מעבר מ-SSO מדור קודם לפרופילי SSO

ב-Google Workspace יש שתי דרכים להגדיר כניסה יחידה (SSO) עם Google כצד נסמך לספק הזהויות שלכם:

  • פרופיל SSO מדור קודם – מאפשר להגדיר רק ספק זהויות אחד לארגון.
  • פרופילי SSO – הדרך החדשה והמומלצת להגדרת SSO. מאפשרת להחיל הגדרות שונות של כניסה יחידה על משתמשים שונים בארגון, תומכת ב-SAML וב-OIDC, כוללת ממשקי API מודרניים יותר ותהיה המוקד של Google לתכונות חדשות.

אנחנו ממליצים לכל הלקוחות לעבור לפרופילים עם כניסה יחידה (SSO) כדי ליהנות מהיתרונות האלה. פרופילי SSO יכולים להתקיים לצד פרופיל ה-SSO של הארגון, כך שאפשר לבדוק פרופילי SSO חדשים לפני שמעבירים את כל הארגון.

סקירה כללית של תהליך המיגרציה

  1. במסוף Admin, יוצרים פרופיל SSO עבור IdP ורושמים את הפרופיל החדש ב-IdP.
  2. מקצים משתמשי בדיקה לשימוש בפרופיל החדש כדי לוודא שהוא פועל.
  3. משייכים את היחידה הארגונית ברמה העליונה לפרופיל החדש.
  4. מעדכנים כתובות URL ספציפיות לדומיין כדי להשתמש בפרופיל החדש.
  5. ניקוי: ביטול הרישום של ספק השירות הישן, וידוא שניהול ההקצאות האוטומטי למשתמשים עדיין פועל.

שלב 1: יצירת פרופיל של SSO

  1. כדי ליצור פרופיל חדש של SSO ב-SAML, פועלים לפי השלבים האלה. בפרופיל החדש צריך להשתמש באותו IdP כמו בפרופיל ה-SSO הקיים של הארגון.

  2. רושמים את פרופיל ה-SSO החדש אצל ספק הזהויות כספק שירות חדש.

    ספק הזהויות יראה את הפרופיל החדש כספק שירות נפרד (יכול להיות שהוא יקרא להם 'אפליקציות' או 'צדדים מסתמכים'). אופן הרישום של ספק השירות החדש משתנה בהתאם ל-IdP, אבל בדרך כלל נדרשת הגדרה של מזהה ישות ב-SAML וכתובת אתר של ACS עבור הפרופיל החדש.

הערות למשתמשי API

  • אם אתם משתמשים בפרופיל ה-SSO של הארגון, אתם יכולים להשתמש רק ב-Google Workspace Admin Settings API כדי לנהל את הגדרות ה-SSO.
  • אפשר לנהל פרופילי SSO באמצעות Cloud Identity API בתור inboundSamlSsoProfiles, ולהקצות אותם לקבוצות או ליחידות ארגוניות באמצעות inboundSsoAssignments.

ההבדלים בין פרופילי SSO לבין פרופיל SSO מדור קודם

טענות של סופר-אדמין

פרופילי SSO לא מקבלים הצהרות לגבי סופר-אדמינים. כשמשתמשים בפרופיל ה-SSO של הארגון, טענות מתקבלות, אבל סופר-אדמינים לא מופנים אל ספק הזהויות. לדוגמה, הטענות הבאות יתקבלו:

  • המשתמש לוחץ על קישור למפעיל האפליקציות מ-IdP (SAML בהפעלת IdP)
  • המשתמש עובר לכתובת URL של שירות שספציפית לדומיין (לדוגמה, https://drive.google.com/a/your_domain.com)
  • המשתמש נכנס למכשיר Chromebook שהוגדר כך שיעבור ישירות ל-IdP שלכם. מידע נוסף

הגדרות אימות אחרי כניסה יחידה (SSO)

ההגדרות ששולטות באימות אחרי כניסה יחידה (כמו אתגרי אימות הזהות בכניסה או אימות דו-שלבי) שונות בפרופילי SSO מאשר בפרופיל ה-SSO של הארגון. כדי למנוע בלבול, מומלץ להגדיר את אותו ערך בשתי ההגדרות. מידע נוסף

שלב 2: מקצים משתמשי בדיקה לפרופיל

מומלץ לבדוק את פרופיל ה-SSO החדש על משתמשים בקבוצה אחת או ביחידה ארגונית אחת לפני שמעבירים את כל המשתמשים. משתמשים בקבוצה או ביחידה ארגונית קיימות, או יוצרים חדשות לפי הצורך.

