Google 會透過安全宣告標記語言 (SAML) 供應商來驗證使用者。當您的使用者登入 Google Workspace 時,Google Workspace 主頁面就會顯示要求確認身分的畫面。
這個畫面多久會顯示一次?
為了盡可能降低對使用者的干擾,每個帳戶登入裝置後,這個畫面只會顯示一次。使用者只要在特定的 Chrome 瀏覽器或裝置上確認身分,再次登入時便沒有安全疑慮,因此系統不會要求他們重新確認自己的身分。
注意:如果您選擇啟用單一登入 (SSO) 驗證機制,SSO 使用者可能會看到額外的驗證問題。如果您已為 Google 帳戶套用兩步驟驗證 (2SV),系統也會一併啟用這項設定 (系統通常會為透過 SSO 服務登入的使用者停用兩步驟驗證)。
這項功能的目的為何?
- 防範網路詐騙攻擊:這個登入畫面可以防止 Chrome 瀏覽器使用者不小心登入由攻擊者建立和控管的帳戶。舉例來說,網路詐騙活動可能會誘導使用者登入攻擊者控制的 Google 帳戶;這類攻擊可以使用 SAML 單一登入 (SSO),因為不需要透過使用者互動就可以完成登入程序。為了防止使用者成為這類攻擊的受害者,我們才會加入這個驗證畫面。
- 以同一個身分使用各項服務:這項全新的安全性功能是一項大型專案的一環;我們希望使用者在各項 Google Workspace 服務 (例如 Gmail) 和 Chrome 瀏覽器內建服務 (例如 Chrome 同步) 中都能使用同一個登入身分,這樣一來,使用者只要登入就能輕鬆運用各項 Chrome 瀏覽器內建功能;不過為了達成這項目標,我們在驗證方面需要額外的保護措施。新加入的驗證畫面可以提供所需保護,並降低攻擊者濫用 SAML SSO 將使用者登入惡意帳戶的機率。
我可以停用驗證畫面嗎?
可以,您可以停用驗證畫面。舉例來說,如果您想減少使用者與 Google 的互動次數,就可以停用這項功能。
如要為貴機構停用新的驗證畫面,請使用 X-GoogApps-AllowedDomains HTTP 標頭指出要允許哪些網域的使用者存取 Google 服務,之後這些網域中的使用者就不會再看見額外的驗證畫面。Google 會假定您的使用者信任這些帳戶。
您也可以使用 AllowedDomainsForApps 群組政策設定標頭。
