Google verwendet für die Nutzerauthentifizierung einen SAML-Anbieter (Security Assertion Markup Language). Wenn sich Nutzer in Google Workspace anmelden, werden sie auf der Google Workspace-Hauptseite zu einem Bildschirm weitergeleitet, um ihre Identität zu bestätigen.
Wie oft sehen Nutzer die Authentifizierungsseite?
Um Unterbrechungen zu vermeiden, wird die Seite für jedes Konto auf einem Gerät nur einmal angezeigt. Nachdem der Nutzer seine Identität in einem bestimmten Chrome-Browser oder auf einem bestimmten Gerät bestätigt hat, kann er sich ohne weitere Identitätsüberprüfung anmelden.
Hinweis: Wenn Sie die Option Identitätsbestätigungen mit SSO aktivieren auswählen, werden für SSO-Nutzer möglicherweise zusätzliche Schritte zur Identitätsbestätigung angezeigt. Auch die Bestätigung in zwei Schritten wird aktiviert, falls sie für Ihr Google-Konto konfiguriert ist. Normalerweise ist die Bestätigung in zwei Schritten für Nutzer, die sich über SSO anmelden, deaktiviert.
Wozu dient dieses Verfahren?
- Schutz vor Phishingangriffen: Auf dem Anmeldebildschirm wird verhindert, dass sich Nutzer des Chrome-Browsers unwissentlich in einem Konto anmelden, das von einem Angreifer erstellt und kontrolliert wird. Beispielsweise könnte durch Phishing über eine gefälschte Anmeldeseite versucht werden, an die Anmeldedaten von Nutzern zu kommen. Weil keine Nutzerinteraktion erforderlich ist, um die Anmeldung abzuschließen, schützt auch die SAML-Einmalanmeldung (SSO) nicht vor einem solchen Angriff. Um die Sicherheit der Nutzerdaten zu gewährleisten, haben wir daher die Authentifizierungsseite hinzugefügt.
- Konsistente Identität: Die neue Sicherheitsfunktion ist Teil eines größeren Projekts zur Schaffung einer konsistenten Identität für Google Workspace-Dienste (wie Gmail) und native Chrome-Browserdienste wie die Chrome-Synchronisierung. Für angemeldete Nutzer wird es dadurch noch einfacher, native Chrome-Browserfunktionen optimal zu nutzen. Dafür ist jedoch ein zusätzlicher Schutz bei der Authentifizierung erforderlich. Durch die neue Seite wird dieser Schutz gewährleistet und die Wahrscheinlichkeit verringert, dass Angreifer die SAML-SSO missbrauchen, um Nutzer in Phishing-Konten anzumelden.
Kann ich die Seite deaktivieren?
Ja, Sie können die Authentifizierungsseite deaktivieren, um z. B. die Anzahl der Interaktionen zwischen Ihren Nutzern und Google zu reduzieren.
Wenn Sie die Seite für Ihre Organisation deaktivieren möchten, verwenden Sie den HTTP-Header "X-GoogApps-AllowedDomains", um Domains zu identifizieren, deren Nutzer auf Google-Dienste zugreifen können. Nutzern in diesen Domains wird die zusätzliche Seite nicht angezeigt. Google geht davon aus, dass diese Konten von Ihren Nutzern als vertrauenswürdig eingestuft werden.
Sie können den Header auch über die Gruppenrichtlinie "AllowedDomainsForApps" einrichten.