Google 会使用安全断言标记语言 (SAML) 提供程序来进行用户身份验证。当您的用户登录 Google Workspace 时,Google Workspace 主页面会显示让用户确认身份的屏幕。
此屏幕显示的频率如何?
为了最大限度地减少对用户的干扰,此屏幕仅对在设备上登录的各帐号显示一次。用户在特定 Chrome 浏览器或设备上确认身份后,再次登录便没有安全疑虑,因此系统不会再要求他们重新确认身份。
注意:如果您选择针对单点登录启用验证功能,则单点登录用户可能会看到其他身份验证方式。如果您为自己的 Google 帐号配置了两步验证 (2SV),那么系统也会同时启用两步验证。(对于通过 SSO 登录的用户,系统通常会停用两步验证)。
此功能的目的为何?
- 防止网上诱骗攻击 - 此登录屏幕有助于阻止 Chrome 浏览器用户在不知情的情况下登录攻击者创建和控制的帐号。例如,网上诱骗活动可能诱使用户登录受攻击者控制的 Google 帐号。此类攻击可以使用 SAML 单点登录 (SSO),因为不需要用户互动即可完成登录。为了保护用户,我们添加了此身份验证屏幕。
- 以同一身份使用服务 - 这项全新的安全功能是一个更大项目的一部分,用于在 Google Workspace 服务(如 Gmail)和原生 Chrome 浏览器服务(如 Chrome 同步)之间使用同一身份。身份一致性可让已登录的用户更轻松地利用原生 Chrome 浏览器功能,但身份验证期间需要额外的保护机制。这一新屏幕提供了更多保护,并降低了攻击者滥用 SAML SSO 将用户登录恶意帐号的概率。
可以停用屏幕吗?
可以,您可以停用身份验证屏幕。例如,如果您希望减少用户与 Google 的互动次数,则可停用此功能。
要为单位停用新屏幕,请使用 X-GoogApps AllowedDomains HTTP 标头指出哪些网域中的用户可使用 Google 服务。这样的话,这些网域中的用户就不会看到额外屏幕。Google 会假定您的用户信任这些帐号。
要设置标头,您还可以使用 AllowedDomainsForApps 群组政策。