درباره صفحه تأیید هویت SSO

گوگل از یک ارائه‌دهنده‌ی زبان نشانه‌گذاری امنیتی (SAML) برای احراز هویت کاربر استفاده می‌کند. وقتی کاربران شما وارد Google Workspace می‌شوند، برای تأیید هویت خود به صفحه‌ای در صفحه اصلی Google Workspace می‌رسند.

کاربران چند وقت یکبار صفحه نمایش را می‌بینند؟

برای به حداقل رساندن اختلال برای کاربر، این صفحه فقط یک بار برای هر حساب کاربری در یک دستگاه نمایش داده می‌شود. هنگامی که کاربر هویت خود را در یک مرورگر کروم یا دستگاه خاص تأیید کرد، می‌توان بدون درخواست تأیید مجدد هویت، به او اجازه داد دوباره وارد سیستم شود.

توجه : اگر کاربران SSO را فعال کنید، ممکن است با چالش‌های احراز هویت بیشتری مواجه شوند. این گزینه، در صورت پیکربندی برای حساب گوگل شما، تأیید هویت دو مرحله‌ای (2SV) را نیز فعال می‌کند. (2SV معمولاً برای کاربرانی که از طریق SSO وارد سیستم می‌شوند غیرفعال است.)

هدف چیست؟

  • محافظت در برابر حملات فیشینگ — صفحه ورود به سیستم به کاربران مرورگر کروم کمک می‌کند تا از ورود ناآگاهانه به حسابی که توسط یک مهاجم ایجاد و کنترل می‌شود، جلوگیری کنند. به عنوان مثال، یک کمپین فیشینگ می‌تواند کاربر را فریب دهد تا به حساب گوگلی که توسط یک مهاجم کنترل می‌شود، وارد شود. این نوع حمله می‌تواند از ورود یکپارچه SAML (SSO) استفاده کند، زیرا برای تکمیل ورود به سیستم نیازی به تعامل کاربر ندارد. برای محافظت از کاربران، ما یک صفحه احراز هویت اضافه کرده‌ایم.
  • ایجاد یک هویت منسجم — این ویژگی امنیتی جدید بخشی از یک پروژه بزرگتر برای ایجاد یک هویت منسجم در سرویس‌های Google Workspace (مانند Gmail) و سرویس‌های بومی مرورگر Chrome، مانند Chrome sync، است. این انسجام، استفاده از ویژگی‌های بومی مرورگر Chrome را برای کاربران وارد شده آسان‌تر می‌کند، اما در حین احراز هویت به محافظت بیشتری نیاز دارد. این صفحه جدید این محافظت را اضافه می‌کند و احتمال سوءاستفاده مهاجمان از SAML SSO برای ورود کاربران به حساب‌های مخرب را کاهش می‌دهد.

آیا می‌توانم صفحه نمایش را غیرفعال کنم؟

بله، شما می‌توانید صفحه احراز هویت را غیرفعال کنید. برای مثال، ممکن است بخواهید تعداد تعاملات بین کاربران و گوگل را کاهش دهید.

برای غیرفعال کردن صفحه جدید برای سازمان خود، از هدر HTTP مربوط به X-GoogApps-AllowedDomains برای شناسایی دامنه‌هایی که کاربرانشان می‌توانند به سرویس‌های گوگل دسترسی داشته باشند، استفاده کنید. کاربران این دامنه‌ها صفحه اضافی را نخواهند دید. گوگل فرض می‌کند که این حساب‌ها مورد اعتماد کاربران شما هستند.

برای تنظیم هدر، می‌توانید از سیاست گروهی AllowedDomainsForApps نیز استفاده کنید.