Google использует SAML (Security Assertion Markup Language) для аутентификации пользователей. Когда ваши пользователи входят в Google Workspace, они попадают на главную страницу Google Workspace, где им необходимо подтвердить свою личность.
Как часто пользователи видят этот экран?
Чтобы свести к минимуму неудобства для пользователя, этот экран отображается только один раз для каждой учетной записи на устройстве. После того, как пользователь подтвердит свою личность в конкретном браузере Chrome или на конкретном устройстве, можно безопасно разрешить ему войти в систему снова, не запрашивая повторного подтверждения личности.
Примечание : Пользователи, использующие единый вход (SSO), могут столкнуться с дополнительными запросами на аутентификацию, если вы включите такие запросы. Это также включает двухфакторную аутентификацию (2SV), если она настроена для вашей учетной записи Google. (Обычно 2SV отключена для пользователей, входящих через SSO.)
В чём цель?
- Защита от фишинговых атак — Экран входа в систему помогает предотвратить несанкционированный вход пользователей браузера Chrome в учетную запись, созданную и контролируемую злоумышленником. Например, фишинговая кампания может обманом заставить пользователя войти в учетную запись Google, контролируемую злоумышленником. Этот тип атаки может использовать единый вход SAML (SSO), поскольку он не требует взаимодействия с пользователем для завершения входа. Для защиты пользователей мы добавили экран аутентификации.
- Создание единой системы идентификации — Эта новая функция безопасности является частью более масштабного проекта по созданию единой системы идентификации между сервисами Google Workspace (такими как Gmail) и собственными сервисами браузера Chrome, такими как Chrome Sync. Эта единообразие упрощает использование встроенных функций браузера Chrome для авторизованных пользователей, но требует дополнительной защиты во время аутентификации. Новый экран обеспечивает такую защиту и снижает вероятность злоумышленников, использующих SAML SSO для входа пользователей в вредоносные учетные записи.
Можно ли отключить экран?
Да, вы можете отключить экран аутентификации. Например, вы можете захотеть уменьшить количество взаимодействий между вашими пользователями и Google.
Чтобы отключить новый экран для вашей организации, используйте HTTP-заголовок X-GoogApps-AllowedDomains для идентификации доменов, пользователи которых имеют доступ к сервисам Google. Пользователи этих доменов не увидят дополнительный экран. Google предполагает, что эти учетные записи пользуются доверием ваших пользователей.
Для установки заголовка можно также использовать групповую политику AllowedDomainsForApps .