Eski TOA'dan TOA profillerine geçiş

Google Workspace, kimlik sağlayıcınıza güvenen taraf olarak Google ile Tek Oturum Açma (TOA) ayarlarını yapmanın iki yolunu sunar:

  • Eski TOA profili: Kuruluşunuz için yalnızca bir IdP yapılandırmanıza olanak tanır.
  • TOA profilleri: TOA'yı ayarlamak için önerilen yeni yöntemdir. Kuruluşunuzdaki farklı kullanıcılara farklı TOA ayarları uygulamanıza olanak tanır, hem SAML hem de OIDC'yi destekler, daha modern API'lere sahiptir ve Google'ın yeni özellikler konusundaki odak noktası olacaktır.

Tüm müşterilerimize, bu avantajlardan yararlanmak için TOA profillerine geçmelerini öneririz. TOA profilleri, kuruluşunuzun TOA profiliyle birlikte var olabilir. Bu sayede, kuruluşunuzun tamamını geçirmeden önce yeni TOA profillerini test edebilirsiniz.

Taşıma sürecine genel bakış

  1. Yönetici Konsolu'nda IdP'niz için bir TOA profili oluşturun ve yeni profili IdP'nize kaydedin.
  2. Çalıştığını doğrulamak için yeni profili kullanacak test kullanıcıları atayın.
  3. Üst kuruluş biriminizi yeni profile atayın.
  4. Alana özel URL'leri yeni profili kullanacak şekilde güncelleyin.
  5. Temizleme: Eski servis sağlayıcınızın kaydını silin, otomatik kullanıcı temel hazırlığının çalışmaya devam ettiğini doğrulayın.

1. adım: TOA profili oluşturun

  1. Yeni bir SAML TOA profili oluşturmak için bu adımları uygulayın. Yeni profiliniz, kuruluşunuz için mevcut TOA profilinizle aynı IdP'yi kullanmalıdır.

  2. Yeni TOA profilini yeni bir servis sağlayıcı olarak IdP'nize kaydedin.

    Servis sağlayıcınız yeni profili farklı bir hizmet sağlayıcı olarak görür (bunları "Uygulamalar" veya "Bağımlı Taraflar" olarak adlandırabilir). Yeni servis sağlayıcıyı kaydettirme şekliniz IdP'nize göre değişir ancak genellikle yeni profil için Varlık Kimliği ve Onay Tüketici Hizmeti (ACS) URL'sinin yapılandırılması gerekir.

API kullanıcıları için notlar

  • Kuruluşunuzun TOA profilini kullanıyorsanız TOA ayarlarını yönetmek için yalnızca Google Workspace Admin Settings API'yi kullanabilirsiniz.
  • Cloud Identity API, TOA profillerini inboundSamlSsoProfiles olarak yönetebilir ve inboundSsoAssignments'ı kullanarak gruplara veya kuruluş birimlerine atayabilir.

TOA profilleri ile eski TOA profili arasındaki farklar

Süper yönetici onayları

TOA profilleri, süper yöneticilerle ilgili onayları kabul etmez. Kuruluşunuzun TOA profili kullanılırken onaylar kabul edilir ancak süper yöneticiler IdP'ye yönlendirilmez. Örneğin, aşağıdaki onaylar kabul edilir:

  • Kullanıcı, IdP'nizden bir uygulama başlatıcı bağlantısını tıklar (IdP tarafından başlatılan SAML)
  • Kullanıcı, alana özel bir hizmet URL'sine (ör. https://drive.google.com/a/your_domain.com) gider.
  • Kullanıcı, doğrudan IdP'nize yönlendirilecek şekilde yapılandırılmış bir Chromebook'ta oturum açar. Daha fazla bilgi

TOA sonrası doğrulama ayarları

TOA sonrası doğrulamayı kontrol eden ayarlar (ör. giriş sorgulamaları veya 2 Adımlı Doğrulama), TOA profilleri için kuruluşunuzun TOA profilinden farklıdır. Karışıklığı önlemek için her iki ayarı da aynı değere ayarlamanızı öneririz. Daha fazla bilgi

2. adım: Profile test kullanıcıları atayın

Tüm kullanıcıları yeni TOA profiline geçirmeden önce yeni TOA profilinizi tek bir grup veya kuruluş birimindeki kullanıcılar üzerinde test etmenizi öneririz. Mevcut bir grubu veya kuruluş birimini kullanın ya da gerektiğinde yeni bir grup oluşturun.

