Configurações e manutenção opcionais do SSO

Como rotacionar certificados

Se você enviar dois certificados para um perfil de Logon único (SSO) SAML, o Google poderá usar qualquer um deles para validar uma resposta SAML do IdP. Isso permite que você faça a rotação segura de um certificado que está prestes a expirar no lado do IdP. Siga estas etapas pelo menos 24 horas antes da expiração de um certificado:

  1. Crie um novo certificado no IdP.
  2. Faça upload do certificado como o segundo certificado no Admin Console. Para instruções, consulte Criar um perfil SAML profile.
  3. Aguarde 24 horas para que as Contas de usuário do Google sejam atualizadas com o novo certificado.
  4. Configure o IdP para usar o novo certificado em vez do que está expirando.
  5. (Opcional) Depois que os usuários confirmarem que podem fazer login, remova o certificado antigo do Admin Console. Você pode fazer upload de um novo certificado no futuro, conforme necessário.

Usar o preenchimento automático de e-mail para simplificar os logins do SSO

Para ajudar os usuários a fazer login, ative a opção Preencher e-mail automaticamente ao criar ou atualizar um perfil de logon único (SSO) SAML de entrada.

O preenchimento automático de e-mail preenche automaticamente o campo de endereço de e-mail na página de login do seu provedor de identidade de terceiros (IdP). Portanto, os usuários só precisam inserir a senha. É possível ativar a opção Preencher e-mail automaticamente ao criar ou atualizar um perfil de SSO SAML de entrada.

O preenchimento automático de e-mail usa um parâmetro de sugestão de login para enviar com segurança os endereços de e-mail dos usuários ao IdP. Esse parâmetro é um recurso comum que muitos IdPs de terceiros oferecem suporte para logins iniciados pelo IdP.

O parâmetro da dica de login não é padronizado. Por isso, diferentes IdPs usam variações diferentes, como:

  • login_hint: (compatível com IdPs como o Microsoft Entra)
  • LoginHint: (compatível com IdPs como o Okta)

Devido a essas variações, você precisa confirmar qual formato seu IdP aceita e escolher a configuração correspondente no Google Admin Console.

Opções para ativar o preenchimento automático de e-mail

Ativar o preenchimento automático de e-mail em um novo perfil

  1. Faça login com uma conta de administrador no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. No Google Admin Console, acesse Menu e depois Segurança e depois Autenticação e depois SSO com IdP de terceiros.

    Exige o privilégio de administrador Configurações de segurança.

  3. Na seção Perfis de SSO de terceiros, clique em Adicionar perfil SAML.
  4. Em Perfil de SSO via SAML, insira um nome de perfil.
  5. Em Preencher e-mail automaticamente, selecione a opção que corresponde ao formato de sugestão de login compatível com seu IdP.
  6. Na seção Detalhes do IdP, siga estas etapas:
    1. Digite o ID da entidade do IdP, o URL da página de login e o URL da página de logout que você recebeu do IdP.
    2. Em URL para alteração de senha, digite um URL para alteração de senha para seu IdP.
      Os usuários vão acessar esse URL para redefinir as senhas.
  7. Clique em Salvar e continue criando o perfil.

Ativar o preenchimento automático de e-mail em um perfil atual

  1. Faça login com uma conta de administrador no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. No Google Admin Console, acesse Menu e depois Segurança e depois Autenticação e depois SSO com IdP de terceiros.

    Exige o privilégio de administrador Configurações de segurança.

  3. Na seção Perfis de SSO de terceiros, clique no perfil que você quer atualizar.
  4. Clique em Detalhes do SP.
  5. Em Preencher e-mail automaticamente, selecione a opção que corresponde ao formato de sugestão de login compatível com seu IdP.
  6. Clique em Salvar.

Gerenciar URLs de serviço específicos do domínio

A configuração URLs de serviço específicos do domínio permite controlar o que acontece quando os usuários fazem login com URLs de serviço como https://mail.google.com/a/example.com.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Autenticação e depois SSO com IdP de terceiros.

    Exige o privilégio de administrador Configurações de segurança.

  2. Clique em URLs de serviço específicos do domínio para abrir as configurações.

Existem duas opções:

  • Direcione os usuários ao IdP de terceiros. Escolha esta opção para sempre direcionar esses usuários para o IdP de terceiros que você selecionar na lista suspensa do perfil de SSO. Esse pode ser o perfil de SSO da sua organização ou outro perfil de terceiros (se você tiver adicionado um).

    Importante:se você tiver unidades organizacionais ou grupos que não usam o SSO, não escolha essa configuração. Os usuários que não usam o SSO serão direcionados automaticamente para o IdP e não poderão fazer login.

  • Exija que os usuários insiram o nome de usuário na página de login do Google. Com essa opção, os usuários que inserem URLs específicos do domínio são enviados primeiro para a página de login do Google. Se eles forem usuários do SSO, serão redirecionados para a página de login do IdP.

