Google sử dụng nhà cung cấp Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) để xác thực người dùng. Khi người dùng đăng nhập vào Google Workspace, họ sẽ thấy một màn hình trên trang chính của Google Workspace để xác nhận danh tính.
Người dùng thấy màn hình này với tần suất như thế nào?
Để giảm thiểu sự gián đoạn cho người dùng, màn hình này chỉ xuất hiện một lần cho mỗi tài khoản trên một thiết bị. Sau khi người dùng xác nhận danh tính của họ trên một Trình duyệt Chrome hoặc thiết bị cụ thể, bạn có thể cho phép họ đăng nhập lại mà không cần yêu cầu họ xác nhận lại danh tính.
Lưu ý: Người dùng Đăng nhập một lần (SSO) có thể thấy các biện pháp xác thực bổ sung nếu bạn chọn để bật các biện pháp xác thực bằng Đăng nhập một lần (SSO). Điều này cũng bật tính năng Xác minh 2 bước (2SV) nếu bạn đã định cấu hình cho Tài khoản Google của mình. (Thông thường, tính năng 2SV sẽ bị tắt đối với những người dùng đăng nhập qua SSO.)
Mục đích là gì?
- Bảo vệ chống lại các cuộc tấn công lừa đảo—Màn hình đăng nhập giúp ngăn người dùng Trình duyệt Chrome vô tình đăng nhập vào một tài khoản do kẻ tấn công tạo và kiểm soát. Ví dụ: một chiến dịch giả mạo có thể lừa người dùng đăng nhập vào một Tài khoản Google do kẻ tấn công kiểm soát. Loại hình tấn công này có thể sử dụng tính năng đăng nhập một lần (SSO) dựa trên SAML vì không yêu cầu người dùng tương tác để hoàn tất quy trình đăng nhập. Để bảo vệ người dùng, chúng tôi đã thêm một màn hình xác thực.
- Tạo danh tính nhất quán—Tính năng bảo mật mới này là một phần của dự án lớn hơn nhằm tạo danh tính nhất quán trên các dịch vụ của Google Workspace (chẳng hạn như Gmail) và các dịch vụ gốc của Trình duyệt Chrome, chẳng hạn như tính năng đồng bộ hoá Chrome. Tính nhất quán này giúp người dùng đã đăng nhập dễ dàng tận dụng các tính năng gốc của Trình duyệt Chrome, nhưng cần có biện pháp bảo vệ bổ sung trong quá trình xác thực. Màn hình mới này bổ sung biện pháp bảo vệ đó và giảm khả năng kẻ tấn công lợi dụng SSO dựa trên SAML để đăng nhập người dùng vào các tài khoản độc hại.
Tôi có thể tắt màn hình này không?
Có, bạn có thể tắt màn hình xác thực. Ví dụ: bạn có thể muốn giảm số lần tương tác giữa người dùng và Google.
Để tắt màn hình mới cho tổ chức của bạn, hãy sử dụng tiêu đề HTTP X-GoogApps-AllowedDomains header để xác định các miền mà người dùng có thể truy cập vào các dịch vụ của Google. Người dùng trong những miền đó sẽ không thấy màn hình bổ sung. Google giả định rằng người dùng tin tưởng những tài khoản đó.
Để đặt tiêu đề, bạn cũng có thể sử dụng chính sách nhóm AllowedDomainsForApps.