Opcjonalne ustawienia logowania jednokrotnego i konserwacja

Jak wymieniać certyfikaty

Jeśli prześlesz 2 certyfikaty do profilu logowania jednokrotnego (SSO) przez SAML, Google może użyć dowolnego z nich do zweryfikowania odpowiedzi SAML od dostawcy tożsamości. Dzięki temu możesz bezpiecznie zastąpić certyfikat, który wygasa, certyfikatem po stronie dostawcy tożsamości. Co najmniej 24 godziny przed wygaśnięciem certyfikatu wykonaj te czynności:

  1. Utwórz nowy certyfikat u dostawcy tożsamości.
  2. Prześlij certyfikat jako drugi certyfikat do konsoli administracyjnej. Instrukcje znajdziesz w artykule na temat tworzenia profilu przez SAML.
  3. Poczekaj 24 godziny, aż konta użytkowników Google zostaną zaktualizowane o nowy certyfikat.
  4. Skonfiguruj dostawcę tożsamości, aby używał nowego certyfikatu zamiast wygasającego.
  5. (Opcjonalnie) Gdy użytkownicy potwierdzą, że mogą się zalogować, usuń stary certyfikat z konsoli administracyjnej. W razie potrzeby możesz w przyszłości przesłać nowy certyfikat.

Korzystanie z autouzupełniania adresu e-mail do upraszczania logowania jednokrotnego

Aby ułatwić użytkownikom logowanie się, podczas tworzenia lub aktualizowania przychodzącego profilu logowania jednokrotnego przez SAML włącz Autouzupełnianie adresu e-mail.

Autouzupełnianie adresu e-mail automatycznie wypełnia pole adresu e-mail na stronie logowania zewnętrznego dostawcy tożsamości. Użytkownicy muszą tylko wpisać hasło. Możesz włączyć Autouzupełnianie adresu e-mail podczas tworzenia nowego przychodzącego profilu logowania jednokrotnego przez SAML lub aktualizowania istniejącego.

Autouzupełnienie adresu e-mail używa parametru podpowiedzi logowania, aby bezpiecznie przesyłać adresy e-mail użytkowników do dostawcy tożsamości. Ten parametr jest powszechną funkcją, którą wielu zewnętrznych dostawców tożsamości obsługuje w przypadku logowania inicjowanego przez dostawcę tożsamości.

Parametr podpowiedzi logowania nie jest znormalizowany, dlatego różni dostawcy tożsamości używają różnych wariantów, np.:

  • login_hint: (obsługiwany przez dostawców tożsamości, takich jak Microsoft Entra);
  • LoginHint: (obsługiwany przez dostawców tożsamości, takich jak Okta)

Ze względu na te różnice musisz sprawdzić, który format jest obsługiwany przez dostawcę tożsamości, i wybrać odpowiednie ustawienie w konsoli administracyjnej Google.

Opcje włączania autouzupełniania adresu e-mail

Otwórz sekcję  |  Zwiń wszystko

Włączanie autouzupełniania adresu e-mail w nowym profilu
  1. Zaloguj się na konto administratora w Konsola administracyjna Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz Menu  a potem  Zabezpieczenia > Uwierzytelnianie > Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. W sekcji Zewnętrzne profile SSO kliknij Dodaj profil SAML.
  4. W polu Profil logowania jednokrotnego przez SAML wpisz nazwę profilu.
  5. W polu Autouzupełnianie adresu e-mail wybierz format podpowiedzi logowania obsługiwany przez dostawcę tożsamości.
  6. W sekcji Szczegóły dostawcy tożsamości wykonaj te czynności:
    1. Wpisz identyfikator jednostki dostawcy tożsamości, adres URL strony logowania i adres URL strony wylogowania, które zostały uzyskane od dostawcy tożsamości.
    2. W polu Adres URL strony zmiany hasła wpisz adres URL strony zmiany hasła dla dostawcy tożsamości.
      Użytkownicy będą resetować swoje hasła pod tym adresem URL.
  7. Kliknij Zapisz i kontynuuj tworzenie profilu.
Włączanie autouzupełniania adresu e-mail w istniejącym profilu
  1. Zaloguj się na konto administratora w Konsola administracyjna Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz Menu  a potem  Zabezpieczenia > Uwierzytelnianie > Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. W sekcji Zewnętrzne profile SSO kliknij profil, który chcesz zaktualizować.
  4. Kliknij Szczegółowe dane dostawcy usług.
  5. W polu Autouzupełnianie adresu e-mail wybierz format podpowiedzi logowania obsługiwany przez dostawcę tożsamości.
  6. Kliknij Zapisz.

