این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

مهاجرت از SSO قدیمی به پروفایل‌های SSO

Google Workspace دو روش برای راه‌اندازی ورود یکپارچه (SSO) با Google به عنوان طرف متکی به ارائه‌دهنده هویت شما ارائه می‌دهد:

پروفایل SSO قدیمی - به شما امکان می‌دهد فقط یک IdP را برای سازمان خود پیکربندی کنید.
پروفایل‌های SSO — روش جدیدتر و توصیه‌شده برای راه‌اندازی SSO. به شما امکان می‌دهد تنظیمات SSO متفاوتی را برای کاربران مختلف در سازمان خود اعمال کنید، از SAML و OIDC پشتیبانی می‌کند، APIهای مدرن‌تری دارد و تمرکز گوگل برای ویژگی‌های جدید بر روی آن خواهد بود.

ما به همه مشتریان توصیه می‌کنیم برای بهره‌مندی از این مزایا به پروفایل‌های SSO مهاجرت کنند. پروفایل‌های SSO می‌توانند در کنار پروفایل SSO سازمان شما وجود داشته باشند، بنابراین می‌توانید قبل از انتقال کل سازمان، پروفایل‌های SSO جدید را آزمایش کنید.

مروری بر روند مهاجرت

در کنسول مدیریت، یک پروفایل SSO برای IdP خود ایجاد کنید و پروفایل جدید را با IdP خود ثبت کنید.
برای تأیید کارکرد صحیح، به کاربران آزمایشی اجازه دهید از پروفایل جدید استفاده کنند.
واحد سازمانی ارشد خود را به نمایه جدید اختصاص دهید.
برای استفاده از نمایه جدید، URL های خاص دامنه را به‌روزرسانی کنید.
پاکسازی: ثبت ارائه‌دهنده خدمات قبلی خود را لغو کنید، تأیید کنید که ارائه خودکار کاربر هنوز کار می‌کند.

مرحله 1: ایجاد پروفایل SSO

برای ایجاد یک پروفایل SAML SSO جدید، این مراحل را دنبال کنید. پروفایل جدید شما باید از همان IdP پروفایل SSO موجود برای سازمان شما استفاده کند.
نمایه SSO جدید را به عنوان ارائه دهنده خدمات جدید در IdP خود ثبت کنید.
IdP شما، پروفایل جدید را به عنوان یک ارائه‌دهنده خدمات مجزا می‌بیند (ممکن است این ارائه‌دهندگان را "Apps" یا "Relying Parties" بنامد). نحوه ثبت ارائه‌دهنده خدمات جدید با IdP شما متفاوت خواهد بود، اما معمولاً نیاز به پیکربندی شناسه موجودیت و آدرس اینترنتی سرویس مصرف‌کننده ادعا (ACS) برای پروفایل جدید دارد.

یادداشت‌هایی برای کاربران API

اگر از نمایه SSO برای سازمان خود استفاده می‌کنید، فقط می‌توانید از API تنظیمات مدیریت Google Workspace برای مدیریت تنظیمات SSO استفاده کنید.
رابط برنامه‌نویسی کاربردی هویت ابری (Cloud Identity API) می‌تواند پروفایل‌های SSO را به عنوان inboundSamlSsoProfiles مدیریت کند و آنها را با استفاده از inboundSsoAssignments به گروه‌ها یا واحدهای سازمانی اختصاص دهد.

تفاوت‌های بین پروفایل‌های SSO و پروفایل SSO قدیمی

ادعاهای فوق مدیر

پروفایل‌های SSO ادعاهای مربوط به مدیران ارشد را نمی‌پذیرند. هنگام استفاده از پروفایل SSO برای سازمان خود، ادعاها پذیرفته می‌شوند، اما مدیران ارشد به IdP هدایت نمی‌شوند. به عنوان مثال، ادعاهای زیر پذیرفته می‌شوند:

کاربر یک لینک راه‌اندازی برنامه از IdP شما را دنبال می‌کند (SAML آغاز شده توسط IdP)
کاربر به یک URL سرویس خاص دامنه (مثلاً https://drive.google.com/a/your_domain.com ) هدایت می‌شود.
کاربر وارد کروم‌بوکی می‌شود که طوری پیکربندی شده تا مستقیماً به IdP شما هدایت شود. اطلاعات بیشتر .

تنظیمات تأیید پس از SSO

تنظیماتی که تأیید پس از SSO را کنترل می‌کنند (مانند چالش‌های ورود یا تأیید دو مرحله‌ای) برای پروفایل‌های SSO با پروفایل SSO سازمان شما متفاوت است. برای جلوگیری از سردرگمی، توصیه می‌کنیم هر دو تنظیم را روی یک مقدار یکسان تنظیم کنید. اطلاعات بیشتر .

