Migracja ze starszego profilu SSO na profile SSO

Google Workspace zapewnia 2 sposoby konfigurowania logowania jednokrotnego (SSO) w Google jako jednostki uzależnionej dostawcy tożsamości:

  • Starszy profil SSO – umożliwia skonfigurowanie tylko jednego dostawcy tożsamości dla organizacji.
  • Profile SSO – nowy, zalecany sposób konfigurowania logowania jednokrotnego. Umożliwia stosowanie różnych ustawień logowania jednokrotnego do różnych użytkowników w organizacji, obsługuje SAML i OIDC, ma nowocześniejsze interfejsy API i będzie głównym obszarem, na którym Google będzie się koncentrować w przypadku nowych funkcji.

Zalecamy wszystkim klientom przejście na profile SSO, aby mogli korzystać z tych korzyści. Profile SSO mogą współistnieć z profilem SSO Twojej organizacji, dzięki czemu możesz przetestować nowe profile SSO przed przejściem na nie w całej organizacji.

Omówienie procesu migracji

  1. W konsoli administracyjnej utwórz profil SSO dla dostawcy tożsamości i zarejestruj nowy profil przy użyciu dostawcy tożsamości.
  2. Przypisz użytkowników testowych do korzystania z nowego profilu, aby sprawdzić, czy działa.
  3. Przypisz jednostkę organizacyjną najwyższego poziomu do nowego profilu.
  4. Zaktualizuj URL-e specyficzne dla domeny, aby używać nowego profilu.
  5. Uporządkuj: wyrejestruj poprzedniego dostawcę usług i sprawdź, czy automatyczna obsługa administracyjna użytkowników nadal działa.

Krok 1. Utwórz profil logowania jednokrotnego

  1. Aby utworzyć nowy profil logowania jednokrotnego przez SAML, wykonaj te czynności. Nowy profil powinien korzystać z tego samego dostawcy tożsamości co dotychczasowy profil SSO w organizacji.

  2. Zarejestruj nowy profil SSO przy użyciu dostawcy tożsamości jako nowego dostawcę usługi.

    Twój dostawca tożsamości zobaczy nowy profil jako odrębnego dostawcę usług (może nazywać je „aplikacjami” lub „jednostkami uzależnionymi”). Sposób rejestracji nowego dostawcy usług zależy od dostawcy tożsamości, ale zwykle wymaga skonfigurowania identyfikatora jednostki i adresu URL usługi ACS dla nowego profilu.

Uwagi dla użytkowników interfejsu API

  • Jeśli używasz profilu SSO w organizacji, możesz zarządzać ustawieniami SSO tylko za pomocą interfejsu Google Workspace Admin Settings API.
  • Interfejs Cloud Identity API może zarządzać profilami logowania jednokrotnego jako inboundSamlSsoProfiles i przypisywać je do grup lub jednostek organizacyjnych za pomocą inboundSsoAssignments.

Różnice między profilami SSO a starszym profilem SSO

Potwierdzenia superadministratora

Profile SSO nie akceptują potwierdzeń dotyczących superadministratorów. Gdy używasz profilu SSO w organizacji, potwierdzenia są akceptowane, ale superadministratorzy nie są przekierowywani do dostawcy tożsamości. Na przykład zaakceptowane zostaną te potwierdzenia:

  • Użytkownik klika link do menu z aplikacjami od dostawcy tożsamości (protokół SAML inicjowany przez dostawcę tożsamości)
  • Użytkownik przechodzi do adresu URL usługi specyficznego dla domeny (na przykład https://drive.google.com/a/your_domain.com).
  • Użytkownik loguje się na Chromebooku skonfigurowanym tak, aby przechodzić bezpośrednio do dostawcy tożsamości. Więcej informacji

Ustawienia weryfikacji po logowaniu jednokrotnym

Ustawienia, które kontrolują weryfikację po logowaniu jednokrotnym (takie jak testy zabezpieczające logowanie czy weryfikacja dwuetapowa), różnią się w przypadku profili SSO i profilu SSO dla organizacji. Aby uniknąć pomyłek, zalecamy ustawienie obu ustawień na tę samą wartość. Więcej informacji

Krok 2. Przypisz użytkowników testowych do profilu

Zanim przełączysz wszystkich użytkowników, warto najpierw przetestować nowy profil SSO na użytkownikach w pojedynczej grupie lub jednostce organizacyjnej. Użyj istniejącej grupy lub jednostki organizacyjnej albo w razie potrzeby utwórz nową.

