Переход с устаревшей системы единого входа (SSO) на профили единого входа (SSO).

Google Workspace предлагает два способа настройки единого входа (SSO) с Google в качестве зависимой стороны по отношению к вашему поставщику идентификационных данных:

  • Устаревший профиль SSO — позволяет настроить только один поставщик идентификации (IdP) для вашей организации.
  • SSO profiles — The newer, recommended way to set up SSO. Lets you apply different SSO settings to different users in your organization, supports both SAML and OIDC, has more modern APIs, and will be Google's focus for new features.

We advise all customers to migrate to SSO profiles to take advantage of these benefits. SSO profiles can coexist with the SSO profile for your organization, so you can test new SSO profiles before transitioning your whole organization.

Обзор процесса миграции

  1. В консоли администратора создайте профиль SSO для вашего поставщика идентификации (IdP) и зарегистрируйте новый профиль в вашем IdP.
  2. Назначьте тестовых пользователей для использования нового профиля, чтобы убедиться в его работоспособности.
  3. Присвойте новому профилю ваше высшее организационное подразделение.
  4. Обновите URL-адреса, относящиеся к конкретному домену, чтобы использовать новый профиль.
  5. Выполните очистку: отмените регистрацию старого поставщика услуг и убедитесь, что автоматическое предоставление доступа пользователям по-прежнему работает.

Шаг 1: Создайте профиль SSO

  1. Выполните следующие шаги для создания нового профиля SAML SSO. В вашем новом профиле должен использоваться тот же поставщик идентификации (IdP), что и в существующем профиле SSO для вашей организации.

  2. Зарегистрируйте новый профиль SSO в вашем IdP в качестве нового поставщика услуг.

    Your IdP will see the new profile as a distinct Service Provider (it may call these "Apps" or "Relying Parties"). How you register the new Service Provider will vary with your IdP, but it typically requires configuring the Entity ID and Assertion Consumer Service (ACS) URL for the new profile.

Примечания для пользователей API

  • Если вы используете профиль единого входа (SSO) для своей организации, вы можете управлять настройками SSO только с помощью API настроек администратора Google Workspace .
  • API Cloud Identity позволяет управлять профилями SSO как inboundSamlSsoProfiles и назначать их группам или организационным подразделениям с помощью inboundSsoAssignments.

Различия между профилями единого входа (SSO) и устаревшим профилем единого входа (SSO).

Утверждения суперадминистратора

SSO profiles don't accept assertions about superadmins. When using the SSO profile for your organization, assertions are accepted, but super admins are not redirected to the IdP. For example, the following assertions would be accepted:

  • Пользователь переходит по ссылке запуска приложения от вашего поставщика идентификации (инициированный поставщиком идентификации SAML).
  • Пользователь переходит по URL-адресу сервиса, специфичного для данного домена (например, https://drive.google.com/a/your_domain.com ).
  • Пользователь входит в систему на Chromebook, настроенном на прямой переход к вашему поставщику идентификации (IdP). Подробнее .

Настройки проверки после SSO

Settings which control post-SSO verification (such as login challenges or 2-Step Verification) are different for SSO profiles than for the SSO profile for your organization. To avoid confusion, we recommend setting both settings to the same value. Learn more .

Шаг 2: Назначьте тестовых пользователей профилю.

It's a good idea to initially test your new SSO profile on users in a single group or organizational unit before switching over all users. Use an existing group or organizational unit, or create a new one as needed.

Если вы управляете устройствами ChromeOS, мы рекомендуем тестирование на уровне организационных подразделений, поскольку вы можете назначать устройства ChromeOS организационным подразделениям, но не группам.

  1. (Необязательно) Создайте новое организационное подразделение или группу конфигурации и назначьте в нее тестовых пользователей.
  2. Выполните следующие шаги , чтобы назначить пользователей новому профилю единого входа (SSO).

Примечания для организаций, использующих управляемые устройства ChromeOS.

Если вы настроили единый вход (SSO) для устройств ChromeOS таким образом, что пользователи переходят непосредственно к вашему поставщику идентификации (IdP) , вам следует отдельно протестировать работу SSO для этих пользователей.

Обратите внимание, что для успешного входа в систему профиль SSO, назначенный организационному подразделению устройства, должен совпадать с профилем SSO, назначенным организационному подразделению пользователя устройства.

For example if you currently have a Sales organizational unit for employees who use managed Chromebooks and sign in directly to your IdP, create an organizational unit such as "sales_sso_testing", assign it to use the new profile, and move some users and the Chromebooks they use into that organizational unit.

Шаг 3: Назначьте ваше высшее организационное подразделение и обновите URL-адреса сервисов.

После успешного тестирования нового профиля SSO в тестовой группе или организационном подразделении вы готовы переключить других пользователей.

  1. Перейдите в раздел «Безопасность» . а потом Единый вход (SSO) с поставщиками идентификации третьих лиц а потом Управление назначением профилей SSO .
  2. Нажмите «Управление» .
  3. Выберите ваше подразделение верхнего уровня и назначьте его новому профилю единого входа (SSO).
  4. (Необязательно) Если к профилю единого входа (SSO) вашей организации привязаны другие организационные подразделения или группы, привяжите их к новому профилю SSO.

Шаг 4: Обновите URL-адреса, относящиеся к конкретному домену.

Если ваша организация использует URL-адреса, привязанные к конкретному домену (например, https://mail.google.com/a/your_domain.com ), обновите этот параметр, чтобы использовать новый профиль единого входа (SSO):

  1. Перейдите в раздел «Безопасность» . а потом Единый вход (SSO) с поставщиками идентификации третьих лиц а потом URL-адреса служб, специфичных для конкретного домена .
  2. В разделе «Автоматически перенаправлять пользователей на стороннего поставщика идентификации в следующем профиле SSO» выберите новый профиль SSO из раскрывающегося списка.

Шаг 5: Уборка

  1. В сфере безопасности а потом Единый вход (SSO) с поставщиками идентификации третьих лиц а потом Для открытия настроек профиля SSO нажмите на профиль Legacy SSO .
  2. Снимите флажок «Включить устаревший профиль SSO» , чтобы отключить устаревший профиль.
  3. Убедитесь, что автоматическая настройка предоставления доступа пользователям корректно работает с вашим новым профилем SSO.
  4. Отмените регистрацию старого поставщика услуг в вашем IdP.