מעבר מ-SSO מדור קודם לפרופילי SSO

ב-Google Workspace יש שתי דרכים להגדיר כניסה יחידה (SSO) עם Google כצד נסמך לספק הזהויות שלכם:

  • פרופיל SSO מדור קודם – מאפשר להגדיר רק ספק זהויות אחד לארגון.
  • פרופילי SSO – הדרך החדשה והמומלצת להגדרת SSO. מאפשרת להחיל הגדרות שונות של כניסה יחידה על משתמשים שונים בארגון, תומכת ב-SAML וב-OIDC, כוללת ממשקי API מודרניים יותר ותהיה המוקד של Google לתכונות חדשות.

אנחנו ממליצים לכל הלקוחות לעבור לפרופילי SSO כדי ליהנות מהיתרונות האלה. פרופילי SSO יכולים להתקיים לצד פרופיל ה-SSO של הארגון, כך שאפשר לבדוק פרופילי SSO חדשים לפני שמעבירים את כל הארגון.

סקירה כללית של תהליך המיגרציה

  1. במסוף Admin, יוצרים פרופיל SSO עבור ספק הזהויות ורושמים את הפרופיל החדש בספק הזהויות.
  2. מקצים משתמשי בדיקה לשימוש בפרופיל החדש כדי לוודא שהוא פועל.
  3. משייכים את היחידה הארגונית ברמה העליונה לפרופיל החדש.
  4. מעדכנים כתובות URL ספציפיות לדומיין כדי להשתמש בפרופיל החדש.
  5. ניקוי: ביטול הרישום של ספק השירות הישן, בדיקה שניהול ההקצאות האוטומטי למשתמשים עדיין פועל.

שלב 1: יצירת פרופיל SSO

  1. כדי ליצור פרופיל חדש של SSO ב-SAML, פועלים לפי השלבים האלה. בפרופיל החדש צריך להשתמש באותו IdP כמו בפרופיל ה-SSO הקיים של הארגון.

  2. רושמים את פרופיל ה-SSO החדש אצל ספק הזהויות כספק שירות חדש.

    ספק הזהויות יראה את הפרופיל החדש כספק שירות נפרד (יכול להיות שהוא יקרא להם 'אפליקציות' או 'צדדים מסתמכים'). תהליך הרישום של ספק השירות החדש משתנה בהתאם ל-IdP, אבל בדרך כלל צריך להגדיר את מזהה הישות ואת כתובת ה-URL של שירות צרכן טענות הנכוֹנוּת (ACS) עבור הפרופיל החדש.

הערות למשתמשי API

  • אם אתם משתמשים בפרופיל ה-SSO של הארגון, אתם יכולים להשתמש רק ב-Google Workspace Admin Settings API כדי לנהל את הגדרות ה-SSO.
  • אפשר לנהל פרופילי SSO באמצעות Cloud Identity API בתור inboundSamlSsoProfiles, ולהקצות אותם לקבוצות או ליחידות ארגוניות באמצעות inboundSsoAssignments.

ההבדלים בין פרופילי SSO לבין פרופיל SSO מדור קודם

טענות של סופר-אדמין

פרופילי SSO לא מקבלים הצהרות לגבי סופר-אדמינים. כשמשתמשים בפרופיל ה-SSO של הארגון, טענות מתקבלות, אבל סופר-אדמינים לא מופנים אל ספק ה-IdP. לדוגמה, הטענות הבאות יתקבלו:

  • המשתמש לוחץ על קישור להפעלת אפליקציה מתוך ה-IdP (SAML בהפעלת IdP)
  • המשתמש עובר לכתובת URL של שירות שספציפית לדומיין (לדוגמה, https://drive.google.com/a/your_domain.com)
  • המשתמש נכנס ל-Chromebook שהוגדר כך שיעבור ישירות לספק הזהויות שלכם. מידע נוסף

הגדרות אימות אחרי כניסה יחידה (SSO)

ההגדרות שקובעות את האימות אחרי כניסה יחידה (כמו אתגרי אימות הזהות בכניסה או אימות דו-שלבי) שונות בפרופילי SSO מאשר בפרופיל ה-SSO של הארגון. כדי למנוע בלבול, מומלץ להגדיר את אותו ערך בשתי ההגדרות. מידע נוסף

שלב 2: מקצים משתמשי בדיקה לפרופיל

מומלץ לבדוק את פרופיל ה-SSO החדש על משתמשים בקבוצה אחת או ביחידה ארגונית אחת לפני שמעבירים את כל המשתמשים. משתמשים בקבוצה או ביחידה ארגונית קיימת, או יוצרים חדשה לפי הצורך.

