Opcjonalne ustawienia SSO i konserwacja

Jak wymieniać certyfikaty

Jeśli prześlesz 2 certyfikaty do profilu logowania jednokrotnego przez SAML, Google może użyć dowolnego z nich do zweryfikowania odpowiedzi SAML od dostawcy tożsamości. Dzięki temu możesz bezpiecznie zastąpić certyfikat, który wygasa, certyfikatem po stronie dostawcy tożsamości. Co najmniej 24 godziny przed wygaśnięciem certyfikatu wykonaj te czynności:

  1. Utwórz nowy certyfikat u dostawcy tożsamości.
  2. Prześlij certyfikat jako drugi certyfikat do konsoli administracyjnej. Instrukcje znajdziesz w artykule na temat tworzenia profilu przez SAML.
  3. Poczekaj 24 godziny, aż konta użytkowników Google zostaną zaktualizowane o nowy certyfikat.
  4. Skonfiguruj dostawcę tożsamości, aby używał nowego certyfikatu zamiast wygasającego.
  5. (Opcjonalnie) Gdy użytkownicy potwierdzą, że mogą się zalogować, usuń stary certyfikat z konsoli administracyjnej. W razie potrzeby możesz w przyszłości przesłać nowy certyfikat.

Zarządzanie adresami URL usług specyficznymi dla domeny

Ustawienie URL-e usług specyficzne dla domeny pozwala kontrolować, co się dzieje, gdy użytkownicy logują się za pomocą adresów URL usług, takich jak https://mail.google.com/a/example.com.

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz Menu  a potem  Zabezpieczenia > Uwierzytelnianie > Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. Kliknij URL-e usług specyficzne dla domeny, aby otworzyć ustawienia.

Dostępne są 2 opcje:

  • Kieruj użytkowników do zewnętrznego dostawcy tożsamości – wybierz tę opcję, aby zawsze kierować użytkowników do zewnętrznego dostawcy tożsamości wybranego na liście profili logowania jednokrotnego. Może to być profil logowania jednokrotnego w Twojej organizacji lub inny profil (jeśli został dodany).

    Ważne: jeśli masz jednostki organizacyjne lub grupy, które nie korzystają z logowania jednokrotnego, nie wybieraj tego ustawienia. Użytkownicy bez dostępu do logowania jednokrotnego zostaną automatycznie przekierowani na stronę dostawcy tożsamości i nie będą mogli się zalogować.

  • Wymagaj od użytkowników wpisania nazwy użytkownika na stronie logowania Google. W przypadku tej opcji użytkownicy, którzy wpiszą adresy URL właściwe dla domeny, są najpierw kierowani na stronę logowania Google. Jeśli użytkownik korzysta z logowania jednokrotnego, zostanie przekierowany na stronę logowania dostawcy tożsamości.

Wyniki mapowania sieci

Maski sieci to adresy IP przedstawione w notacji CIDR (Classless Inter-Domain Routing). Notacja CIDR określa, ile bitów adresu IP należy uwzględniać. Profil SSO w Twojej organizacji może używać masek sieci do ustalania, którym adresom IP lub zakresom adresów IP należy udostępniać usługę logowania jednokrotnego.

Uwaga: obecnie w przypadku ustawień masek sieci na stronę logowania jednokrotnego przekierowują tylko adresy URL usługi właściwe dla domeny, na przykład usluga.google.com/a/example.com.

To istotne, aby każda maska sieci miała prawidłowy format. W poniższym przykładzie adresu IPv6 ukośnik (/) i znajdująca się za nim liczba przedstawiają notację CIDR. Ostatnie 96 bitów nie jest brane pod uwagę, a w tym przedziale sieci znajdą się wszystkie adresy IP.

  • 2001:db8::/32

W tym przykładzie adresu IPv4 nie będzie brane pod uwagę ostatnie 8 bitów (wartość zero), a w przedziale znajdą się wszystkie adresy IP z zakresu od 64.233.187.0 do 64.233.187.255.

  • 64.233.187.0/24

W przypadku domen bez maski sieci do dostawcy tożsamości (IdP) dodaj użytkowników, którzy nie są superużytkownikami.

Korzystanie z logowania jednokrotnego podczas odwiedzania adresów URL usług Google

Tabela poniżej przedstawia sposób, w jaki użytkownicy będą korzystać z adresów URL usług Google, gdy będą je otwierać bezpośrednio, z maską sieci lub bez niej:

Bez maski sieci Superadministratorzy: Użytkownicy:
usługa.google.com Otrzymają prośbę o podanie adresu e-mail i hasła Google. Otrzymają prośbę o podanie adresu e-mail, a potem zostaną przekierowani na stronę logowania jednokrotnego.
Z maską sieci Superadministratorzy i użytkownicy:
usługa.google.com Otrzymają prośbę o podanie adresu e-mail i hasła.
usluga.google.com
/a/your_domain.com*
(wewnątrz maski sieci)		 Zostaną przekierowani na stronę logowania jednokrotnego.
usluga.google.com
/a/your_domain.com
(poza maską sieci)
 Otrzymają prośbę o podanie adresu e-mail i hasła.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Użytkownicy, którzy uzyskują dostęp do punktu końcowego OAuth 2.0 w Google za pomocą parametru URL login_hint, są przekierowywani na stronę logowania jednokrotnego.

