erna de CIDR. Er wordt geen rekening gehouden met de laatste 96 bits, en alle IP-adressen die zich in dat netwerkbereik bevinden, worden beïnvloed.

  • 2001:db8::/32

In dit IPv4-voorbeeld wordt er geen rekening gehouden met de laatste acht bits (dus de nul) en alle IP-adressen die zich tussen 64.233.187.0 en 64.233.187.255 bevinden, worden beïnvloed.

  • 64.233.187.0/24

Voeg in domeinen zonder netwerkmasker gebruikers die geen superbeheerder zijn toe aan de identiteitsprovider (IdP).

SSO-gebruikerservaring bij het bezoeken van Google-service-URL's

De volgende tabel toont de gebruikerservaring voor rechtstreekse bezoeken aan Google-service-URL's, met en zonder netwerkmasker:

Zonder netwerkmasker Hoofdbeheerders: Gebruikers:
service.google.com Worden gevraagd hun e-mailadres en wachtwoord van het Google-account in te voeren. Worden gevraagd hun e-mailadres in te voeren en worden daarna omgeleid naar de SSO-inlogpagina.
Met netwerkmasker Hoofdbeheerders en gebruikers:
service.google.com Worden gevraagd om hun e-mailadres en wachtwoord.
service.google.com
/a/uw_domein.com*
(binnen netwerkmasker)		 De gebruiker wordt omgeleid naar de SSO-inlogpagina.
service.google.com
/a/uw_domein.com
(buiten netwerkmasker
)		 Worden gevraagd om hun e-mailadres en wachtwoord.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Gebruikers die het OAuth 2.0-eindpunt van Google openen met de URL-parameter login_hint, worden omgeleid naar de SSO-inlogpagina.

* Niet alle services ondersteunen dit URL-patroon. Voorbeelden van services die dit wel ondersteunen, zijn Gmail en Drive.

Sessieverloop als een netwerkmasker is geconfigureerd 
Dit gedeelte geldt alleen voor uw organisatie als u aan al deze voorwaarden voldoet:
  • Uw domein gebruikt SSO met een IdP van derden.
  • Uw domein gebruikt een netwerkmasker.
  • Een gebruiker is ingelogd via de IdP van derden (zie de tabel 'Matrix voor gebruikers-/netwerktoewijzingen SSO').
In de volgende situaties kan de actieve Google-sessie van een gebruiker worden beëindigd, waarna de gebruiker wordt gevraagd opnieuw te bevestigen:
  • De gebruikerssessie heeft de maximum toegestane duur bereikt die is opgegeven in de instelling Beheer van Google-sessie in de Beheerdersconsole.
  • De beheerder heeft het gebruikersaccount aangepast (via de Beheerdersconsole of de Admin SDK) door het wachtwoord te wijzigen of te vereisen dat de gebruiker het wachtwoord wijzigt wanneer deze de volgende keer inlogt.

Gebruikerservaring

Als de gebruiker de sessie start via een IdP van derden, wordt de sessie gewist en wordt de gebruiker omgeleid naar de pagina 'Inloggen bij Google'.

Omdat de gebruiker de Google-sessie is gestart via een IdP van derden, begrijpt de gebruiker wellicht niet waarom deze moet inloggen bij Google om weer toegang te krijgen tot het account. Gebruikers kunnen zelfs naar de pagina 'Inloggen bij Google' worden geleid als ze naar andere Google-URL's proberen te gaan.

Als u onderhoud plant waarmee actieve gebruikerssessies worden beëindigd en verwarring bij gebruikers wilt voorkomen, vraagt u uw gebruikers uit te loggen bij hun sessie en uitgelogd te blijven tot het onderhoud is voltooid.

Herstel door gebruikers

Wanneer een gebruiker de pagina 'Inloggen bij Google' ziet omdat de actieve sessie is beëindigd, kan deze op een van de volgende manieren weer toegang krijgen tot het account:

  • Als de gebruiker de melding 'Als je per ongeluk op deze pagina bent terechtgekomen, klik je hier om uit te loggen. Log vervolgens weer in' ziet, kan deze op de link in de melding klikken.
  • Als de gebruiker deze melding of link niet ziet, moet deze uitloggen en weer inloggen via https://accounts.google.com/logout.
  • De gebruiker kan ook de browsercookies wissen.

Als de gebruiker een van deze herstelmethoden heeft gebruikt, wordt de Google-sessie volledig beëindigd en kan de gebruiker weer inloggen. 

Verificatie in 2 stappen instellen met SSO

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Beveiligingand thenVerificatieand thenInlogchallenges.
  3. Selecteer links de organisatie-eenheid waarvoor u het beleid wilt instellen.

    Selecteer de organisatie op het hoogste niveau als u wilt dat de instellingen gelden voor alle gebruikers. Een organisatie-eenheid neemt in eerste instantie de instellingen over van de bovenliggende organisatie-eenheid.

  4. Klik op Verificatie na SSO.
  5. Kies de instellingen op basis van hoe u SSO-profielen in uw organisatie gebruikt. U kunt een instelling toepassen voor gebruikers die het verouderde SSO-profiel gebruiken en voor gebruikers die inloggen met andere SSO-profielen.
  6. Klik rechtsonder op Opslaan.

    Google maakt een invoer in het controlelogboek voor beheerders waarin staat dat een beleid is gewijzigd.

De standaardinstelling voor verificatie na SSO hangt af van het type SSO-gebruiker:

  • Voor gebruikers die inloggen met het verouderde SSO-profiel is de standaardinstelling dat aanvullende inlogcontroles en verificatie in 2 stappen worden overgeslagen.
  • Voor gebruikers die inloggen met andere SSO-profielen worden standaard aanvullende inlogcontroles en verificatie in 2 stappen toegepast.

Zie ook

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
5516405135116070545
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false