Yönetilen ChromeOS cihazlarınız varsa ChromeOS cihazları gruplara değil, kuruluş birimlerine atayabildiğiniz için kuruluş birimine dayalı test yapmanızı öneririz.

  1. (İsteğe bağlı) Yeni bir kuruluş birimi veya yapılandırma grubu oluşturun ve test kullanıcılarını bu gruba atayın.
  2. Kullanıcıları yeni TOA profiline atamak için bu adımları uygulayın.

Yönetilen ChromeOS cihazları olan kuruluşlar için notlar

ChromeOS cihazlar için TOA'yı, kullanıcıların doğrudan IdP'nize gideceği şekilde yapılandırdıysanız TOA davranışını bu kullanıcılar için ayrı olarak test etmeniz gerekir.

Oturum açmanın başarılı olması için cihazın kuruluş birimine atanan TOA profilinin, cihaz kullanıcısının kuruluş birimine atanan TOA profiliyle eşleşmesi gerektiğini unutmayın.

Örneğin, şu anda yönetilen Chromebook'ları kullanan ve doğrudan IdP'nizde oturum açan çalışanlar için bir Satış kuruluş biriminiz varsa "sales_sso_testing" gibi bir kuruluş birimi oluşturun, bu birimi yeni profili kullanacak şekilde atayın ve bazı kullanıcıları ile kullandıkları Chromebook'ları bu kuruluş birimine taşıyın.

3. adım: Üst kuruluş biriminizi atayın ve hizmet URL'lerini güncelleyin

Yeni TOA profilini bir test grubunda veya kuruluş biriminde başarıyla test ettikten sonra diğer kullanıcıları değiştirmeye hazırsınız demektir.

  1. GüvenlikardındanÜçüncü taraf IdP'lerle TOAardındanTOA profili atamalarını yönet'e gidin.
  2. Yönet'i tıklayın.
  3. Üst düzey kuruluş biriminizi seçin ve yeni TOA profiline atayın.
  4. (İsteğe bağlı) Kuruluşunuzun TOA profiline atanmış başka kuruluş birimleri veya gruplar varsa bunları yeni TOA profiline atayın.

4. adım: Alana özel URL'leri güncelleyin

Kuruluşunuz alana özel URL'ler (ör. https://mail.google.com/a/your_domain.com) kullanıyorsa bu ayarı yeni TOA profilini kullanacak şekilde güncelleyin:

  1. GüvenlikardındanÜçüncü taraf IdP'ler ile TOAardındanAlana özel hizmet URL'leri'ne gidin.
  2. Aşağıdaki TOA profilinde kullanıcıları otomatik olarak üçüncü taraf IdP'ye yönlendir bölümünde, açılır listeden yeni TOA profilini seçin.

5. adım: Temizleme

  1. GüvenlikardındanÜçüncü taraf IdP'lerle TOAardındanTOA profilleri bölümünde, profil ayarlarını açmak için Eski TOA profili'ni tıklayın.
  2. Eski profili devre dışı bırakmak için Eski TOA profilini etkinleştir seçeneğinin işaretini kaldırın.
  3. IdP'nizle ayarlanan otomatik kullanıcı temel hazırlığının yeni TOA profilinizle doğru şekilde çalıştığını onaylayın.
  4. Eski servis sağlayıcının kaydını IdP'nizden silin.