Migrazione dall'accesso SSO legacy ai profili SSO

Google Workspace offre due modi per configurare il Single Sign-On (SSO) con Google come parte attendibile del tuo provider di identità:

  • Profilo SSO legacy: consente di configurare un solo IdP per l'organizzazione.
  • Profili SSO: il modo più recente e consigliato per configurare l'accesso SSO. Ti consente di applicare impostazioni SSO diverse a utenti diversi della tua organizzazione, supporta sia SAML che OIDC, dispone di API più moderne e sarà il focus di Google per le nuove funzionalità.

Consigliamo a tutti i clienti di eseguire la migrazione ai profili SSO per usufruire di questi vantaggi. I profili SSO possono coesistere con il profilo SSO della tua organizzazione; pertanto, puoi testare i nuovi profili SSO prima di eseguire la transizione dell'intera organizzazione.

Panoramica del processo di migrazione

  1. Nella Console di amministrazione, crea un profilo SSO per il tuo IdP e registralo.
  2. Assegna agli utenti di test il nuovo profilo da utilizzare per verificare che funzioni.
  3. Assegna l'unità organizzativa di primo livello al nuovo profilo.
  4. Aggiorna gli URL specifici del dominio in modo che utilizzino il nuovo profilo.
  5. Pulizia: annulla la registrazione del vecchio fornitore di servizi e verifica che il provisioning automatico degli utenti funzioni ancora.

Passaggio 1: crea un profilo SSO

  1. Segui questi passaggi per creare un nuovo profilo SAML SSO. Il nuovo profilo deve utilizzare lo stesso IdP del profilo SSO esistente della tua organizzazione.

  2. Registra il nuovo profilo SSO indicando il tuo IdP come nuovo fornitore di servizi.

    L'IdP vedrà il nuovo profilo come un fornitore di servizi distinto (potrebbe chiamarlo "App" o "Parti attendibili"). La modalità di registrazione del nuovo fornitore di servizi varia in base all'IdP, ma in genere richiede la configurazione dell'ID entità e dell'URL Assertion Consumer Service (ACS) per il nuovo profilo.

Note per gli utenti API

  • Se utilizzi il profilo SSO della tua organizzazione, puoi usare solo l'API Google Workspace Admin Settings per gestire le impostazioni SSO.
  • L'API Cloud Identity può gestire i profili SSO come inboundSamlSsoProfiles e assegnarli a gruppi o unità organizzative utilizzando inboundSsoAssignments.

Differenze tra i profili SSO e il profilo SSO legacy

Asserzioni del super amministratore

I profili SSO non accettano asserzioni sui super amministratori. Quando utilizzi il profilo SSO della tua organizzazione, le asserzioni vengono accettate, ma i super amministratori non vengono reindirizzati all'IdP. Ad esempio, le seguenti dichiarazioni sarebbero accettate:

  • L'utente segue un link di avvio app dal tuo IdP (SAML avviato dall'IdP)
  • L'utente accede a un URL di servizio specifico del dominio (ad esempio, https://drive.google.com/a/your_domain.com)
  • L'utente accede a un Chromebook configurato per passare direttamente al tuo IdP. Scopri di più.

Impostazioni di verifica post-SSO

Le impostazioni che controllano la verifica post-SSO (ad esempio, le verifiche dell'accesso o la verifica in due passaggi) dei profili SSO sono diverse rispetto a quelle del profilo SSO della tua organizzazione. Per evitare confusione, ti consigliamo di impostare entrambe le impostazioni sullo stesso valore. Scopri di più.

Passaggio 2: assegna utenti di test al profilo

Ti consigliamo di testare inizialmente il nuovo profilo SSO sugli utenti di un singolo gruppo o di una singola unità organizzativa prima di effettuare il passaggio di tutti gli utenti. Utilizza un gruppo o un'unità organizzativa esistente oppure creane di nuovi in base alle esigenze.

Se hai dispositivi ChromeOS gestiti, ti consigliamo di eseguire test sulle unità organizzative, poiché puoi assegnare i dispositivi ChromeOS alle unità organizzative, ma non ai gruppi.

  1. (Facoltativo) Crea una nuova unità organizzativa o un nuovo gruppo di configurazione da assegnare agli utenti di test.
  2. Segui questi passaggi per assegnare utenti al nuovo profilo SSO.

Note per le organizzazioni con dispositivi ChromeOS gestiti

Se hai configurato SSO per i dispositivi ChromeOS in modo che gli utenti navighino direttamente al tuo IdP, ti consigliamo di testare il comportamento di SSO separatamente per questi utenti.

Tieni presente che, per l'accesso, il profilo SSO assegnato all'unità organizzativa del dispositivo deve corrispondere a quello assegnato all'unità organizzativa dell'utente del dispositivo.

Ad esempio, se attualmente hai un'unità organizzativa Vendite per i dipendenti che utilizzano Chromebook gestiti e accedono direttamente al tuo IdP, crea un'unità organizzativa come "sales_sso_testing", assegnala all'utilizzo del nuovo profilo e sposta alcuni utenti e i Chromebook che utilizzano in questa unità organizzativa.

Passaggio 3: assegna l'unità organizzativa di primo livello e aggiorna gli URL dei servizi

Dopo aver testato correttamente il nuovo profilo SSO in un gruppo di test o in un'unità organizzativa, puoi passare ad altri utenti.

  1. Vai a Sicurezzae poiSSO con IdP di terze partie poiGestisci assegnazioni di profili SSO.
  2. Fai clic su Gestisci.
  3. Seleziona l'unità organizzativa di primo livello e assegnala al nuovo profilo SSO.
  4. (Facoltativo) Se al profilo SSO della tua organizzazione sono assegnate altre unità organizzative o altri gruppi, assegnali al nuovo profilo SSO.

Passaggio 4: aggiorna gli URL specifici del dominio

Se la tua organizzazione utilizza URL specifici del dominio (ad esempio, https://mail.google.com/a/your_domain.com), aggiorna l'impostazione in modo da utilizzare il nuovo profilo SSO:

  1. Vai a Sicurezzae poiSSO con IdP di terze partie poiURL di servizio specifici del dominio.
  2. Nella sezione Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente, seleziona il nuovo profilo SSO dall'elenco a discesa.

Passaggio 5: pulizia

  1. In Sicurezzae poiSSO con IdP di terze partie poiProfili SSO, fai clic su Profilo SSO legacy per aprire le impostazioni del profilo.
  2. Deseleziona Abilita profilo SSO legacy per disabilitare il profilo legacy.
  3. Verifica che il provisioning automatico degli utenti configurato con il tuo IdP funzioni correttamente con il nuovo profilo SSO.
  4. Annulla la registrazione del vecchio fornitore di servizi dall'IdP.