Google uwierzytelnia swoich użytkowników za pośrednictwem dostawcy SAML (Security Assertion Markup Language). Gdy użytkownik loguje się w Google Workspace, na jego stronie głównej Google Workspace wyświetla się ekran uwierzytelniania, na którym musi on potwierdzić swoją tożsamość.
Jak często użytkownicy widzą ekran uwierzytelniania?
Aby nie zakłócać pracy użytkownikom, ten ekran jest wyświetlany tylko raz dla każdego konta na danym urządzeniu. Po potwierdzeniu tożsamości w określonej przeglądarce Chrome lub na danym urządzeniu użytkownik może bezpiecznie logować się ponownie bez konieczności potwierdzania tożsamości za każdym razem.
Uwaga: jeśli włączysz testy zabezpieczające logowanie jednokrotne, użytkownikom korzystającym z tego mechanizmu logowania mogą się wyświetlać dodatkowe testy zabezpieczające. Spowoduje to również włączenie weryfikacji dwuetapowej, jeśli została skonfigurowana na Twoim koncie Google. Weryfikacja dwuetapowa jest zwykle wyłączona dla użytkowników korzystających z logowania jednokrotnego.
Jaki jest tego cel?
- Ochrona przed phishingiem – ekran uwierzytelniania pomaga zapobiegać nieświadomemu logowaniu się w przeglądarce Chrome na konta utworzone lub kontrolowane przez nieupoważnioną osobę. W ramach ataku phishingowego użytkownik może na przykład otrzymać prośbę o zalogowanie się na konto Google kontrolowane przez kogoś innego. Atak tego typu może korzystać z logowania jednokrotnego przez SAML, bo nie wymaga interakcji z użytkownikiem w celu ukończenia logowania. Z tego względu dodaliśmy ekran uwierzytelniania, aby lepiej chronić użytkowników.
- Tworzenie spójnej tożsamości – ta nowa funkcja zabezpieczająca stanowi część większego projektu mającego na celu utworzenie spójnej tożsamości we wszystkich usługach Google Workspace (takich jak Gmail) i natywnych usługach przeglądarki Chrome (takich jak Synchronizacja Chrome). Funkcja ta ma ułatwić zalogowanym użytkownikom korzystanie z natywnych funkcji przeglądarki Chrome, co jednak wymaga dodatkowej ochrony podczas uwierzytelniania. Nowy ekran uwierzytelniania zapewnia tę ochronę i zmniejsza prawdopodobieństwo wykorzystania logowania jednokrotnego przez SAML podczas ataków w celu nakłonienia użytkowników do zalogowania się na niebezpieczne konta.
Czy mogę wyłączyć ekran uwierzytelniania?
Tak. Możesz wyłączyć ekran uwierzytelniania. W ten sposób możesz na przykład zmniejszyć liczbę interakcji między użytkownikami i Google.
Aby wyłączyć nowy ekran uwierzytelniania w organizacji, użyj nagłówka HTTP X-GoogApps-AllowedDomains do zidentyfikowania domen, z których użytkownicy mogą uzyskiwać dostęp do usług Google. Użytkownicy w tych domenach nie zobaczą ekranu uwierzytelniania. Google zakłada, że ich konta są zaufane.
Aby ustawić odpowiedni nagłówek, możesz też użyć zasad grupy AllowedDomainsForApps.
