Google gebruikt een Security Assertion Markup Language (SAML)-provider voor gebruikersauthenticatie. Wanneer uw gebruikers zich aanmelden bij Google Workspace, komen ze op een scherm op de hoofdpagina van Google Workspace terecht waar ze hun identiteit moeten bevestigen.
Hoe vaak zien gebruikers het scherm?
Om de gebruiker zo min mogelijk te hinderen, verschijnt dit scherm slechts één keer per account op een apparaat. Zodra de gebruiker zijn of haar identiteit heeft bevestigd in een specifieke Chrome-browser of op een specifiek apparaat, kan hij of zij veilig opnieuw inloggen zonder opnieuw om bevestiging te vragen.
Opmerking : SSO-gebruikers kunnen extra authenticatie-uitdagingen tegenkomen als u ervoor kiest om uitdagingen met SSO in te schakelen. Dit activeert ook tweestapsverificatie (2SV), indien geconfigureerd voor uw Google-account. (2SV is normaal gesproken uitgeschakeld voor gebruikers die zich aanmelden via SSO.)
Wat is het doel?
- Bescherming tegen phishingaanvallen — Het inlogscherm voorkomt dat Chrome-gebruikers onbewust inloggen op een account dat is aangemaakt en beheerd door een aanvaller. Een phishingcampagne kan een gebruiker bijvoorbeeld verleiden om in te loggen op een Google-account dat door een aanvaller wordt beheerd. Dit type aanval kan gebruikmaken van SAML Single Sign-On (SSO), omdat hiervoor geen interactie van de gebruiker nodig is om in te loggen. Om gebruikers te beschermen, hebben we een authenticatiescherm toegevoegd.
- Een consistente identiteit creëren — Deze nieuwe beveiligingsfunctie maakt deel uit van een groter project om een consistente identiteit te creëren voor Google Workspace-services (zoals Gmail) en native Chrome-browserservices, zoals Chrome Sync. Deze consistentie maakt het voor ingelogde gebruikers gemakkelijker om gebruik te maken van native Chrome-browserfuncties, maar vereist extra bescherming tijdens de authenticatie. Dit nieuwe scherm voegt die bescherming toe en verkleint de kans dat aanvallers SAML SSO misbruiken om gebruikers in te loggen op kwaadwillende accounts.
Kan ik het scherm uitschakelen?
Ja, u kunt het authenticatiescherm uitschakelen. U wilt bijvoorbeeld wellicht het aantal interacties tussen uw gebruikers en Google verminderen.
Om het nieuwe scherm voor uw organisatie uit te schakelen, gebruikt u de HTTP-header X-GoogApps-AllowedDomains om domeinen te identificeren waarvan de gebruikers toegang hebben tot Google-services. Gebruikers in die domeinen zullen het extra scherm niet zien. Google gaat ervan uit dat uw gebruikers deze accounts vertrouwen.
Om de header in te stellen, kunt u ook het groepsbeleid AllowedDomainsForApps gebruiken.