Google משתמשת בספק של Security Assertion Markup Language (SAML) לאימות משתמשים. כשהמשתמשים נכנסים ל-Google Workspace, הם מגיעים למסך בדף הראשי של Google Workspace כדי לאשר את הזהות שלהם.
באיזו תדירות המשתמשים רואים את המסך?
כדי לצמצם את ההפרעה למשתמש, המסך הזה מופיע רק פעם אחת לכל חשבון במכשיר. אחרי שהמשתמש מאשר את הזהות שלו בדפדפן Chrome או במכשיר ספציפי, אפשר לאפשר לו להיכנס שוב לחשבון בלי לבקש ממנו לאשר מחדש את הזהות שלו.
הערה: אם תבחרו להפעיל אתגרי אימות עם SSO, משתמשים עם SSO עשויים לראות אתגרי אימות נוספים.הפעולה הזו תפעיל גם אימות דו-שלבי (2SV), אם הוא מוגדר בחשבון Google שלכם. (בדרך כלל, אימות דו-שלבי מושבת למשתמשים שנכנסים באמצעות SSO).
מה המטרה?
- הגנה מפני מתקפות פישינג – מסך הכניסה עוזר למשתמשי דפדפן Chrome למנוע כניסה לא מכוונת לחשבון שנוצר ומנוהל על ידי תוקף. לדוגמה, קמפיין פישינג יכול לגרום למשתמש להיכנס לחשבון Google שמנוהל על ידי תוקף. סוג כזה של מתקפה יכול להשתמש בכניסה יחידה (SSO) ב-SAML, כי היא לא דורשת אינטראקציה של משתמש כדי להשלים כניסה. כדי להגן על המשתמשים, הוספנו מסך אימות.
- יצירת זהות עקבית – תכונת האבטחה החדשה הזו היא חלק מפרויקט גדול יותר ליצירת זהות עקבית בשירותי Google Workspace (כמו Gmail) ובשירותים מקוריים של דפדפן Chrome, כמו סנכרון Chrome. העקביות הזו מקלה על משתמשים שמחוברים לחשבון לנצל את התכונות המובנות של דפדפן Chrome, אבל היא מחייבת אמצעי הגנה נוספים במהלך האימות. המסך החדש הזה מוסיף את ההגנה הזו ומקטין את הסיכוי שתוקפים ינצלו לרעה את ה-SSO ב-SAML כדי להכניס משתמשים לחשבונות זדוניים.
אפשר להשבית את המסך?
כן, אפשר להשבית את מסך האימות. לדוגמה, יכול להיות שתרצו לצמצם את מספר האינטראקציות בין המשתמשים שלכם לבין Google.
כדי להשבית את המסך החדש בארגון, צריך להשתמש בכותרת ה-HTTP X-GoogApps-AllowedDomains כדי לזהות דומיינים שהמשתמשים בהם יכולים לגשת לשירותי Google. משתמשים בדומיינים האלה לא יראו את המסך הנוסף. Google מניחה שהמשתמשים שלכם סומכים על החשבונות האלה.
אפשר גם להשתמש במדיניות הקבוצה AllowedDomainsForApps כדי להגדיר את הכותרת.