如何轮换证书
如果您向 SAML 单点登录配置文件上传两个证书,Google 可以使用其中任一证书来验证来自 IdP 的 SAML 响应。这样,您就可以在 IdP 端安全地轮换即将过期的证书。在证书到期前至少 24 小时按照以下步骤操作:
- 在 IdP 上创建新的证书。
- 将此证书作为第二个证书上传到管理控制台。有关说明,请参阅创建 SAML 配置文件。
- 等待 24 小时,以便 Google 用户账号更新为采用新证书。
- 配置 IdP 以使用新证书代替即将过期的证书。
- (可选)在用户确认能够登录后,从管理控制台中移除旧证书。然后,您可以根据需要在将来上传新证书。
管理网域专用服务网址
通过网域专用服务网址设置,您可以控制当用户使用服务网址(如 https://mail.google.com/a/example.com)登录时会发生什么。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击网域专用服务网址以打开相应设置。
具体有两种方案可供选择:
- 将用户重定向至第三方 IdP。选择此选项可始终将这些用户转送到您在单点登录配置文件下拉列表中选择的第三方 IdP。它可以是贵组织的单点登录配置文件,也可以是其他第三方配置文件(如果您已添加)。
重要提示:如果您的组织部门或群组未使用单点登录,请不要选择此设置。否则,您的非单点登录用户将被自动转送到相应 IdP,但无法登录。
- 要求用户先在 Google 登录页面上输入自己的用户名。如果选择此选项,输入网域专用网址的用户会先被转送到 Google 登录页面。如果他们是单点登录用户,系统会将其重定向到 IdP 登录页面。
网络映射结果
网络掩码是以无类别域间路由 (CIDR) 表示法表示的 IP 地址。CIDR 规定了要添加的 IP 地址的位数。贵组织的单点登录配置文件可以使用网络掩码来确定要对哪些 IP 地址或 IP 地址范围提供单点登录服务。
注意:就网络掩码设置而言,只有具体网域的服务网址(例如 service.google.com/a/example.com)目前会重定向至 SSO 登录页面。
每个网络掩码的格式都必须准确无误。在以下 IPv6 示例中,斜线 (/) 及其后的数字代表 CIDR。最后 96 位不予考虑,该网络范围内的所有 IP 地址都会受到影响。
- 2001:db8::/32
在以下 IPv4 示例中,最后 8 位(也就是零)不予考虑,从 64.233.187.0 到 64.233.187.255 范围内的所有 IP 地址都会受影响。
- 64.233.187.0/24
在没有网络掩码的网域中,您必须将非超级用户的用户添加至身份提供方 (IdP)。
访问 Google 服务网址时的单点登录用户体验下表显示了在有网络掩码的情况下和无网络掩码的情况下,直接访问 Google 服务网址的用户体验:
| 无网络掩码 | 超级用户: | 用户: |
|---|---|---|
| service.google.com | 系统会提示输入其 Google 电子邮件地址和密码。 | 系统会提示输入其电子邮件地址,然后将其重定向至单点登录的登录页面。 |
| 有网络掩码 | 超级用户和用户: | |
| service.google.com | 系统会提示输入其电子邮件地址和密码。 | |
| service.google.com /a/your_domain.com* (在网络掩码范围内) |
重定向至单点登录的登录页面。 | |
| service.google.com /a/your_domain.com (不在网络掩码范围内) |
系统会提示输入其电子邮件地址和密码。 | |
| accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com |
使用 login_hint 网址参数访问 Google 的 OAuth 2.0 端点的用户会被重定向到单点登录的登录页面。 |
|
* 并非所有服务都支持此网址格式。支持此网址格式的服务的示例是 Gmail 和云端硬盘。
- 您的网域使用第三方 IdP 提供的 SSO 服务。
- 您的网域拥有网络掩码。
- 用户通过第三方 IdP 登录(请参阅“SSO 用户/网络映射矩阵”中的表格)。
- 用户会话的时长达到了管理控制台 Google 会话控制设置中指定的上限。
- 管理员修改了用户账号,例如更改密码或要求用户在下次登录时更改密码(通过管理控制台或使用 Admin SDK 更改)。
用户体验
如果用户通过第三方 IdP 发起会话,则系统会清除会话,并将用户重定向到 Google 登录页面。
由于用户是通过第三方 IdP 发起 Google 会话的,他们可能不理解为什么需要登录 Google 才能重新访问自己的账号。用户甚至会在尝试导航到其他 Google 网址时,被重定向到 Google 登录页面。
如果您计划进行维护,且维护过程会终止有效的用户会话,为了避免引起用户困惑,请让用户退出他们的会话并保持退出状态,直至维护完成。
用户恢复
如果用户因为有效会话被终止而看到 Google 登录页面,他们可以通过以下其中一种操作重新登录其账号:
- 如果用户看到“如果您被系统错误地带到此页面,请点击此处退出账号,然后尝试重新登录。”这一消息,则可以点击该消息中的链接。
- 如果用户没有看到上述消息或链接,则可以通过以下网址退出账号并重新登录:https://accounts.google.com/logout。
- 用户可以清除自己的浏览器 Cookie。
用户采用上述任一恢复方式后,他们的 Google 会话就会完全终止,且他们可以重新登录。
设置单点登录的两步验证
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 在左侧,选择要设置政策的单位部门。
如要为所有用户设置,请选择顶级单位部门。初始状态下,单位部门会沿用其上级单位部门的设置。
- 点击单点登录后验证。
- 根据您在组织中使用单点登录配置文件的方式选择设置。您可以为使用旧版单点登录配置文件的用户以及使用其他单点登录配置文件登录的用户应用相应设置。
- 点击右下角的保存。
Google 会在管理控制台审核日志中创建一个条目,表明政策发生了变更。
默认的单点登录后验证设置取决于单点登录用户类型:
- 对于使用旧版单点登录配置文件进行登录的用户,默认设置是绕过额外的登录验证和两步验证。
- 对于使用较新的单点登录配置文件进行登录的用户,默认设置是应用额外的登录验证和两步验证。
