Google uwierzytelnia swoich użytkowników za pośrednictwem dostawcy SAML (Security Assertion Markup Language). Gdy użytkownik loguje się w Google Workspace, wyświetlany jest mu ekran uwierzytelniania na stronie głównej Google Workspace, na którym musi on potwierdzić swoją tożsamość.
Jak często użytkownicy widzą ekran uwierzytelniania?
Aby nie zakłócać pracy użytkownikom, ten ekran jest wyświetlany tylko raz dla każdego konta na danym urządzeniu. Po potwierdzeniu tożsamości w określonej przeglądarce Chrome lub na danym urządzeniu użytkownik może bezpiecznie logować się ponownie bez konieczności potwierdzania tożsamości za każdym razem.
Uwaga: jeśli włączysz testy zabezpieczające logowanie jednokrotne, użytkownikom korzystającym z tego mechanizmu logowania mogą się wyświetlać dodatkowe testy zabezpieczające. Spowoduje to również włączenie weryfikacji dwuetapowej, jeśli została skonfigurowana na Twoim koncie Google. (Weryfikacja dwuetapowa jest zwykle wyłączona dla użytkowników korzystających z logowania jednokrotnego).
Jaki jest tego cel?
- Ochrona przed atakami phishingowymi – ekran logowania pomaga zapobiegać nieświadomemu logowaniu się w przeglądarce Chrome na konta utworzone lub kontrolowane przez osobę przeprowadzającą atak. W ramach ataku phishingowego użytkownik może na przykład otrzymać prośbę o zalogowanie się na konto Google kontrolowane przez kogoś innego. Atak tego typu może korzystać z logowania jednokrotnego przez SAML, bo nie wymaga interakcji z użytkownikiem w celu ukończenia logowania. Aby chronić użytkowników, dodaliśmy ekran uwierzytelniania.
- Tworzenie spójnej tożsamości – ta nowa funkcja zabezpieczająca stanowi część większego projektu mającego na celu utworzenie spójnej tożsamości we wszystkich usługach Google Workspace (takich jak Gmail) i natywnych usługach przeglądarki Chrome (takich jak Synchronizacja Chrome). Ta spójność ułatwia zalogowanym użytkownikom korzystanie z natywnych funkcji przeglądarki Chrome, co jednak wymaga dodatkowej ochrony podczas uwierzytelniania. Ten nowy ekran zapewnia tę ochronę i zmniejsza prawdopodobieństwo, że osoby przeprowadzające ataki wykorzystają logowanie jednokrotne przez SAML w celu zalogowania użytkowników na szkodliwe konta.
Czy mogę wyłączyć ekran uwierzytelniania?
Tak. Możesz wyłączyć ekran uwierzytelniania. W ten sposób możesz na przykład zmniejszyć liczbę interakcji między użytkownikami i Google.
Aby wyłączyć nowy ekran uwierzytelniania w organizacji, użyj nagłówka HTTP X-GoogApps-AllowedDomains do zidentyfikowania domen, z których użytkownicy mogą uzyskiwać dostęp do usług Google. Użytkownicy w tych domenach nie zobaczą dodatkowego ekranu. Google zakłada, że ich konta są zaufane.
Aby ustawić odpowiedni nagłówek, możesz też użyć zasad grupy AllowedDomainsForApps.