Configurar o logon único usando provedores de identidade de terceiros

Noções básicas sobre o login seguro por SAML

O Google usa um provedor de Security Assertion Markup Language (SAML, na sigla em inglês) para autenticação de usuário. Quando os usuários fazem login no G Suite, eles acessam a tela da página principal do G Suite para confirmar a identidade.

Com que frequência os usuários veem a tela?

Para interromper o usuário o menos possível, essa tela aparece apenas uma vez para cada conta em um dispositivo. Depois que o usuário confirma a identidade em um navegador ou dispositivo Chrome específico, é seguro permitir que ele faça login novamente, sem precisar reconfirmar a identidade.

Qual é o propósito disso?

  • Proteção contra ataques de phishing: essa tela impede que usuários do navegador Chrome façam login por engano em uma conta criada e controlada por um invasor. Por exemplo, uma campanha de phishing pode levar o usuário a fazer login em uma Conta do Google controlada por um invasor. Esse tipo de ataque pode usar o Logon único (SSO, na sigla em inglês) por SAML, porque assim o usuário não precisa fazer nada para entrar. Para proteger os usuários, adicionamos uma tela de autenticação.
  • Criação de uma identidade consistente: esse novo recurso de segurança faz parte de um projeto maior para criar uma identidade consistente nos serviços do G Suite (como o Gmail) e nos serviços nativos do navegador Chrome, como a Sincronização do Chrome. Isso permite que os usuários do G Suite conectados aproveitem os recursos nativos do navegador Chrome com mais facilidade, mas exige proteção extra durante a autenticação. A nova tela aumenta a proteção e reduz a probabilidade de invasores usarem o SSO por SAML para induzir os usuários a fazer login em contas mal-intencionadas.

Posso desativar a tela?

Sim, você pode desativar a tela de autenticação. Por exemplo, talvez você queira reduzir o número de interações entre os usuários e o Google.

Para desativar a nova tela na sua organização, use o cabeçalho HTTP X-GoogApps-AllowedDomains e identifique os domínios dos usuários que podem acessar os serviços do Google. Os usuários desses domínios não verão a tela extra. O Google pressupõe que esses usuários confiam nessas contas.

Para definir o cabeçalho, também é possível usar a política de grupo AllowedDomainsForApps.

Tópicos relacionados

Isso foi útil?
Como podemos melhorá-lo?