מעבר מ-SSO מדור קודם לפרופילי SSO

ב-Google Workspace יש שתי דרכים להגדיר כניסה יחידה (SSO) עם Google כצד נסמך לספק הזהויות שלכם:

  • פרופיל SSO מדור קודם – מאפשר להגדיר רק ספק זהויות אחד לארגון.
  • פרופילי SSO – הדרך החדשה והמומלצת להגדרת SSO. מאפשרת להחיל הגדרות שונות של SSO על משתמשים שונים בארגון, תומכת ב-SAML וב-OIDC, כוללת ממשקי API מודרניים יותר, ותהיה המוקד של Google לתכונות חדשות.

אנחנו ממליצים לכל הלקוחות לעבור לפרופילים עם כניסה יחידה (SSO) כדי ליהנות מהיתרונות האלה. פרופילי SSO יכולים להתקיים לצד פרופיל ה-SSO של הארגון, כך שאפשר לבדוק פרופילי SSO חדשים לפני שמעבירים את כל הארגון.

סקירה כללית של תהליך המיגרציה

  1. במסוף Admin, יוצרים פרופיל SSO עבור ספק הזהויות ורושמים את הפרופיל החדש בספק הזהויות.
  2. מקצים משתמשי בדיקה לשימוש בפרופיל החדש כדי לוודא שהוא פועל.
  3. משייכים את היחידה הארגונית ברמה העליונה לפרופיל החדש.
  4. מעדכנים כתובות URL ספציפיות לדומיין כדי להשתמש בפרופיל החדש.
  5. ניקוי: ביטול הרישום של ספק השירות הישן, אימות שניהול ההקצאות האוטומטי למשתמשים עדיין פועל.

שלב 1: יצירת פרופיל SSO

  1. כדי ליצור פרופיל חדש של SSO ב-SAML, פועלים לפי השלבים האלה. בפרופיל החדש צריך להשתמש באותו IdP כמו בפרופיל ה-SSO הקיים של הארגון.

  2. רושמים את פרופיל ה-SSO החדש אצל ספק הזהויות כספק שירות חדש.

    ספק הזהויות יראה את הפרופיל החדש כספק שירות נפרד (יכול להיות שהוא יקרא להם 'אפליקציות' או 'צדדים מסתמכים'). אופן הרישום של ספק השירות החדש משתנה בהתאם ל-IdP, אבל בדרך כלל צריך להגדיר את מזהה הישות ואת כתובת ה-URL של שירות צרכן טענות הנכוֹנוּת (ACS) עבור הפרופיל החדש.

הערות למשתמשי API

  • אם אתם משתמשים בפרופיל ה-SSO של הארגון, אתם יכולים להשתמש רק ב-Google Workspace Admin Settings API כדי לנהל את הגדרות ה-SSO.
  • אפשר לנהל פרופילי SSO באמצעות Cloud Identity API בתור inboundSamlSsoProfiles, ולהקצות אותם לקבוצות או ליחידות ארגוניות באמצעות inboundSsoAssignments.

ההבדלים בין פרופילי SSO לבין פרופיל SSO מדור קודם

טענות של סופר-אדמין

פרופילי SSO לא מקבלים הצהרות לגבי סופר-אדמינים. כשמשתמשים בפרופיל ה-SSO של הארגון, טענות מתקבלות, אבל סופר-אדמינים לא מופנים אל ספק ה-IdP. לדוגמה, הטענות הבאות יתקבלו:

  • המשתמש לוחץ על קישור להפעלת האפליקציה מ-IdP (SAML בהפעלת IdP)
  • המשתמש עובר לכתובת URL של שירות שספציפית לדומיין (לדוגמה, https://drive.google.com/a/your_domain.com)
  • המשתמש נכנס למכשיר Chromebook שהוגדר כך שיעבור ישירות לספק הזהויות שלכם. מידע נוסף

הגדרות אימות אחרי כניסה יחידה (SSO)

ההגדרות ששולטות באימות אחרי כניסה יחידה (כמו אתגרי אימות הזהות בכניסה או אימות דו-שלבי) שונות בפרופילי SSO מאשר בפרופיל ה-SSO של הארגון. כדי למנוע בלבול, מומלץ להגדיר את אותו ערך בשתי ההגדרות. מידע נוסף

שלב 2: מקצים משתמשי בדיקה לפרופיל

מומלץ לבדוק את פרופיל ה-SSO החדש על משתמשים בקבוצה אחת או ביחידה ארגונית אחת לפני שמעבירים את כל המשתמשים. משתמשים בקבוצה או ביחידה ארגונית קיימת, או יוצרים חדשה לפי הצורך.

