Google sử dụng một nhà cung cấp Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) để xác thực người dùng. Khi đăng nhập vào Google Workspace, người dùng sẽ thấy một màn hình trên trang chính của Google Workspace để xác nhận danh tính của họ.
Tần suất người dùng nhìn thấy màn hình này?
Để giảm thiểu sự gián đoạn cho người dùng, màn hình này chỉ xuất hiện một lần cho mỗi tài khoản trên một thiết bị. Sau khi người dùng xác nhận danh tính của họ trên một Chrome Browser hoặc thiết bị cụ thể, bạn có thể cho phép họ đăng nhập lại mà không cần yêu cầu họ xác nhận lại danh tính.
Lưu ý: Người dùng SSO có thể thấy các yêu cầu xác thực bổ sung nếu bạn chọn bật các yêu cầu xác thực bằng SSO. Thao tác này cũng bật tính năng Xác minh 2 bước (2SV) nếu bạn đã thiết lập cho Tài khoản Google của mình. (Tính năng xác minh 2 bước thường bị vô hiệu hoá đối với những người dùng đăng nhập qua SSO.)
Mục đích là gì?
- Bảo vệ khỏi các cuộc tấn công giả mạo – Màn hình đăng nhập giúp ngăn người dùng Trình duyệt Chrome vô tình đăng nhập vào một tài khoản do kẻ tấn công tạo và kiểm soát. Ví dụ: một chiến dịch tấn công giả mạo có thể lừa người dùng đăng nhập vào Tài khoản Google do kẻ tấn công kiểm soát. Loại tấn công này có thể sử dụng tính năng đăng nhập một lần (SSO) dựa trên SAML, vì không yêu cầu người dùng tương tác để hoàn tất quá trình đăng nhập. Để bảo vệ người dùng, chúng tôi đã thêm một màn hình xác thực.
- Tạo một danh tính nhất quán – Tính năng bảo mật mới này là một phần của dự án lớn hơn nhằm tạo một danh tính nhất quán trên các dịch vụ của Google Workspace (chẳng hạn như Gmail) và các dịch vụ gốc của Trình duyệt Chrome, chẳng hạn như tính năng đồng bộ hoá của Chrome. Sự nhất quán này giúp người dùng đã đăng nhập dễ dàng tận dụng các tính năng gốc của Trình duyệt Chrome, nhưng cần có thêm biện pháp bảo vệ trong quá trình xác thực. Màn hình mới này sẽ tăng cường biện pháp bảo vệ đó và giảm khả năng kẻ tấn công lợi dụng tính năng SSO dựa trên SAML để đăng nhập người dùng vào các tài khoản độc hại.
Tôi có thể tắt màn hình không?
Có, bạn có thể tắt màn hình xác thực. Ví dụ: bạn có thể muốn giảm số lần tương tác giữa người dùng và Google.
Để tắt màn hình mới cho tổ chức của bạn, hãy sử dụng tiêu đề X-GoogApps-AllowedDomains HTTP để xác định những miền mà người dùng có thể truy cập vào các dịch vụ của Google. Người dùng trong những miền đó sẽ không thấy màn hình bổ sung. Google giả định rằng người dùng của bạn tin tưởng những tài khoản đó.
Để đặt tiêu đề, bạn cũng có thể sử dụng chính sách AllowedDomainsForApps group.