אם יש לכם מכשירי ChromeOS מנוהלים, מומלץ לבצע בדיקות לפי יחידות ארגוניות, כי אפשר להקצות מכשירי ChromeOS ליחידות ארגוניות, אבל לא לקבוצות.

  1. (אופציונלי) יוצרים יחידה ארגונית חדשה או הגדרות חדשות לקבוצת משתמשים ומקצים לה משתמשים לבדיקה.
  2. כדי להקצות משתמשים לפרופיל ה-SSO החדש, פועלים לפי השלבים האלה.

הערות לארגונים עם מכשירי ChromeOS מנוהלים

אם הגדרתם SSO למכשירי ChromeOS כך שהמשתמשים מופנים ישירות לספק הזהויות, כדאי לבדוק את התנהגות ה-SSO בנפרד עבור המשתמשים האלה.

שימו לב: כדי שהכניסה תצליח, פרופיל ה-SSO שהוקצה ליחידה הארגונית של המכשיר צריך להיות זהה לפרופיל ה-SSO שהוקצה ליחידה הארגונית של המשתמש במכשיר.

לדוגמה, אם יש לכם כרגע יחידה ארגונית של מכירות לעובדים שמשתמשים במכשירי Chromebook מנוהלים ונכנסים ישירות ל-IdP שלכם, צרו יחידה ארגונית כמו sales_sso_testing, הקצו לה את הפרופיל החדש והעבירו אליה חלק מהמשתמשים ואת מכשירי ה-Chromebook שבהם הם משתמשים.

שלב 3: מקצים את היחידה הארגונית ברמה העליונה ומעדכנים את כתובות ה-URL של השירות

אחרי שתבדקו בהצלחה את פרופיל ה-SSO החדש בקבוצת בדיקה או ביחידה ארגונית, תוכלו להעביר משתמשים אחרים.

  1. עוברים אל אבטחה ואז SSO עם ספקי זהות (IdPs) של צד שלישי ואז ניהול הקצאות של פרופיל SSO.
  2. לוחצים על ניהול.
  3. בוחרים את היחידה הארגונית ברמה העליונה ומקצים אותה לפרופיל ה-SSO החדש.
  4. (אופציונלי) אם יחידות ארגוניות או קבוצות אחרות הוקצו לפרופיל ה-SSO של הארגון, צריך להקצות אותן לפרופיל ה-SSO החדש.

שלב 4: מעדכנים כתובות URL שספציפיות לדומיין

אם בארגון שלכם נעשה שימוש בכתובות URL ספציפיות לדומיין (לדוגמה, https://mail.google.com/a/your_domain.com), צריך לעדכן את ההגדרה הזו כדי להשתמש בפרופיל החדש של SSO:

  1. עוברים אל אבטחה ואז SSO עם ספקי זהות (IdPs) של צד שלישי ואז כתובות URL של שירותים הספציפיות לדומיין.
  2. בקטע 'הפניה אוטומטית של המשתמשים ל-IdP מצד שלישי בפרופיל ה-SSO הבא', בוחרים את פרופיל ה-SSO החדש מהרשימה הנפתחת.

שלב 5: ניקוי

  1. בקטע אבטחה ואז SSO עם ספקי זהות (IdPs) של צד שלישי ואז פרופילי SSO, לוחצים על פרופיל SSO מדור קודם כדי לפתוח את הגדרות הפרופיל.
  2. כדי להשבית את הפרופיל מדור קודם, מבטלים את הסימון של התיבה הפעלת פרופיל SSO מדור קודם.
  3. מוודאים שניהול ההקצאות האוטומטי למשתמשים שהוגדר באמצעות ספק ה-IdP פועל בצורה תקינה עם פרופיל ה-SSO החדש.
  4. מבטלים את הרישום של ספק השירות הישן ב-IdP.