Приложения с паролем из Сейфа были доступны в Cloud Identity Premium Edition до июня 2022 г. С 21 сентября 2022 г. мы начнем отключать такие приложения и к 21 июня 2023 г. полностью прекратим поддержку этой функции. Подробнее…
Google Workspace поддерживает систему единого входа для приложений, которые используют интеграцию через SAML. Хотя этот стандарт поддерживают многие приложения, есть тысячи других, которые не поддерживают его. Чтобы войти в такие приложения, требуются учетные данные.
Как администратор, вы можете использовать сервис приложений с паролями из Сейфа для управления доступом к некоторым приложениям из числа тех, которые не поддерживают интеграцию и доступны пользователям на панели управления. Этот сервис сохраняет наборы учетных данных для входа в приложения и назначает их пользователям в группах. Когда пользователь получает доступ к одному из приложений через группу, он может войти в него в панели управления или прямо в приложении. Эта функция реализуется с помощью расширений и плагинов для браузеров Chrome и Firefox.
В сервис приложений с паролями из Сейфа можно добавить как приложения из библиотеки, так и пользовательские приложения. В результате администратор может безопасно управлять учетными данными, упрощая доступ ко всем используемым приложениям для сотрудников организации.
Прежде чем настраивать сервис приложений с паролями из Сейфа для своей организации, рекомендуем создать в консоли администратора Google новую структуру групп специально для таких приложений. В результате использование сервиса не повлияет на другие рабочие процессы и настройки в консоли администратора, а также повысит удобство пользователей при работе с приложениями с паролями из Сейфа в панели управления.
Как создать новую структуру групп специально для приложений с паролями из Сейфа
- Создайте по меньшей мере одну группу доступа для каждого приложения, которое нужно добавить в сервис приложений с паролями из Сейфа. В таких группах будут содержаться настройки групповых назначений для пользователей. Подробные сведения и инструкции по использованию групп для управления доступом приведены в этой статье.
- Добавьте пользователей (или другие группы) в свои группы доступа.
Например, можно создать описанную ниже структуру групп, где pva – приложения с паролями из Сейфа (password vaulted apps).
| Приложение | Группа приложения (содержит учетные данные) | Участники (группы, пользователи, роли) |
|---|---|---|
| Mixateria | pva_mixateria | Отдел продаж |
| pva_twitter | Отдел продаж, финансовый отдел | |
| Slack | pva_slack_pr | Отдел по связям с общественностью, отдел маркетинга |
| Slack | pva_slack_legal | Юридический отдел |
Добавив приложения в сервис приложений с паролями из Сейфа, вы сможете управлять доступом к ним с помощью участия в группе.
Примечания
- В некоторых случаях вы можете добавить несколько экземпляров приложения с разными URL входа для каждого экземпляра (т. е. приложение является многопользовательским). Например, можно установить отдельный экземпляр приложения Slack для отдела по связям с общественностью и маркетинга, а другой – для юристов, как показано в таблице выше.
- Группы необходимо создавать в консоли администратора, Directory API или Google Cloud Directory Sync. Группы, созданные в Google Группах для бизнеса, нельзя использовать как группы доступа. Посмотреть, была ли группа создана в Группах для бизнеса, в консоли администратора нельзя.
- Сервис приложений с паролями из Сейфа позволяет управлять доступом к приложениям через участие в группах, но не в организационных подразделениях.
Для этого выполните следующие действия:
- Добавьте приложения в сервис приложений с паролями из Сейфа, выбрав их из существующего каталога.
- Добавьте учетные данные для входа.
- Предоставьте пользователям или группам доступ к приложениям.
Важные рекомендации
- При изменении паролей в сторонних приложениях администратору следует обязательно обновить их в консоли администратора Google в разделе Приложения > Приложения с паролями из Сейфа.
- Если сотрудник покидает организацию, администраторам рекомендуется изменить его учетные данные как в стороннем приложении, так и в консоли администратора Google для всех приложений, которые используют эти учетные данные. Кроме того, рекомендуем удалить его индивидуальные аккаунты в приложении. В консоли администратора выберите соответствующее приложение, откройте раздел учетных данных и внесите требуемые изменения. Прежде чем выполнять это действие, измените пароль в стороннем приложении.
- Если в приложении используется двухэтапная аутентификация и оно добавлено в сервис приложений с паролями из Сейфа, расширение Chrome будет работать в нормальном режиме. Другими словами, расширение автоматически подставит в нужные поля имя пользователя и пароль, но при попытке доступа к приложению с паролем из Сейфа пользователю будет предложено пройти второй этап аутентификации.
- Сейф с паролями позволяет управлять учетными данными и доступом к приложениям. Чтобы пароли случайно не оказались раскрыты посторонним людям, убедитесь, что для пользователей отключены другие приложения в Диспетчере паролей или приложения, сохраняющие пароль при входе.
- Приложения с паролями из Сейфа доступны только в браузерах Chrome и Firefox и в настоящее время не поддерживаются на мобильных устройствах.
- Как и в случае с другими диспетчерами паролей, пользователи могут посмотреть пароли для входа на сайты в инструментах разработчика, таких как Chrome Developers Console. Если учетные данные конфиденциальны и должны быть недоступны пользователям, вместо приложений с паролями из Сейфа используйте аутентификацию SAML.
Для доступа к приложениям из сервиса приложений с паролями из Сейфа пользователям необходимо установить расширение Cloud Identity Account Manager для браузера Chrome, следуя инструкциям ниже.
Если используется облачное управление браузером Chrome, установить расширение для пользователей также может администратор. Подробные сведения приведены в статьях Как посмотреть данные об использовании приложений и расширений и Как настроить автоматическую установку приложений и расширений. Обратите внимание, что расширение должно быть установлено со следующим идентификатором:
bepedphhpelcmjancenhicofcbepgmpk
Чтобы пользователи получили доступ к приложениям с паролями из Сейфа, им необходимо выполнить следующие действия:
- Войти в корпоративный аккаунт (не личный аккаунт Gmail).
- Установить расширение Cloud Identity Account Manager для браузера Chrome, открыв страницу
https://chrome.google.com/webstore/detail/cloud-identity-account-ma/bepedphhpelcmjancenhicofcbepgmpk. - Выбрать Установить.
Если вы ещё не установили расширение Cloud Identity Account Manager, вам будет предложено сделать это, когда вы нажмете на приложение с паролем из Сейфа в панели управления пользователя. Нажмите Установить расширение во всплывающем окне, а затем следуйте инструкциям, чтобы добавить его.
Примечания
- Если вы не вошли в профиль Chrome при попытке установить расширение Cloud Identity Account Manager, вам будет предложено включить синхронизацию, прежде чем продолжать. Войдите в корпоративный аккаунт, нажмите Связать данные, а затем в окне Включить синхронизацию выберите ОК.
- После установки расширения вы сможете использовать приложения с паролями из Сейфа, к которым вам предоставил доступ системный администратор, в панели управления. Кроме того, у вас может быть возможность автоматически входить в приложения с паролями из Сейфа на сторонних сайтах (например, box.com или twitter.com).
- Функции расширения браузера Firefox идентичны функциям расширения для Chrome, но в Firefox не нужно выполнять синхронизацию профиля.
- Подробнее о начале работы с панелью доступности сервисов Google Workspace…