Zarządzanie adresami URL usług specyficznymi dla domeny

Ustawienie URL-e usług specyficzne dla domeny pozwala kontrolować, co się dzieje, gdy użytkownicy logują się za pomocą adresów URL usług, takich jak https://mail.google.com/a/example.com.

  1. Zaloguj się na konto administratora w Konsola administracyjna Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz Menu  a potem  Zabezpieczenia > Uwierzytelnianie > Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. Kliknij URL-e usług specyficzne dla domeny, aby otworzyć ustawienia.

Dostępne są 2 opcje:

  • Kieruj użytkowników do zewnętrznego dostawcy tożsamości – wybierz tę opcję, aby zawsze kierować użytkowników do zewnętrznego dostawcy tożsamości wybranego na liście profili logowania jednokrotnego. Może to być profil logowania jednokrotnego w Twojej organizacji lub inny profil (jeśli został dodany).

    Ważne: jeśli masz jednostki organizacyjne lub grupy, które nie korzystają z logowania jednokrotnego, nie wybieraj tego ustawienia. Użytkownicy bez dostępu do logowania jednokrotnego zostaną automatycznie przekierowani na stronę dostawcy tożsamości i nie będą mogli się zalogować.

  • Wymagaj od użytkowników wpisania nazwy użytkownika na stronie logowania Google. W przypadku tej opcji użytkownicy, którzy wpiszą adresy URL właściwe dla domeny, są najpierw kierowani na stronę logowania Google. Jeśli użytkownik korzysta z logowania jednokrotnego, zostanie przekierowany na stronę logowania dostawcy tożsamości.

Wyniki mapowania sieci

Maski sieci to adresy IP przedstawione w notacji CIDR (Classless Inter-Domain Routing). Notacja CIDR określa, ile bitów adresu IP należy uwzględniać. Profil SSO w Twojej organizacji może używać masek sieci do ustalania, którym adresom IP lub zakresom adresów IP należy udostępniać usługę logowania jednokrotnego.

Uwaga: obecnie w przypadku ustawień masek sieci na stronę logowania jednokrotnego przekierowują tylko adresy URL usługi właściwe dla domeny, na przykład usluga.google.com/a/example.com.

To istotne, aby każda maska sieci miała prawidłowy format. W poniższym przykładzie adresu IPv6 ukośnik (/) i znajdująca się za nim liczba przedstawiają notację CIDR. Ostatnie 96 bitów nie jest brane pod uwagę, a w tym przedziale sieci znajdą się wszystkie adresy IP.

  • 2001:db8::/32

W tym przykładzie adresu IPv4 nie będzie brane pod uwagę ostatnie 8 bitów (wartość zero), a w przedziale znajdą się wszystkie adresy IP z zakresu od 64.233.187.0 do 64.233.187.255.

  • 64.233.187.0/24

W przypadku domen bez maski sieci do dostawcy tożsamości (IdP) dodaj użytkowników, którzy nie są superużytkownikami.

Korzystanie z logowania jednokrotnego podczas odwiedzania adresów URL usług Google

Tabela poniżej przedstawia sposób, w jaki użytkownicy będą korzystać z adresów URL usług Google, gdy będą je otwierać bezpośrednio, z maską sieci lub bez niej:

Bez maski sieci Superadministratorzy: Użytkownicy:
usługa.google.com Otrzymają prośbę o podanie adresu e-mail i hasła Google. Otrzymają prośbę o podanie adresu e-mail, a potem zostaną przekierowani na stronę logowania jednokrotnego.
Z maską sieci Superadministratorzy i użytkownicy:
usługa.google.com Otrzymają prośbę o podanie adresu e-mail i hasła.
usluga.google.com
/a/your_domain.com*
(wewnątrz maski sieci)		 Zostaną przekierowani na stronę logowania jednokrotnego.
usluga.google.com
/a/your_domain.com
(poza maską sieci)		 Otrzymają prośbę o podanie adresu e-mail i hasła.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Użytkownicy, którzy uzyskują dostęp do punktu końcowego OAuth 2.0 w Google za pomocą parametru URL login_hint, są przekierowywani na stronę logowania jednokrotnego.

* Nie wszystkie usługi obsługują ten wzorzec adresu URL. Przykładami takich usług są Gmail i Dysk.

