Переход с устаревшей системы единого входа (SSO) на профили единого входа (SSO).

Google Workspace предлагает два способа настройки единого входа (SSO) с Google в качестве зависимой стороны по отношению к вашему поставщику идентификационных данных:

  • Устаревший профиль SSO — позволяет настроить только один поставщик идентификации (IdP) для вашей организации.
  • Профили SSO — более новый и рекомендуемый способ настройки единого входа (SSO). Позволяет применять различные настройки SSO к разным пользователям в вашей организации, поддерживает как SAML, так и OIDC, имеет более современные API и станет приоритетным направлением для разработки новых функций Google.

Мы рекомендуем всем клиентам перейти на профили единого входа (SSO), чтобы воспользоваться этими преимуществами. Профили SSO могут сосуществовать с профилем SSO вашей организации, поэтому вы можете протестировать новые профили SSO перед переходом на SSO для всей организации.

Обзор процесса миграции

  1. В консоли администратора создайте профиль SSO для вашего поставщика идентификации (IdP) и зарегистрируйте новый профиль в вашем IdP.
  2. Назначьте тестовых пользователей для использования нового профиля, чтобы убедиться в его работоспособности.
  3. Присвойте новому профилю ваше высшее организационное подразделение.
  4. Обновите URL-адреса, относящиеся к конкретному домену, чтобы использовать новый профиль.
  5. Выполните очистку: отмените регистрацию старого поставщика услуг и убедитесь, что автоматическое предоставление доступа пользователям по-прежнему работает.

Шаг 1: Создайте профиль SSO

  1. Выполните следующие шаги для создания нового профиля SAML SSO. В вашем новом профиле должен использоваться тот же поставщик идентификации (IdP), что и в существующем профиле SSO для вашей организации.

  2. Зарегистрируйте новый профиль SSO в вашем IdP в качестве нового поставщика услуг.

    Ваш поставщик идентификации (IdP) будет рассматривать новый профиль как отдельного поставщика услуг (он может называть их «приложениями» или «зависимыми сторонами»). Способ регистрации нового поставщика услуг будет зависеть от вашего IdP, но обычно он требует настройки идентификатора сущности и URL-адреса службы обработки утверждений (ACS) для нового профиля.

Примечания для пользователей API

  • Если вы используете профиль единого входа (SSO) для своей организации, вы можете управлять настройками SSO только с помощью API настроек администратора Google Workspace .
  • API Cloud Identity позволяет управлять профилями SSO как inboundSamlSsoProfiles и назначать их группам или организационным подразделениям с помощью inboundSsoAssignments.

Различия между профилями единого входа (SSO) и устаревшим профилем единого входа (SSO).

Утверждения суперадминистратора

Профили SSO не принимают утверждения о суперадминистраторах. При использовании профиля SSO для вашей организации утверждения принимаются, но суперадминистраторы не перенаправляются на IdP. Например, следующие утверждения будут приняты:

  • Пользователь переходит по ссылке запуска приложения от вашего поставщика идентификации (инициированный поставщиком идентификации SAML).
  • Пользователь переходит по URL-адресу сервиса, специфичного для данного домена (например, https://drive.google.com/a/your_domain.com ).
  • Пользователь входит в систему на Chromebook, настроенном на прямой переход к вашему поставщику идентификации (IdP). Подробнее .

Настройки проверки после SSO

Настройки, управляющие проверкой после единого входа (например, запросы на подтверждение входа или двухфакторная аутентификация), различаются для профилей единого входа и для профиля единого входа вашей организации. Во избежание путаницы мы рекомендуем установить для обеих настроек одинаковое значение. Подробнее .

Шаг 2: Назначьте тестовых пользователей профилю.

Перед переключением на всех пользователей рекомендуется сначала протестировать новый профиль единого входа (SSO) на пользователях из одной группы или организационного подразделения. Используйте существующую группу или организационное подразделение или создайте новое по мере необходимости.

Если вы управляете устройствами ChromeOS, мы рекомендуем тестирование на уровне организационных подразделений, поскольку вы можете назначать устройства ChromeOS организационным подразделениям, но не группам.

  1. (Необязательно) Создайте новое организационное подразделение или группу конфигурации и назначьте в нее тестовых пользователей.
  2. Выполните следующие шаги , чтобы назначить пользователей новому профилю единого входа (SSO).

Примечания для организаций, использующих управляемые устройства ChromeOS.

Если вы настроили единый вход (SSO) для устройств ChromeOS таким образом, что пользователи переходят непосредственно к вашему поставщику идентификации (IdP) , вам следует отдельно протестировать работу SSO для этих пользователей.

Обратите внимание, что для успешного входа в систему профиль SSO, назначенный организационному подразделению устройства, должен совпадать с профилем SSO, назначенным организационному подразделению пользователя устройства.

Например, если у вас в настоящее время есть организационное подразделение «Продажи» для сотрудников, использующих управляемые Chromebook и входящих в систему напрямую через ваш IdP, создайте организационное подразделение, например, «sales_sso_testing», назначьте ему новый профиль и переместите некоторых пользователей и используемые ими Chromebook в это организационное подразделение.

Шаг 3: Назначьте ваше высшее организационное подразделение и обновите URL-адреса сервисов.

После успешного тестирования нового профиля SSO в тестовой группе или организационном подразделении вы готовы переключить других пользователей.

  1. Перейдите в раздел «Безопасность» . а потом Единый вход (SSO) с поставщиками идентификации третьих лиц а потом Управление назначением профилей SSO .
  2. Нажмите «Управление» .
  3. Выберите ваше подразделение верхнего уровня и назначьте его новому профилю единого входа (SSO).
  4. (Необязательно) Если к профилю единого входа (SSO) вашей организации привязаны другие организационные подразделения или группы, привяжите их к новому профилю SSO.

Шаг 4: Обновите URL-адреса, относящиеся к конкретному домену.

Если ваша организация использует URL-адреса, привязанные к конкретному домену (например, https://mail.google.com/a/your_domain.com ), обновите этот параметр, чтобы использовать новый профиль единого входа (SSO):

  1. Перейдите в раздел «Безопасность» . а потом Единый вход (SSO) с поставщиками идентификации третьих лиц а потом URL-адреса служб, специфичных для конкретного домена .
  2. В разделе «Автоматически перенаправлять пользователей на стороннего поставщика идентификации в следующем профиле SSO» выберите новый профиль SSO из раскрывающегося списка.

Шаг 5: Уборка

  1. В сфере безопасности а потом Единый вход (SSO) с поставщиками идентификации третьих лиц а потом Для открытия настроек профиля SSO нажмите на профиль Legacy SSO .
  2. Снимите флажок «Включить устаревший профиль SSO» , чтобы отключить устаревший профиль.
  3. Убедитесь, что автоматическая настройка предоставления доступа пользователям корректно работает с вашим новым профилем SSO.
  4. Отмените регистрацию старого поставщика услуг в вашем IdP.