Migrar de SSO legado para perfis de SSO

O Google Workspace oferece duas maneiras de configurar o Logon único (SSO) com o Google como uma parte confiável do seu provedor de identidade:

  • Perfil de SSO legado: permite configurar apenas um IdP para sua organização.
  • Perfis de SSO: a maneira mais recente e recomendada de configurar o SSO. Permite aplicar configurações de SSO diferentes a usuários diferentes na sua organização, oferece suporte a SAML e OIDC, tem APIs mais modernas e será o foco do Google para novos recursos.

Recomendamos que todos os clientes migrem para perfis de SSO para aproveitar esses benefícios. Os perfis de SSO podem coexistir com o perfil de SSO da sua organização. Assim, você pode testar novos perfis antes de fazer a transição de toda a organização.

Visão geral do processo de migração

  1. No Admin Console, crie um perfil de SSO para o IdP e registre-o com ele.
  2. Atribua usuários de teste para usar o novo perfil e confirmar se ele funciona.
  3. Atribua sua unidade organizacional principal ao novo perfil.
  4. Atualize os URLs específicos do domínio para usar o novo perfil.
  5. Limpeza: cancele a inscrição do provedor de serviços antigo e verifique se o provisionamento automático de usuários ainda funciona.

Etapa 1: criar um perfil de SSO

  1. Siga estas etapas para criar um novo perfil de SSO via SAML. O novo perfil precisa usar o mesmo IdP do perfil de SSO da sua organização.

  2. Registre o novo perfil de SSO com o IdP como um novo provedor de serviços.

    O IdP vai considerar o novo perfil como um provedor de serviços distinto (ele pode chamar esses perfis de "apps" ou "partes confiáveis"). A forma de registrar o novo provedor de serviços varia de acordo com o IdP, mas geralmente requer a configuração do ID da entidade e do URL do serviço de declaração do consumidor (ACS) para o novo perfil.

Observações para usuários da API

  • Se você usa o perfil de SSO da sua organização, só pode usar a API Google Workspace Admin Settings para gerenciar as configurações de SSO.
  • A API Cloud Identity pode gerenciar perfis de SSO como inboundSamlSsoProfiles e atribuir a grupos ou unidades organizacionais usando inboundSsoAssignments.

Diferenças entre os perfis de SSO e o perfil de SSO legado

Declarações de superadministrador

Os perfis de SSO não aceitam declarações sobre superadministradores. Ao usar o perfil de SSO da sua organização, as declarações são aceitas, mas os superadministradores não são redirecionados para o IdP. Por exemplo, as seguintes declarações são aceitas:

  • O usuário segue um link do iniciador de apps do seu IdP (SAML iniciado pelo IdP)
  • O usuário navega até um URL de serviço específico do domínio (por exemplo, https://drive.google.com/a/your_domain.com)
  • O usuário faz login em um Chromebook configurado para navegar diretamente para o IdP. Saiba mais.

Configurações de verificação pós-SSO

As configurações que controlam a verificação pós-SSO (como desafios de login ou verificação em duas etapas) são diferentes para os perfis de SSO e para o perfil de SSO da sua organização. Para evitar confusão, recomendamos definir as duas configurações com o mesmo valor. Saiba mais.

Etapa 2: atribuir usuários de teste ao perfil

É recomendável testar o novo perfil de SSO em um grupo ou unidade organizacional antes de fazer a mudança em todos os usuários. Use um grupo ou uma unidade organizacional existente ou crie uma nova, conforme necessário.

Se você tiver dispositivos ChromeOS gerenciados, recomendamos o teste baseado em unidades organizacionais, já que é possível atribuir dispositivos ChromeOS a unidades organizacionais, mas não a grupos.

  1. (Opcional) Crie uma unidade organizacional ou um grupo de configuração e atribua usuários de teste a ele.
  2. Siga estas etapas para atribuir usuários ao novo perfil de SSO.

Observações para organizações com dispositivos ChromeOS gerenciados

Se você configurou o SSO para dispositivos ChromeOS para que os usuários naveguem diretamente para o IdP, teste o comportamento do SSO separadamente para essas pessoas.

Para que o login seja bem-sucedido, o perfil de SSO atribuído à unidade organizacional do dispositivo precisa corresponder ao perfil de SSO atribuído à unidade organizacional do usuário do dispositivo.

Por exemplo, se você tiver uma unidade organizacional de vendas para funcionários que usam Chromebooks gerenciados e fazem login diretamente no IdP, crie uma unidade organizacional como "sales_sso_testing", atribua a ela o uso do novo perfil e mova alguns usuários e os Chromebooks que eles usam para essa unidade organizacional.

Etapa 3: atribuir a unidade organizacional principal e atualizar os URLs de serviço

Depois de testar o novo perfil de SSO em um grupo de teste ou unidade organizacional, você poderá trocar de usuário.

  1. Acesse Segurança e depois SSO com IdPs de terceiros e depois Gerenciar atribuições do perfil de SSO.
  2. Clique em Gerenciar.
  3. Selecione a unidade organizacional de nível superior e atribua ao novo perfil de SSO.
  4. (Opcional) Se outras unidades organizacionais ou grupos estiverem atribuídos ao perfil de SSO da sua organização, atribua-os ao novo perfil de SSO.

Etapa 4: atualizar URLs específicos do domínio

Se sua organização usa URLs específicos do domínio (por exemplo, https://mail.google.com/a/your_domain.com), atualize essa configuração para usar o novo perfil de SSO:

  1. Acesse Segurança e depois SSO com IDPs de terceiros e depois URLs de serviço específicos do domínio.
  2. Em "Redirecionar automaticamente os usuários para o IdP de terceiros no seguinte perfil de SSO", selecione o novo perfil de SSO na lista suspensa.

Etapa 5: limpeza

  1. Em Segurança e depois SSO com IdPs de terceiros e depois Perfis de SSO, clique em Perfil de SSO legado para abrir as configurações do perfil.
  2. Desmarque a opção Ativar perfil de SSO legado para desativar o perfil legado.
  3. Confirme se o provisionamento automático de usuários configurado com o IdP funciona corretamente com o novo perfil de SSO.
  4. Cancele o registro do provedor de serviços antigo no IdP.