Google использует поставщика услуг SAML (язык разметки декларации безопасности) для аутентификации пользователей. Когда пользователи входят в Google Workspace, появляется экран на основной странице Google Workspace, где они должны подтвердить свою личность.
Как часто пользователи видят этот экран?
Чтобы как можно меньше отвлекать сотрудников от работы, мы показываем этот экран только один раз для каждого аккаунта, используемого на устройстве. Когда пользователь подтвердит личность на определенном устройстве или в браузере Chrome на определенном компьютере, ему можно будет повторно входить в аккаунт без авторизации, и это не будет представлять угрозу для безопасности.
Примечание. Вы можете включить дополнительную аутентификацию с системой единого входа, тогда пользователям нужно будет проходить также и ее. Кроме того, в этом случае будет включена двухэтапная аутентификация, если она настроена в вашем аккаунте Google (обычно при использовании системы единого входа двухэтапная аутентификация выключена).
С какой целью используется экран?
- Защита от фишинговых атак. Использование экрана аутентификации позволяет предотвратить ситуации, когда пользователь браузера Chrome, сам того не зная, входит в аккаунт, созданный и управляемый злоумышленником. Например, для фишинга может использоваться аккаунт Google мошенника. В этом случае злоумышленник может попытаться совершить атаку, используя систему единого входа на базе SAML, поскольку она не требует действий от пользователя для входа в аккаунт. Защитить от такого проникновения поможет экран аутентификации.
- Создание единых идентификационных данных. Упомянутая новая функция является частью более масштабного проекта, цель которого – создать единые идентификационные данные для всех сервисов Google Workspace (таких как Gmail) и нативных сервисов Chrome (таких как синхронизация Chrome). Благодаря этому пользователям, выполнившим вход, будет удобнее работать с функциями, доступными именно в браузере Chrome, но в то же время при аутентификации потребуются дополнительные меры безопасности. Новый экран аутентификации обеспечивает нужную степень защиты и уменьшает вероятность того, что злоумышленники смогут использовать для атаки систему единого входа на базе SAML, предлагая пользователям войти в аккаунты мошенников.
Можно ли отключить экран?
Да, экран аутентификации можно отключить. Например, если вы хотите сократить количество взаимодействий между пользователями и Google.
Чтобы отключить экран для всей организации, используйте HTTP-заголовок X-GoogApps-AllowedDomains. Это позволит вам указать домены, пользователи которых смогут получать доступ к сервисам Google. Пользователи этих доменов не будут видеть дополнительный экран. Google расценивает эти аккаунты как доверенные аккаунты ваших пользователей.
Настроить использование заголовка также можно с помощью групповой политики AllowedDomainsForApps.