* Nie wszystkie usługi obsługują ten wzorzec adresu URL. Przykładami takich usług są Gmail i Dysk.

Wygaśnięcie sesji po skonfigurowaniu maski sieci
Ta sekcja dotyczy Cię tylko wtedy, gdy spełnione są wszystkie poniższe warunki:
  • Twoja domena oferuje logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
  • Domena ma maskę sieci.
  • Użytkownik zalogował się przy użyciu zewnętrznego dostawcy tożsamości (patrz tabela w sekcji „Tabela mapowania sieci i użytkowników logowania jednokrotnego”).
Aktywna sesja Google użytkownika może zostać zakończona, a użytkownik może zostać poproszony o ponowne uwierzytelnienie się, gdy:
  • sesja użytkownika osiągnie maksymalny dozwolony czas trwania określony w ustawieniu Kontrola sesji Google w konsoli administracyjnej,
  • administrator zmodyfikuje konto użytkownika przez zmianę hasła lub włączenie wymagania zmiany hasła przy następnym logowaniu (w konsoli administracyjnej lub przy użyciu pakietu Admin SDK).

Interfejs użytkownika

Jeśli użytkownik zainicjował sesję u zewnętrznego dostawcy tożsamości, sesja zostanie wyczyszczona, a użytkownik – przekierowany na stronę logowania Google.

Użytkownik zainicjował sesję Google u zewnętrznego dostawcy tożsamości, może więc nie rozumieć, dlaczego musi zalogować się w Google, aby odzyskać dostęp do swojego konta. Użytkownicy mogą zostać przekierowani na stronę logowania Google, nawet jeśli spróbują przejść na inne adresy URL Google.

Jeśli planujesz konserwację, która obejmuje zakończenie aktywnych sesji użytkowników, i chcesz uniknąć dezorientowania użytkowników, poproś ich, aby wylogowali się z sesji i pozostali wylogowani, dopóki konserwacja nie zostanie zakończona.

Odzyskiwanie konta użytkownika

Gdy użytkownik zobaczy stronę logowania Google z powodu zakończenia jego aktywnej sesji, może odzyskać dostęp do swojego konta, wykonując jedną z tych czynności:

  • Gdy użytkownik zobaczy komunikat „Jeśli ta strona wyświetliła się w wyniku błędu, kliknij tutaj, by się wylogować i ponownie zalogować”, może kliknąć link w tym komunikacie.
  • Jeśli użytkownik nie zobaczy tego komunikatu ani linku, może się wylogować i ponownie zalogować na stronie https://accounts.google.com/logout.
  • Użytkownik może wyczyścić pliki cookie przeglądarki.

Po użyciu jednej z metod odzyskiwania sesja Google zostanie całkowicie zakończona i będzie można się zalogować.

Konfigurowanie weryfikacji dwuetapowej z logowaniem jednokrotnym

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz menu  a potem  Bezpieczeństwo > Uwierzytelnianie > Testy zabezpieczające logowanie.

    Wymaga uprawnień administratora Zarządzanie zabezpieczeniami użytkowników.

  3. Po lewej wybierz jednostkę organizacyjną, w której chcesz skonfigurować zasadę.

    Aby ustawienia obejmowały wszystkich użytkowników, wybierz jednostkę organizacyjną najwyższego poziomu. Początkowo jednostki organizacyjne dziedziczą ustawienia organizacji nadrzędnej.

  4. Kliknij Weryfikacja po logowaniu jednokrotnym.
  5. Wybierz ustawienia zgodnie ze sposobem używania profili SSO w organizacji. Możesz zastosować ustawienie dla użytkowników, którzy korzystają ze starszego profilu SSO, oraz dla użytkowników, którzy logują się przy użyciu innych profili SSO.
  6. W prawym dolnym rogu kliknij Zapisz.

    Google tworzy wpis w dzienniku kontrolnym administratora, aby wskazać zmianę zasad.

Domyślne ustawienie weryfikacji po logowaniu jednokrotnym zależy od typu użytkownika logowania jednokrotnego:

  • W przypadku użytkowników logujących się przy użyciu starszego profilu SSO domyślnym ustawieniem jest pominięcie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.
  • W przypadku użytkowników logujących się przy użyciu profili SSO domyślnym ustawieniem jest stosowanie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.

Zobacz też

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
14821722068379085310
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false
false
false