Google משתמשת בספק Security Assertion Markup Language (SAML) לאימות משתמשים. כשהמשתמשים נכנסים ל-Google Workspace, הם מגיעים למסך בדף הראשי של Google Workspace כדי לאשר את הזהות שלהם.
באיזו תדירות המשתמשים רואים את המסך?
כדי לצמצם את ההפרעה למשתמש, המסך הזה מופיע רק פעם אחת לכל חשבון במכשיר. אחרי שהמשתמש מאשר את הזהות שלו בדפדפן Chrome או במכשיר ספציפי, אפשר לאפשר לו להיכנס שוב בלי לבקש ממנו לאשר מחדש את הזהות שלו.
הערה: אם תבחרו להפעיל אתגרי אימות זהות בכניסה לחשבון באמצעות SSO, יכול להיות שמשתמשים עם SSO יראו אתגרי אימות נוספים. הפעולה הזו גם מפעילה אימות דו-שלבי (2SV), אם הוא מוגדר בחשבון Google. (בדרך כלל, אימות דו-שלבי מושבת למשתמשים שנכנסים באמצעות SSO).
מה המטרה?
- הגנה מפני התקפות פישינג – מסך הכניסה עוזר למשתמשי דפדפן Chrome למנוע כניסה לחשבון שנוצר ונשלט על ידי תוקף, בלי שהם יודעים על כך. לדוגמה, קמפיין פישינג יכול לגרום למשתמש להיכנס לחשבון Google שנשלט על ידי תוקף. בסוג הזה של התקפה יכול להיות שימוש בכניסה יחידה (SSO) ב-SAML, כי היא לא דורשת אינטראקציה של המשתמש כדי להשלים את הכניסה. כדי להגן על המשתמשים, הוספנו מסך אימות.
- יצירת זהות עקבית – תכונת האבטחה החדשה הזו היא חלק מפרויקט גדול יותר ליצירת זהות עקבית בשירותי Google Workspace (כמו Gmail) ובשירותים מקוריים של דפדפן Chrome, כמו סנכרון Chrome. העקביות הזו מקלה על משתמשים שמחוברים לחשבון לנצל את התכונות המובנות של דפדפן Chrome, אבל היא מחייבת הגנה נוספת במהלך האימות. המסך החדש הזה מוסיף את ההגנה הזו ומקטין את הסיכוי שתוקפים ינצלו לרעה את ה-SSO ב-SAML כדי להכניס משתמשים לחשבונות זדוניים.
אפשר להשבית את המסך?
כן, אפשר להשבית את מסך האימות. לדוגמה, יכול להיות שתרצו לצמצם את מספר האינטראקציות בין המשתמשים שלכם לבין Google.
כדי להשבית את המסך החדש בארגון, צריך להשתמש בכותרת ה-HTTP X-GoogApps-AllowedDomains כדי לזהות דומיינים שהמשתמשים שלהם יכולים לגשת לשירותי Google. המשתמשים בדומיינים האלה לא יראו את המסך הנוסף. Google מניחה שהמשתמשים שלכם סומכים על החשבונות האלה.
אפשר גם להשתמש במדיניות הקבוצה AllowedDomainsForApps כדי להגדיר את הכותרת.