Chế độ cài đặt SSO không bắt buộc và hoạt động bảo trì

Cách xoay vòng chứng chỉ

Nếu bạn tải hai chứng chỉ lên một hồ sơ Đăng nhập một lần (SSO) dựa trên SAML, thì Google có thể sử dụng một trong hai chứng chỉ để xác thực phản hồi SAML từ nhà cung cấp dịch vụ danh tính (IdP) của bạn. Điều này cho phép bạn xoay vòng một cách an toàn chứng chỉ sắp hết hạn ở phía IdP. Hãy làm theo các bước sau ít nhất 24 giờ trước khi chứng chỉ hết hạn:

  1. Tạo một chứng chỉ mới trên IdP.
  2. Tải chứng chỉ lên làm chứng chỉ thứ hai vào Bảng điều khiển dành cho quản trị viên. Để biết hướng dẫn, hãy xem bài viết Tạo hồ sơ SAML.
  3. Chờ 24 giờ để cho phép các tài khoản người dùng Google cập nhật chứng chỉ mới.
  4. Định cấu hình IdP để sử dụng chứng chỉ mới thay cho chứng chỉ sắp hết hạn.
  5. (Không bắt buộc) Sau khi người dùng xác nhận rằng họ có thể đăng nhập, hãy xoá chứng chỉ cũ khỏi Bảng điều khiển dành cho quản trị viên. Sau đó, bạn có thể tải chứng chỉ mới lên trong tương lai nếu cần.

Sử dụng tính năng Tự động điền email để đơn giản hoá quy trình đăng nhập một lần (SSO)

Để giúp người dùng đăng nhập, hãy bật tính năng Tự động điền email khi tạo hoặc cập nhật hồ sơ Đăng nhập một lần (SSO) dựa trên SAML chiều đến.

Tính năng Tự động điền email sẽ tự động điền vào trường địa chỉ email trên trang đăng nhập của nhà cung cấp dịch vụ danh tính (IdP) bên thứ ba. Do đó, người dùng chỉ phải nhập mật khẩu. Bạn có thể bật tính năng Tự động điền email khi tạo hồ sơ Đăng nhập một lần (SSO) dựa trên SAML chiều đến mới hoặc cập nhật hồ sơ hiện có.

Tính năng Tự động điền email sử dụng tham số gợi ý đăng nhập để gửi địa chỉ email của người dùng đến IdP một cách an toàn. Tham số này là một tính năng phổ biến mà nhiều IdP bên thứ ba hỗ trợ cho quy trình đăng nhập do IdP khởi tạo.

Tham số của gợi ý đăng nhập không được chuẩn hoá, vì vậy, các IdP khác nhau sử dụng các biến thể khác nhau, chẳng hạn như:

  • login_hint: (được các IdP như Microsoft Entra hỗ trợ)
  • LoginHint: (được các IdP như Okta hỗ trợ)

Do các biến thể này, bạn cần xác nhận định dạng mà IdP của bạn hỗ trợ và chọn chế độ cài đặt tương ứng trong Bảng điều khiển dành cho quản trị viên của Google.

Các cách để bật tính năng Tự động điền email

Bật tính năng Tự động điền email trong hồ sơ mới

  1. Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google bằng tài khoản quản trị viên.

    Nếu không sử dụng tài khoản quản trị viên, bạn sẽ không thể truy cập vào Bảng điều khiển dành cho quản trị viên.

  2. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Xác thực sau đó Đăng nhập một lần (SSO) thông qua IdP bên thứ ba.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  3. Trong phần Hồ sơ đăng nhập một lần (SSO) của bên thứ ba, hãy nhấp vào Thêm hồ sơ SAML.
  4. Đối với Hồ sơ đăng nhập một lần (SSO) dựa trên SAML, hãy nhập tên hồ sơ.
  5. Đối với Tự động điền email, hãy chọn tuỳ chọn phù hợp với định dạng gợi ý đăng nhập mà IdP của bạn hỗ trợ.
  6. Trong phần Thông tin chi tiết về IdP, hãy hoàn thành các bước sau:
    1. Nhập mã nhận dạng thực thể IdP, URL trang đăng nhậpURL trang đăng xuất mà bạn nhận được từ IdP (nhà cung cấp danh tính).
    2. Đối với URL thay đổi mật khẩu, hãy nhập URL thay đổi mật khẩu cho IdP của bạn.
      Người dùng sẽ truy cập vào URL này để đặt lại mật khẩu.
  7. Nhấp vào Lưu rồi tiếp tục tạo hồ sơ.

Bật tính năng Tự động điền email trong hồ sơ hiện có

  1. Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google bằng tài khoản quản trị viên.

    Nếu không sử dụng tài khoản quản trị viên, bạn sẽ không thể truy cập vào Bảng điều khiển dành cho quản trị viên.

