Google ใช้ผู้ให้บริการภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) สำหรับการตรวจสอบสิทธิ์ผู้ใช้ เมื่อลงชื่อเข้าใช้ Google Workspace ผู้ใช้จะเข้าสู่หน้าจอในหน้าหลักของ Google Workspace เพื่อยืนยันตัวตน
ผู้ใช้เห็นหน้าจอดังกล่าวบ่อยแค่ไหน
เพื่อไม่ให้เป็นการรบกวนผู้ใช้ หน้าจอนี้จะปรากฏเพียงครั้งเดียวสำหรับแต่ละบัญชีในอุปกรณ์ เมื่อผู้ใช้ยืนยันตัวตนในเบราว์เซอร์ Chrome หรืออุปกรณ์ที่เฉพาะเจาะจงแล้วก็ปลอดภัยที่จะให้ลงชื่อเข้าใช้อีกครั้งโดยไม่ต้องขอให้ยืนยันตัวตนอีก
หมายเหตุ: ผู้ใช้ SSO อาจเห็นการตรวจสอบสิทธิ์เพิ่มเติม หากคุณเลือกเปิดใช้การยืนยันตัวตนด้วย SSO ซึ่งจะเปิดการยืนยันแบบ 2 ขั้นตอน (2SV) ด้วยหากมีการกําหนดค่าไว้สําหรับบัญชี Google (โดยทั่วไประบบจะปิดใช้การยืนยันแบบ 2 ขั้นตอนสําหรับผู้ใช้ที่ลงชื่อเข้าใช้ผ่าน SSO)
จุดประสงค์คืออะไร
- การป้องกันการโจมตีแบบฟิชชิ่ง - หน้าจอการลงชื่อเข้าใช้จะช่วยป้องกันไม่ให้ผู้ใช้เบราว์เซอร์ Chrome ลงชื่อเข้าใช้บัญชีที่สร้างและควบคุมโดยผู้โจมตีโดยไม่รู้ตัว ตัวอย่างเช่น แคมเปญฟิชชิงอาจหลอกให้ผู้ใช้ลงชื่อเข้าใช้บัญชี Google ที่ควบคุมโดยผู้โจมตี การโจมตีประเภทนี้ใช้การลงชื่อเข้าใช้เพียงครั้งเดียวของ SAML (SSO) ได้เนื่องจากไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้เพื่อให้การลงชื่อเข้าใช้เสร็จสมบูรณ์ เราได้เพิ่มหน้าจอการตรวจสอบสิทธิ์เพื่อปกป้องผู้ใช้
- การสร้างข้อมูลประจำตัวที่สอดคล้องกัน - ฟีเจอร์ความปลอดภัยใหม่นี้เป็นส่วนหนึ่งของโครงการขนาดใหญ่เพื่อสร้างข้อมูลประจำตัวที่สอดคล้องกันในบริการ Google Workspace (เช่น Gmail) และบริการเบราว์เซอร์ Chrome ดั้งเดิม เช่น การซิงค์ของ Chrome ความสอดคล้องนี้ทำให้ผู้ใช้ที่ลงชื่อเข้าใช้ได้ประโยชน์จากฟีเจอร์เบราว์เซอร์ Chrome ดั้งเดิมได้ง่ายขึ้น แต่ต้องมีการป้องกันเพิ่มเติมระหว่างการตรวจสอบสิทธิ์ หน้าจอใหม่นี้จะเพิ่มการป้องกันดังกล่าวและลดโอกาสที่ผู้โจมตีจะละเมิด SAML SSO เพื่อให้ผู้ใช้ลงชื่อเข้าใช้บัญชีที่เป็นอันตราย
ฉันปิดหน้าจอได้ไหม
ได้ คุณปิดใช้งานหน้าจอการตรวจสอบสิทธิ์ได้ ตัวอย่างเช่น คุณอาจต้องการลดจำนวนการโต้ตอบระหว่างผู้ใช้กับ Google
หากต้องการปิดใช้งานหน้าจอใหม่สำหรับองค์กร ให้ใช้ส่วนหัว HTTP X-GoogApps-AllowedDomains เพื่อระบุโดเมนที่ผู้ใช้เข้าถึงบริการของ Google ผู้ใช้ในโดเมนเหล่านั้นจะไม่เห็นหน้าจอเพิ่มเติม ซึ่ง Google จะถือว่าบัญชีเหล่านั้นเป็นที่น่าเชื่อถือสำหรับผู้ใช้
หากต้องการตั้งค่าส่วนหัว คุณยังใช้นโยบายกลุ่ม AllowedDomainsForApps ได้อีกด้วย