مرحله ۲: کاربران آزمایشی را به پروفایل اختصاص دهید

ایده خوبی است که قبل از تغییر همه کاربران، ابتدا پروفایل SSO جدید خود را روی کاربران یک گروه یا واحد سازمانی آزمایش کنید. از یک گروه یا واحد سازمانی موجود استفاده کنید یا در صورت نیاز یک گروه یا واحد سازمانی جدید ایجاد کنید.

اگر دستگاه‌های ChromeOS را مدیریت کرده‌اید، آزمایش مبتنی بر واحد سازمانی را توصیه می‌کنیم، زیرا می‌توانید دستگاه‌های ChromeOS را به واحدهای سازمانی اختصاص دهید، اما نمی‌توانید آنها را به گروه‌ها اختصاص دهید.

(اختیاری) یک واحد سازمانی یا گروه پیکربندی جدید ایجاد کنید و کاربران آزمایشی را به آن اختصاص دهید.
برای اختصاص کاربران به پروفایل SSO جدید ، این مراحل را دنبال کنید.

یادداشت‌هایی برای سازمان‌هایی که دستگاه‌های ChromeOS مدیریت‌شده دارند

اگر SSO را برای دستگاه‌های ChromeOS پیکربندی کرده‌اید تا کاربران مستقیماً به IdP شما هدایت شوند ، باید رفتار SSO را برای این کاربران جداگانه آزمایش کنید.

توجه داشته باشید که برای موفقیت‌آمیز بودن ورود به سیستم، نمایه SSO اختصاص داده شده به واحد سازمانی دستگاه باید با نمایه SSO اختصاص داده شده به واحد سازمانی کاربر دستگاه مطابقت داشته باشد.

برای مثال، اگر در حال حاضر یک واحد سازمانی فروش برای کارمندانی دارید که از کروم‌بوک‌های مدیریت‌شده استفاده می‌کنند و مستقیماً به IdP شما وارد می‌شوند، یک واحد سازمانی مانند "sales_sso_testing" ایجاد کنید، آن را به استفاده از نمایه جدید اختصاص دهید و برخی از کاربران و کروم‌بوک‌های مورد استفاده آنها را به آن واحد سازمانی منتقل کنید.

مرحله ۳: واحد سازمانی ارشد خود را تعیین کنید و URL های سرویس را به روز کنید

پس از آزمایش موفقیت‌آمیز پروفایل SSO جدید روی یک گروه آزمایشی یا واحد سازمانی، آماده‌اید تا کاربران دیگر را تغییر دهید.

به امنیت بروید SSO با آوارگان داخلی شخص ثالث مدیریت تخصیص پروفایل‌های SSO
روی مدیریت کلیک کنید.
واحد سازمانی سطح بالای خود را انتخاب کنید و آن را به پروفایل SSO جدید اختصاص دهید.
(اختیاری) اگر واحدها یا گروه‌های سازمانی دیگری به پروفایل SSO سازمان شما اختصاص داده شده‌اند، آنها را به پروفایل SSO جدید اختصاص دهید.

مرحله ۴: به‌روزرسانی URLهای مختص دامنه

اگر سازمان شما از URL های مختص دامنه استفاده می‌کند (برای مثال، https://mail.google.com/a/your_domain.com )، آن تنظیم را برای استفاده از نمایه SSO جدید به‌روزرسانی کنید:

به امنیت بروید SSO با آوارگان داخلی شخص ثالث URL های سرویس خاص دامنه .
در قسمت «به‌طور خودکار کاربران را به IdP شخص ثالث در نمایه SSO زیر هدایت کنید»، نمایه SSO جدید را از لیست کشویی انتخاب کنید.

مرحله ۵: تمیز کردن

در بخش امنیت SSO با آوارگان داخلی شخص ثالث برای باز کردن تنظیمات پروفایل ، روی پروفایل Legacy SSO کلیک کنید.
برای غیرفعال کردن پروفایل قدیمی، تیک گزینه‌ی «فعال کردن پروفایل قدیمی SSO» را بردارید.
تأیید کنید که تنظیمات خودکار تأمین کاربر با IdP شما به درستی با پروفایل SSO جدیدتان کار می‌کند.
ارائه دهنده خدمات قدیمی را از IdP خود لغو ثبت کنید.

مهاجرت از SSO قدیمی به پروفایل‌های SSO با مجموعه‌ها، منظم بمانید ذخیره و طبقه‌بندی محتوا براساس اولویت‌های شما.