אם יש לכם מכשירי ChromeOS מנוהלים, אנחנו ממליצים לבצע בדיקות שמבוססות על יחידות ארגוניות, כי אפשר להקצות מכשירי ChromeOS ליחידות ארגוניות, אבל לא לקבוצות.

  1. (אופציונלי) יוצרים יחידה ארגונית חדשה או הגדרות חדשות לקבוצת משתמשים ומקצים לה משתמשי בדיקה.
  2. פועלים לפי השלבים האלה כדי להקצות משתמשים לפרופיל ה-SSO החדש.

הערות לארגונים עם מכשירי ChromeOS מנוהלים

אם הגדרתם SSO למכשירי ChromeOS כך שהמשתמשים עוברים ישירות לספק הזהויות, כדאי לבדוק את התנהגות ה-SSO בנפרד עבור המשתמשים האלה.

חשוב לדעת: כדי שהכניסה תצליח, פרופיל ה-SSO שמוקצה ליחידה הארגונית של המכשיר צריך להיות זהה לפרופיל ה-SSO שמוקצה ליחידה הארגונית של המשתמש במכשיר.

לדוגמה, אם יש לכם כרגע יחידה ארגונית של מכירות לעובדים שמשתמשים במכשירי Chromebook מנוהלים ונכנסים ישירות לספק הזהויות שלכם, אתם יכולים ליצור יחידה ארגונית כמו sales_sso_testing, להקצות לה את השימוש בפרופיל החדש ולהעביר אליה חלק מהמשתמשים ואת מכשירי Chromebook שבהם הם משתמשים.

שלב 3: הקצאת היחידה הארגונית ברמה העליונה ועדכון כתובות ה-URL של השירות

אחרי שתבדקו בהצלחה את פרופיל ה-SSO החדש בקבוצת בדיקה או ביחידה ארגונית, תוכלו להעביר משתמשים אחרים.

  1. עוברים אל אבטחהואזSSO עם ספקי זהות (IDPs) של צד שלישיואזניהול הקצאות של פרופיל SSO.
  2. לוחצים על ניהול.
  3. בוחרים את היחידה הארגונית ברמה העליונה ומקצים אותה לפרופיל ה-SSO החדש.
  4. (אופציונלי) אם יחידות ארגוניות או קבוצות אחרות הוקצו לפרופיל ה-SSO של הארגון, צריך להקצות אותן לפרופיל ה-SSO החדש.

שלב 4: מעדכנים כתובות URL שספציפיות לדומיין

אם בארגון שלכם נעשה שימוש בכתובות URL ספציפיות לדומיין (לדוגמה, https://mail.google.com/a/your_domain.com), צריך לעדכן את ההגדרה הזו כדי להשתמש בפרופיל ה-SSO החדש:

  1. עוברים אל אבטחהואזSSO עם ספקי זהות (IDPs) של צד שלישיואזכתובות URL של שירותים שספציפיות לדומיין.
  2. בקטע 'הפניה אוטומטית של המשתמשים ל-IdP מצד שלישי בפרופיל ה-SSO הבא', בוחרים את פרופיל ה-SSO החדש מהרשימה הנפתחת.

שלב 5: ניקוי

  1. בקטע אבטחהואזSSO עם ספקי זהות (IDPs) של צד שלישיואזפרופילי SSO, לוחצים על פרופיל SSO מדור קודם כדי לפתוח את הגדרות הפרופיל.
  2. כדי להשבית את הפרופיל מדור קודם, מבטלים את הסימון של התיבה הפעלת פרופיל SSO מדור קודם.
  3. מוודאים שהקצאת ההרשאות האוטומטית למשתמשים שהוגדרה באמצעות ספק ה-IdP פועלת בצורה תקינה עם פרופיל ה-SSO החדש.
  4. מבטלים את הרישום של ספק השירות הישן ב-IdP.