管理員可以採用下列安全性最佳做法來整合 Google Workspace 和第三方識別資訊提供者 (IdP),以連結安全宣告標記語言 (SAML) 應用程式。
進行第三方 IdP 設定的最佳做法
- 堅持落實完善的密碼政策,強制使用高強度密碼。
- 實作兩步驟驗證 (2SV)。由於 Google 的兩步驟驗證機制並未與第三方識別資訊提供者 (IdP) 整合,所以您必須在 IdP 端實作兩步驟驗證。
- 如果可以,建議您優先使用以安全金鑰和行動應用程式為基礎的解決方案,其次再考慮簡訊。
設定 Google Workspace 的最佳做法
- 禁止使用者存取低安全性應用程式。請參閱控管低安全性應用程式的存取權一文。設計上,網際網路訊息存取通訊協定 (IMAP) 和簡易郵件傳輸通訊協定 (SMTP) 的安全性不如 Google 網頁登入和 OAuth 登入流程。
- 停用郵局通訊協定 (POP) 或網際網路訊息存取通訊協定 (IMAP) 存取權。請參閱為使用者停用 POP 和 IMAP 一文。
- 如果使用者使用的是 IMAP、POP 或 SMTP 用戶端,則應支援 OAuth 2.0 機制。
- 如果使用者使用的是 Microsoft Outlook,則應使用 Google Workspace Sync for Microsoft Outlook。
- 堅持為 Google Workspace 帳戶使用高強度密碼。這些密碼被利用的可能性較低,所以可能代表攻擊面。請參閱管理使用者的密碼設定一文。
使用者裝置的最佳做法
- 落實良好的 Cookie 管理措施。Google 會使用 Cookie 在使用者與裝置之間建立關係。因此,只有在需要解除使用者與裝置之間的關聯時,才可以清除 Cookie 或登出。
- 使用 Google 行動應用程式;不僅能為使用者提供最佳體驗,安全也更有保障。
- 更新至最新的作業系統版本並安裝最新的安全性修補程式。為了妥善保護使用者的行動裝置,請要求他們接受最新的更新和安全性修補程式。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。