Resultados do mapeamento de rede

As máscaras de rede são endereços IP representados com a notação do roteamento entre domínios sem classe (CIDR). O CIDR especifica quantos bits do endereço IP estão incluídos. O perfil de SSO da sua organização pode usar máscaras de rede para determinar quais endereços IP ou intervalos de endereços IP serão apresentados com o serviço de SSO.

Observação:nas configurações das máscaras de rede, apenas URLs de serviço específicos do domínio, como serviço.google.com/a/example.com, redirecionam para a página de login via SSO.

É importante que cada máscara de rede use o formato correto. No exemplo do IPv6 abaixo, a barra (/) e o número depois da barra representam o CIDR. Os últimos 96 bits não são considerados, e todos os IPs no intervalo de rede são afetados.

  • 2001:db8::/32

Neste exemplo do IPv4, os últimos 8 bits (o zero) não são levados em conta, e todos os IPs no intervalo 64.233.187.0–64.233.187.255 são afetados.

  • 64.233.187.0/24

Em domínios sem máscara de rede, é preciso adicionar usuários que não sejam superadministradores ao Provedor de identidade (idP).

Experiência do usuário do SSO ao acessar URLs de serviços do Google

A tabela a seguir mostra a experiência do usuário para visitas diretas a URLs de serviços do Google, com e sem uma máscara de rede:

Sem máscara de rede Os superadministradores são: Os usuários são:
serviço.google.com Solicitados a informar o endereço de e-mail e a senha do Google. Solicitados a informar o endereço de e-mail e, em seguida, redirecionados para a página de login do SSO.
Com máscara de rede Os superadministradores e usuários são:
serviço.google.com Solicitados a informar o endereço de e-mail e a senha.
serviço.google.com
/a/seu_domínio.com*
(dentro da máscara de rede)		 Redirecionados para a página de login do SSO.
serviço.google.com
/a/seu_domínio.com
(fora da máscara de rede)
 Solicitados a informar o endereço de e-mail e a senha.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Os usuários que acessam o endpoint do OAuth 2.0 do Google usando o parâmetro de URL login_hint são redirecionados para a página de login do SSO.

* Nem todos os serviços oferecem suporte a esse padrão do URL. Exemplos de serviços que fazem isso são o Gmail e o Drive.

Expiração da sessão quando uma máscara de rede está configurada

A sessão ativa de um usuário no Google pode ser encerrada e o usuário pode ser solicitado a fazer a autenticação novamente quando:

  • A sessão do usuário atinge a duração máxima permitida, conforme especificado na configuração do controle de sessão do Google no Admin Console.
  • O administrador modificou a conta do usuário alterando a senha ou exigindo que o usuário altere a senha no próximo login (por meio do Admin Console ou do SDK Admin).

Experiência do usuário

Se o usuário iniciou a sessão em um IdP de terceiros, a sessão será apagada e o usuário será redirecionado para a página de login do Google.

Como o usuário iniciou a sessão do Google em um IdP de terceiros, ele pode não entender por que precisa fazer login no Google para recuperar o acesso à conta. Os usuários podem ser redirecionados para uma página de login do Google mesmo quando tentam navegar para outros URLs do Google.

Se você estiver planejando uma manutenção que inclua o encerramento de sessões de usuários ativas e quiser evitar confusão, peça aos usuários para fazer logout das sessões e permanecerem desconectados até que a manutenção seja concluída.

Recuperação de usuários

Quando um usuário acessa a página de login do Google porque a sessão ativa foi encerrada, ele pode recuperar o acesso à conta fazendo uma das seguintes ações:

  • Se o usuário receber a mensagem "Se você chegou a esta página por engano, clique aqui para fazer logout e tente fazer login novamente", ele poderá clicar no link da mensagem.
  • Se o usuário não receber essa mensagem ou link, ele fará logout e login novamente acessando https://accounts.google.com/logout.
  • O usuário pode limpar os cookies do navegador.

Depois de usar um dos métodos de recuperação, a sessão do Google será encerrada e o usuário poderá fazer login.

Configurar a verificação em duas etapas com SSO

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Autenticação e depois Desafios de login.

    Exige o privilégio de administrador Gerenciamento de segurança do usuário.

  2. À esquerda, selecione a unidade organizacional em que você quer definir a política.

    Para incluir todos os usuários, selecione a unidade organizacional de nível mais alto. Inicialmente, as unidades organizacionais herdam as configurações da unidade organizacional mãe.

  3. Clique em Verificação pós-SSO.

  4. Escolha as configurações de acordo com a forma como você usa os perfis de SSO na sua organização. Você pode aplicar uma configuração aos usuários que usam o perfil de SSO legado e aos que fazem login com outros perfis de SSO.

  5. No canto inferior direito, clique em Salvar.

    O Google cria uma entrada no registro de auditoria do administrador para indicar qualquer alteração da política.

A configuração padrão da verificação pós-SSO depende do tipo de usuário do SSO:

  • Para os usuários que fazem login com o perfil SSO legado, a configuração padrão é ignorar os desafios de login adicionais e a verificação em duas etapas.
  • Para os usuários que fazem login com outros perfis de SSO, a configuração padrão é aplicar mais desafios de login e a verificação em duas etapas.

Consulte também


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais estão associados.