אם יש לכם מכשירי ChromeOS מנוהלים, מומלץ לבצע בדיקות על בסיס יחידות ארגוניות, כי אפשר להקצות מכשירי ChromeOS ליחידות ארגוניות, אבל לא לקבוצות.

  1. (אופציונלי) יוצרים יחידה ארגונית חדשה או הגדרות חדשות לקבוצת משתמשים ומקצים לה משתמשים לבדיקה.
  2. כדי להקצות משתמשים לפרופיל ה-SSO החדש, פועלים לפי השלבים האלה.

הערות לארגונים עם מכשירי ChromeOS מנוהלים

אם הגדרתם SSO למכשירי ChromeOS כך שהמשתמשים מופנים ישירות ל-IdP, כדאי לבדוק את התנהגות ה-SSO בנפרד עבור המשתמשים האלה.

שימו לב: כדי שהכניסה תצליח, פרופיל ה-SSO שהוקצה ליחידה הארגונית של המכשיר צריך להיות זהה לפרופיל ה-SSO שהוקצה ליחידה הארגונית של המשתמש במכשיר.

לדוגמה, אם יש לכם כרגע יחידה ארגונית של מכירות לעובדים שמשתמשים במכשירי Chromebook מנוהלים ונכנסים ישירות ל-IdP שלכם, אתם יכולים ליצור יחידה ארגונית כמו sales_sso_testing, להקצות לה את השימוש בפרופיל החדש ולהעביר אליה חלק מהמשתמשים ואת מכשירי Chromebook שבהם הם משתמשים.

שלב 3: מקצים את היחידה הארגונית ברמה העליונה ומעדכנים את כתובות ה-URL של השירות

אחרי שתבדקו בהצלחה את פרופיל ה-SSO החדש בקבוצת בדיקה או ביחידה ארגונית, תוכלו להעביר משתמשים אחרים.

  1. עוברים אל אבטחה ואז SSO עם ספקי זהות (IdPs) של צד שלישי ואז ניהול הקצאות של פרופיל SSO.
  2. לוחצים על ניהול.
  3. בוחרים את היחידה הארגונית ברמה העליונה ומקצים אותה לפרופיל ה-SSO החדש.
  4. (אופציונלי) אם יחידות ארגוניות או קבוצות אחרות הוקצו לפרופיל ה-SSO של הארגון, צריך להקצות אותן לפרופיל ה-SSO החדש.

שלב 4: מעדכנים כתובות URL שספציפיות לדומיין

אם בארגון שלכם נעשה שימוש בכתובות URL ספציפיות לדומיין (לדוגמה, https://mail.google.com/a/your_domain.com), צריך לעדכן את ההגדרה הזו כדי להשתמש בפרופיל החדש של SSO:

  1. עוברים אל אבטחה ואז SSO עם ספקי זהות (IdPs) של צד שלישי ואז כתובות URL של שירותים הספציפיות לדומיין.
  2. בקטע 'הפניה אוטומטית של המשתמשים ל-IdP מצד שלישי בפרופיל ה-SSO הבא', בוחרים את פרופיל ה-SSO החדש מהרשימה הנפתחת.

שלב 5: ניקוי

  1. בקטע אבטחה ואז SSO עם ספקי זהות (IdPs) של צד שלישי ואז פרופילי SSO, לוחצים על פרופיל SSO מדור קודם כדי לפתוח את הגדרות הפרופיל.
  2. כדי להשבית את הפרופיל מדור קודם, מבטלים את הסימון של התיבה הפעלת פרופיל SSO מדור קודם.
  3. מוודאים שניהול ההקצאות האוטומטי למשתמשים שהוגדר באמצעות ספק ה-IdP פועל בצורה תקינה עם פרופיל ה-SSO החדש.
  4. מבטלים את הרישום של ספק השירות הישן ב-IdP.