  2. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Xác thực sau đó Đăng nhập một lần (SSO) thông qua IdP bên thứ ba.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  3. Trong phần Hồ sơ đăng nhập một lần (SSO) của bên thứ ba, hãy nhấp vào hồ sơ mà bạn muốn cập nhật.
  4. Nhấp vào Thông tin chi tiết về SP.
  5. Đối với Tự động điền email, hãy chọn tuỳ chọn phù hợp với định dạng gợi ý đăng nhập mà IdP của bạn hỗ trợ.
  6. Nhấp vào Lưu.

Quản lý URL dịch vụ dành riêng cho miền

Chế độ cài đặt URL dịch vụ dành riêng cho miền cho phép bạn kiểm soát những điều xảy ra khi người dùng đăng nhập bằng các URL dịch vụ như https://mail.google.com/a/example.com.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Xác thực sau đó Đăng nhập một lần (SSO) thông qua IdP bên thứ ba.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. Nhấp vào URL dịch vụ dành riêng cho miền để mở phần cài đặt.

Bạn có hai phương án:

  • Chuyển hướng người dùng đến IdP bên thứ ba. Chọn tuỳ chọn này để luôn định tuyến những người dùng này đến IdP bên thứ ba mà bạn chọn trong danh sách thả xuống hồ sơ Đăng nhập một lần (SSO). Đây có thể là hồ sơ Đăng nhập một lần (SSO) cho tổ chức của bạn hoặc một hồ sơ bên thứ ba khác (nếu bạn đã thêm một hồ sơ).

    Quan trọng: Nếu bạn có các đơn vị tổ chức hoặc nhóm không sử dụng tính năng Đăng nhập một lần (SSO), thì đừng chọn chế độ cài đặt này. Những người dùng không sử dụng tính năng Đăng nhập một lần (SSO) sẽ được tự động định tuyến đến IdP và không thể đăng nhập.

  • Yêu cầu người dùng nhập tên người dùng của họ trên trang đăng nhập của Google. Với tuỳ chọn này, người dùng nhập URL dành riêng cho miền sẽ được gửi đến trang đăng nhập của Google trước. Nếu là người dùng Đăng nhập một lần (SSO), họ sẽ được chuyển hướng đến trang đăng nhập của IdP.

Kết quả ánh xạ mạng

Mặt nạ mạng là các địa chỉ IP được biểu thị bằng ký hiệu Định tuyến liên miền không phân lớp (CIDR). CIDR chỉ định số bit của địa chỉ IP được đưa vào. Hồ sơ Đăng nhập một lần (SSO) cho tổ chức của bạn có thể sử dụng mặt nạ mạng để xác định địa chỉ IP hoặc dải địa chỉ IP nào sẽ hiển thị bằng dịch vụ Đăng nhập một lần (SSO).

Lưu ý: Đối với chế độ cài đặt mặt nạ mạng, hiện chỉ có URL dịch vụ dành riêng cho miền, ví dụ: service.google.com/a/example.com, chuyển hướng đến trang đăng nhập một lần (SSO).

Điều quan trọng là mỗi mặt nạ mạng cần sử dụng định dạng chính xác. Trong ví dụ về IPv6 sau đây, dấu gạch chéo (/) và số sau dấu gạch chéo biểu thị CIDR. 96 bit cuối cùng không được xem xét và tất cả địa chỉ IP trong dải mạng đó đều bị ảnh hưởng.

  • 2001:db8::/32

Trong ví dụ về IPv4 này, 8 bit cuối cùng (số 0) không được xem xét và tất cả địa chỉ IP nằm trong dải từ 64.233.187.0 đến 64.233.187.255 đều sẽ bị ảnh hưởng.

  • 64.233.187.0/24

Trong các miền không có mặt nạ mạng, bạn phải thêm những người dùng không phải là quản trị viên cấp cao vào nhà cung cấp dịch vụ danh tính (IdP).

Trải nghiệm người dùng Đăng nhập một lần (SSO) khi truy cập vào URL dịch vụ của Google

Bảng sau đây cho thấy trải nghiệm người dùng khi truy cập trực tiếp vào URL dịch vụ của Google, có và không có mặt nạ mạng:

Không có mặt nạ mạng Quản trị viên cấp cao là: Người dùng là:
service.google.com Được nhắc nhập địa chỉ email và mật khẩu Google. Được nhắc nhập địa chỉ email, sau đó được chuyển hướng đến trang đăng nhập một lần (SSO).
mặt nạ mạng Quản trị viên cấp cao và người dùng là:
service.google.com Được nhắc nhập địa chỉ email và mật khẩu.
service.google.com
/a/your_domain.com*
(trong mặt nạ mạng)		 Được chuyển hướng đến trang đăng nhập một lần (SSO).
service.google.com
/a/your_domain.com
(ngoài mặt nạ
mạng)		 Được nhắc nhập địa chỉ email và mật khẩu.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Những người dùng truy cập vào điểm cuối OAuth 2.0 của Google bằng tham số URL login_hint sẽ được chuyển hướng đến trang đăng nhập một lần (SSO).

