Настройка системы единого входа (SSO) со сторонним поставщиком идентификационной информации

Как работает безопасный вход на базе SAML

Google использует поставщика услуг SAML (язык разметки декларации безопасности) для аутентификации пользователей. При входе в аккаунт G Suite они попадают на главную страницу сервиса, на которой видят экран с запросом на подтверждение личности.

Как часто пользователи видят этот экран?

Чтобы как можно меньше отвлекать сотрудников от работы, мы показываем этот экран только один раз для каждого аккаунта, используемого на устройстве. Когда пользователь подтвердит личность на определенном устройстве или в браузере Chrome на определенном компьютере, ему можно будет повторно входить в аккаунт без авторизации, и это не будет представлять угрозу для безопасности.

С какой целью используется экран?

  • Защита от фишинговых атак. Использование упомянутого выше экрана позволяет предотвратить ситуации, когда пользователь браузера Chrome, сам того не зная, входит в аккаунт, созданный и управляемый злоумышленником. Например, для фишинга может использоваться аккаунт Google мошенника. В этом случае злоумышленник может попытаться совершить атаку, используя систему единого входа на базе SAML, поскольку она не требует действий от пользователя для входа в аккаунт. Защитить от такого проникновения поможет экран аутентификации.
  • Создание единых идентификационных данных. Упомянутая новая функция является частью более масштабного проекта, цель которого – создать единые идентификационные данные для всех сервисов G Suite (таких как Gmail) и нативных сервисов Chrome (таких как синхронизация Chrome). Благодаря этому пользователям G Suite, выполнившим вход, будет удобнее работать с функциями, доступными именно в браузере Chrome, но в то же время при аутентификации потребуются дополнительные меры безопасности. Новый экран аутентификации обеспечивает нужную степень защиты и уменьшает вероятность того, что злоумышленники смогут использовать для атаки систему единого входа на базе SAML, предлагая пользователям войти в аккаунты мошенников.

Можно ли отключить экран?

Да, экран аутентификации можно отключить. Например, если вы хотите сократить количество взаимодействий между пользователями и Google.

Чтобы отключить экран для всей организации, используйте HTTP-заголовок X-GoogApps-AllowedDomains. Это позволит вам указать домены, пользователи которых смогут получать доступ к сервисам Google. Пользователи этих доменов не будут видеть дополнительный экран. Google расценивает эти аккаунты как доверенные аккаунты ваших пользователей.

Настроить использование заголовка также можно с помощью групповой политики AllowedDomainsForApps.

Статьи по теме

Эта информация оказалась полезной?
Как можно улучшить эту статью?