Migrera från äldre SSO till SSO-profiler

Google Workspace erbjuder två sätt att konfigurera enkel inloggning (SSO) med Google som förlitande part till din identitetsleverantör:

  • Äldre SSO-profil – Låter dig konfigurera endast en IdP för din organisation.
  • SSO-profiler – Det nyare, rekommenderade sättet att konfigurera SSO. Låter dig tillämpa olika SSO-inställningar på olika användare i din organisation, stöder både SAML och OIDC, har modernare API:er och kommer att vara Googles fokus för nya funktioner.

Vi rekommenderar alla kunder att migrera till SSO-profiler för att dra nytta av dessa fördelar. SSO-profiler kan samexistera med SSO-profilen för din organisation, så att du kan testa nya SSO-profiler innan du övergår till hela organisationen.

Översikt över migreringsprocessen

  1. Skapa en SSO-profil för din IdP i administratörskonsolen och registrera den nya profilen hos din IdP.
  2. Tilldela testanvändare att använda den nya profilen för att bekräfta att den fungerar.
  3. Tilldela din högsta organisationsenhet till den nya profilen.
  4. Uppdatera domänspecifika webbadresser för att använda den nya profilen.
  5. Rensa upp: avregistrera din gamla tjänsteleverantör, kontrollera att automatisk användarprovisionering fortfarande fungerar.

Steg 1: Skapa en SSO-profil

  1. Följ dessa steg för att skapa en ny SAML SSO-profil. Din nya profil bör använda samma IdP som din befintliga SSO-profil för din organisation.

  2. Registrera den nya SSO-profilen hos din IdP som en ny tjänsteleverantör.

    Din IdP kommer att se den nya profilen som en separat tjänsteleverantör (den kan kalla dessa "Appar" eller "Förlitande parter"). Hur du registrerar den nya tjänsteleverantören varierar beroende på din IdP, men det kräver vanligtvis att du konfigurerar enhets-ID och ACS-URL (Assertion Consumer Service) för den nya profilen.

Anmärkningar för API-användare

  • Om du använder SSO-profilen för din organisation kan du bara använda Google Workspace Admin Settings API för att hantera SSO-inställningar.
  • Cloud Identity API kan hantera SSO-profiler som inboundSamlSsoProfiles och tilldela dem till grupper eller organisationsenheter med hjälp av inboundSsoAssignments.

Skillnader mellan SSO-profiler och den äldre SSO-profilen

Superadministratörspåståenden

SSO-profiler accepterar inte påståenden om superadministratörer. När du använder SSO-profilen för din organisation accepteras påståenden, men superadministratörer omdirigeras inte till IdP:n. Till exempel skulle följande påståenden accepteras:

  • Användaren följer en appstartarlänk från din IdP (IdP-initierad SAML)
  • Användaren navigerar till en domänspecifik tjänst-URL (till exempel https://drive.google.com/a/din_domän.com )
  • Användaren loggar in på en Chromebook som är konfigurerad för att navigera direkt till din IdP. Läs mer .

Inställningar för verifiering efter SSO

Inställningar som styr verifiering efter SSO (t.ex. inloggningsutmaningar eller tvåstegsverifiering) skiljer sig för SSO-profiler än för SSO-profilen för din organisation. För att undvika förvirring rekommenderar vi att du ställer in båda inställningarna på samma värde. Läs mer .

Steg 2: Tilldela testanvändare till profilen

Det är en bra idé att först testa din nya SSO-profil på användare i en enda grupp eller organisationsenhet innan du växlar över alla användare. Använd en befintlig grupp eller organisationsenhet, eller skapa en ny efter behov.

Om du har hanterade ChromeOS-enheter rekommenderar vi testning baserad på organisationsenheter, eftersom du kan tilldela ChromeOS-enheter till organisationsenheter, men inte till grupper.

  1. (Valfritt) Skapa en ny organisationsenhet eller konfigurationsgrupp och tilldela testanvändare till den.
  2. Följ dessa steg för att tilldela användare till den nya SSO-profilen.

Anmärkningar för organisationer med hanterade ChromeOS-enheter

Om du har konfigurerat SSO för ChromeOS-enheter så att användare navigerar direkt till din IdP , bör du testa SSO-beteendet separat för dessa användare.

Observera att för att inloggningen ska lyckas måste SSO-profilen som tilldelats enhetens organisationsenhet matcha SSO-profilen som tilldelats enhetsanvändarens organisationsenhet.

Om du till exempel för närvarande har en organisationsenhet för försäljning för anställda som använder hanterade Chromebooks och loggar in direkt på din IdP, skapa en organisationsenhet som "sales_sso_testing", tilldela den att använda den nya profilen och flytta vissa användare och de Chromebooks de använder till den organisationsenheten.

Steg 3: Tilldela din främsta organisationsenhet och uppdatera tjänstens URL:er

När du har testat den nya SSO-profilen på en testgrupp eller organisationsenhet är du redo att byta andra användare.

  1. Gå till Säkerhet och sedan SSO med tredjeparts-IDP:er och sedan Hantera tilldelningar av SSO-profiler .
  2. Klicka på Hantera .
  3. Välj din organisationsenhet på högsta nivå och tilldela den till den nya SSO-profilen.
  4. (Valfritt) Om andra organisationsenheter eller grupper har tilldelats SSO-profilen för din organisation, tilldela dessa till den nya SSO-profilen.

Steg 4: Uppdatera domänspecifika webbadresser

Om din organisation använder domänspecifika webbadresser (till exempel https://mail.google.com/a/din_domän.com ) uppdaterar du den inställningen för att använda den nya SSO-profilen:

  1. Gå till Säkerhet och sedan SSO med tredjeparts-IDP:er och sedan Domänspecifika tjänst-URL :er.
  2. Under Omdirigera användare automatiskt till tredjeparts-IdP:n i följande SSO-profil väljer du den nya SSO-profilen från listrutan.

Steg 5: Städa upp

  1. Vid säkerhetsvakten och sedan SSO med tredjeparts-IDP:er och sedan SSO-profiler , klicka på den äldre SSO-profilen för att öppna profilinställningarna.
  2. Avmarkera Aktivera äldre SSO-profil för att inaktivera den äldre profilen.
  3. Bekräfta att automatisk användarprovisionering som konfigurerats med din IdP fungerar korrekt med din nya SSO-profil.
  4. Avregistrera den gamla tjänsteleverantören från din IdP.