* Không phải tất cả các dịch vụ đều hỗ trợ mẫu URL này. Ví dụ về các dịch vụ hỗ trợ mẫu URL này là Gmail và Drive.

Phiên hết hạn khi định cấu hình mặt nạ mạng

Phiên hoạt động hiện tại của người dùng trên Google có thể bị chấm dứt và người dùng được yêu cầu xác thực lại khi:

  • Phiên hoạt động của người dùng đạt đến thời lượng tối đa cho phép như được chỉ định trong chế độ cài đặt Bảng điều khiển dành cho quản trị viên về Kiểm soát phiên truy cập vào Google.
  • Quản trị viên đã sửa đổi tài khoản người dùng bằng cách thay đổi mật khẩu hoặc yêu cầu người dùng thay đổi mật khẩu vào lần đăng nhập tiếp theo (thông qua Bảng điều khiển dành cho quản trị viên hoặc sử dụng Admin SDK).

Trải nghiệm người dùng

Nếu người dùng bắt đầu phiên hoạt động trên IdP bên thứ ba, thì phiên hoạt động sẽ bị xoá và người dùng được chuyển hướng đến trang Đăng nhập vào Google.

Vì người dùng bắt đầu phiên hoạt động trên Google trên IdP bên thứ ba, nên họ có thể không hiểu lý do cần đăng nhập vào Google để lấy lại quyền truy cập vào tài khoản của mình. Người dùng có thể được chuyển hướng đến trang Đăng nhập vào Google ngay cả khi họ cố gắng chuyển đến các URL khác của Google.

Nếu bạn đang lên kế hoạch bảo trì, bao gồm cả việc chấm dứt các phiên hoạt động hiện tại của người dùng và muốn tránh gây nhầm lẫn cho người dùng, hãy yêu cầu người dùng đăng xuất khỏi phiên hoạt động của họ và duy trì trạng thái đăng xuất cho đến khi quá trình bảo trì hoàn tất.

Khôi phục người dùng

Khi thấy trang Đăng nhập vào Google vì phiên hoạt động hiện tại của họ đã bị chấm dứt, người dùng có thể lấy lại quyền truy cập vào tài khoản của mình bằng cách thực hiện một trong những thao tác sau:

  • Nếu thấy thông báo "Nếu bạn vô tình truy cập vào trang này, hãy nhấp vào đây để đăng xuất và thử đăng nhập lại", thì người dùng có thể nhấp vào đường liên kết trong thông báo.
  • Nếu không thấy thông báo hoặc đường liên kết đó, người dùng sẽ đăng xuất rồi đăng nhập lại bằng cách truy cập vào https://accounts.google.com/logout.
  • Người dùng có thể xoá cookie của trình duyệt.

Sau khi sử dụng một trong các phương thức khôi phục, phiên hoạt động của họ trên Google sẽ bị chấm dứt hoàn toàn và họ có thể đăng nhập.

Thiết lập tính năng Xác minh 2 bước bằng tính năng Đăng nhập một lần (SSO)

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Xác thực sau đó Xác thực đăng nhập.

    Bạn phải có đặc quyền Quản lý chế độ cài đặt bảo mật cho người dùng của quản trị viên.

  2. Ở bên trái, hãy chọn đơn vị tổ chức mà bạn muốn thiết lập chính sách.

    Để áp dụng tất cả người dùng, hãy chọn đơn vị tổ chức cấp cao nhất. Ban đầu, các đơn vị tổ chức sẽ kế thừa chế độ cài đặt của đơn vị tổ chức mẹ.

  3. Nhấp vào Xác minh sau quy trình Đăng nhập một lần (SSO).

  4. Chọn chế độ cài đặt theo cách bạn sử dụng hồ sơ Đăng nhập một lần (SSO) trong tổ chức. Bạn có thể áp dụng một chế độ cài đặt cho những người dùng sử dụng hồ sơ Đăng nhập một lần (SSO) cũ và một chế độ cài đặt khác cho những người dùng đăng nhập bằng các hồ sơ Đăng nhập một lần (SSO) khác.

  5. Ở dưới cùng bên phải, hãy nhấp vào Lưu.

    Google sẽ tạo một mục trong nhật ký kiểm tra của quản trị viên để cho biết mọi thay đổi về chính sách.

Chế độ cài đặt mặc định cho việc xác minh sau quy trình Đăng nhập một lần (SSO) phụ thuộc vào loại người dùng Đăng nhập một lần (SSO):

  • Đối với những người dùng đăng nhập bằng hồ sơ Đăng nhập một lần (SSO) cũ, chế độ cài đặt mặc định là bỏ qua các biện pháp xác thực đăng nhập bổ sung và tính năng xác minh 2 bước.
  • Đối với những người dùng đăng nhập bằng hồ sơ Đăng nhập một lần (SSO), chế độ cài đặt mặc định là áp dụng các biện pháp xác thực đăng nhập bổ sung và tính năng xác minh 2 bước.

Xem thêm


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.