Jeśli masz zarządzane urządzenia z ChromeOS, zalecamy testowanie na podstawie jednostek organizacyjnych, ponieważ urządzenia z ChromeOS możesz przypisywać do jednostek organizacyjnych, a nie do grup.

  1. (Opcjonalnie) Utwórz nową jednostkę organizacyjną lub grupę konfiguracji i przypisz do niej użytkowników testowych.
  2. Aby przypisać użytkowników do nowego profilu SSO, wykonaj te czynności.

Uwagi dla organizacji korzystających z zarządzanych urządzeń z ChromeOS

Jeśli masz skonfigurowane logowanie jednokrotne na urządzeniach z ChromeOS, aby użytkownicy przechodzili bezpośrednio do dostawcy tożsamości, musisz osobno przetestować działanie logowania jednokrotnego w przypadku tych użytkowników.

Aby logowanie się powiodło, profil logowania jednokrotnego przypisany do jednostki organizacyjnej urządzenia musi być zgodny z profilem logowania jednokrotnego przypisanym do jednostki organizacyjnej użytkownika urządzenia.

Jeśli na przykład masz obecnie jednostkę organizacyjną „Sprzedaż” dla pracowników, którzy używają zarządzanych Chromebooków i logują się bezpośrednio u dostawcy tożsamości, utwórz jednostkę organizacyjną, np. „testowanie_logowania_jednokrotnego_sprzedaż”, przypisz do niej nowy profil i przenieś do niej niektórych użytkowników oraz używane przez nich Chromebooki.

Krok 3. Przypisz jednostkę organizacyjną najwyższego poziomu i zaktualizuj URL-e usług

Po pomyślnym przetestowaniu nowego profilu logowania jednokrotnego w grupie testowej lub jednostce organizacyjnej możesz przełączyć innych użytkowników.

  1. Otwórz Zabezpieczenia a potem Logowanie jednokrotne przy użyciu zewnętrznych dostawców tożsamości a potem Zarządzaj przypisaniem profili logowania jednokrotnego.
  2. Kliknij Zarządzaj.
  3. Wybierz jednostkę organizacyjną najwyższego poziomu i przypisz ją do nowego profilu SSO.
  4. (Opcjonalnie) Jeśli inne jednostki organizacyjne lub grupy są przypisane do profilu SSO w Twojej organizacji, przypisz je do nowego profilu SSO.

Krok 4. Zaktualizuj URL-e specyficzne dla domeny

Jeśli Twoja organizacja używa URL-i specyficznych dla domeny (np. https://mail.google.com/a/your_domain.com), zaktualizuj to ustawienie, aby używać nowego profilu SSO:

  1. Otwórz Zabezpieczenia a potem Logowanie jednokrotne przy użyciu zewnętrznych dostawców tożsamości a potem URL-e usług specyficzne dla domeny.
  2. W sekcji Automatycznie kieruj użytkowników do zewnętrznego dostawcy tożsamości w następującym profilu logowania jednokrotnego wybierz z listy nowy profil logowania jednokrotnego.

Krok 5. Zwolnij miejsce

  1. W sekcji Zabezpieczenia a potem Logowanie jednokrotne przy użyciu zewnętrznych dostawców tożsamości a potem Profile logowania jednokrotnego kliknij Starszy profil SSO, aby otworzyć ustawienia profilu.
  2. Odznacz pole Włącz starszy profil SSO, aby wyłączyć starszy profil.
  3. Sprawdź, czy automatyczna obsługa administracyjna użytkowników skonfigurowana w dostawcy tożsamości działa prawidłowo z nowym profilem SSO.
  4. Wyrejestruj poprzedniego dostawcę usług u dostawcy tożsamości.