Wygaśnięcie sesji po skonfigurowaniu maski sieci
Ta sekcja dotyczy Cię tylko wtedy, gdy spełnione są wszystkie poniższe warunki:
  • Twoja domena oferuje logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
  • Domena ma maskę sieci.
  • Użytkownik zalogował się przy użyciu zewnętrznego dostawcy tożsamości (patrz tabela w sekcji „Tabela mapowania sieci i użytkowników logowania jednokrotnego”).
Aktywna sesja Google użytkownika może zostać zakończona, a użytkownik może zostać poproszony o ponowne uwierzytelnienie się, gdy:
  • sesja użytkownika osiągnie maksymalny dozwolony czas trwania określony w ustawieniu Kontrola sesji Google w konsoli administracyjnej,
  • administrator zmodyfikuje konto użytkownika przez zmianę hasła lub włączenie wymagania zmiany hasła przy następnym logowaniu (w konsoli administracyjnej lub przy użyciu pakietu Admin SDK).

Interfejs użytkownika

Jeśli użytkownik zainicjował sesję u zewnętrznego dostawcy tożsamości, sesja zostanie wyczyszczona, a użytkownik – przekierowany na stronę logowania Google.

Użytkownik zainicjował sesję Google u zewnętrznego dostawcy tożsamości, może więc nie rozumieć, dlaczego musi zalogować się w Google, aby odzyskać dostęp do swojego konta. Użytkownicy mogą zostać przekierowani na stronę logowania Google, nawet jeśli spróbują przejść na inne adresy URL Google.

Jeśli planujesz konserwację, która obejmuje zakończenie aktywnych sesji użytkowników, i chcesz uniknąć dezorientowania użytkowników, poproś ich, aby wylogowali się z sesji i pozostali wylogowani, dopóki konserwacja nie zostanie zakończona.

Odzyskiwanie konta użytkownika

Gdy użytkownik zobaczy stronę logowania Google z powodu zakończenia jego aktywnej sesji, może odzyskać dostęp do swojego konta, wykonując jedną z tych czynności:

  • Gdy użytkownik zobaczy komunikat „Jeśli ta strona wyświetliła się w wyniku błędu, kliknij tutaj, by się wylogować i ponownie zalogować”, może kliknąć link w tym komunikacie.
  • Jeśli użytkownik nie zobaczy tego komunikatu ani linku, może się wylogować i ponownie zalogować na stronie https://accounts.google.com/logout.
  • Użytkownik może wyczyścić pliki cookie przeglądarki.

Po użyciu jednej z metod odzyskiwania sesja Google zostanie całkowicie zakończona i będzie można się zalogować.

Konfigurowanie weryfikacji dwuetapowej za pomocą logowania jednokrotnego

  1. W Konsola administracyjna Google otwórz Menu  a potem  Bezpieczeństwo a potem Uwierzytelnianie a potem Testy zabezpieczające logowanie.

    Wymaga uprawnień administratora Zarządzanie zabezpieczeniami użytkowników.

  2. Po lewej wybierz jednostkę organizacyjną, w której chcesz skonfigurować zasadę.

    Aby ustawienia obejmowały wszystkich użytkowników, wybierz jednostkę organizacyjną najwyższego poziomu. Początkowo jednostki organizacyjne dziedziczą ustawienia organizacji nadrzędnej.

  3. Kliknij Weryfikacja po logowaniu jednokrotnym.
  4. Wybierz ustawienia zgodnie ze sposobem używania profili SSO w organizacji. Możesz zastosować ustawienie dla użytkowników, którzy korzystają ze starszego profilu SSO, oraz dla użytkowników, którzy logują się przy użyciu innych profili SSO.
  5. W prawym dolnym rogu kliknij Zapisz.

    Google tworzy wpis w dzienniku kontrolnym administratora, aby wskazać zmianę zasad.

Domyślne ustawienie weryfikacji po logowaniu jednokrotnym zależy od typu użytkownika korzystającego z logowania jednokrotnego:

  • W przypadku użytkowników logujących się przy użyciu starszego profilu SSO domyślnym ustawieniem jest pominięcie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.
  • W przypadku użytkowników logujących się przy użyciu profili SSO domyślnym ustawieniem jest stosowanie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.

Zobacz też

 


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
10751100365993962137
true
Wyszukaj w Centrum pomocy
false
true
true
true
true
true
73010
false
false
false
false