Opcjonalne ustawienia logowania jednokrotnego i konserwacja

Jak wymieniać certyfikaty

Jeśli prześlesz 2 certyfikaty do profilu logowania jednokrotnego (SSO) przez SAML, Google może użyć dowolnego z nich do zweryfikowania odpowiedzi SAML od dostawcy tożsamości. Dzięki temu możesz bezpiecznie zastąpić certyfikat, który wygasa, certyfikatem po stronie dostawcy tożsamości. Wykonaj te czynności co najmniej 24 godziny przed wygaśnięciem certyfikatu:

  1. Utwórz nowy certyfikat u dostawcy tożsamości.
  2. Prześlij certyfikat jako drugi certyfikat do konsoli administracyjnej. Instrukcje znajdziesz w artykule na temat tworzenia profilu przez SAML.
  3. Odczekaj 24 godziny, aby konta użytkowników Google mogły zostać zaktualizowane o nowy certyfikat.
  4. Skonfiguruj dostawcę tożsamości tak, aby używał nowego certyfikatu zamiast wygasającego.
  5. (Opcjonalnie) Gdy użytkownicy potwierdzą, że mogą się zalogować, usuń stary certyfikat z konsoli administracyjnej. W razie potrzeby możesz później przesłać nowy certyfikat.

Korzystanie z autouzupełniania adresu e-mail do upraszczania logowania jednokrotnego

Aby ułatwić użytkownikom logowanie się, podczas tworzenia lub aktualizowania przychodzącego profilu logowania jednokrotnego (SSO) przez SAML włącz Autouzupełnianie adresu e-mail.

Autouzupełnianie adresu e-mail automatycznie wypełnia pole adresu e-mail na stronie logowania zewnętrznego dostawcy tożsamości. Dlatego użytkownicy muszą tylko wpisać hasło. Możesz włączyć Autouzupełnianie adresu e-mail podczas tworzenia nowego przychodzącego profilu logowania jednokrotnego przez SAML lub aktualizowania istniejącego.

Autouzupełnienie adresu e-mail używa parametru podpowiedzi logowania , aby bezpiecznie przesyłać adresy e-mail użytkowników do dostawcy tożsamości. Ten parametr jest powszechną funkcją, którą wielu zewnętrznych dostawców tożsamości obsługuje w przypadku logowania inicjowanego przez dostawcę tożsamości.

Parametr podpowiedzi logowania nie jest standardowy, dlatego różni dostawcy tożsamości używają różnych wariantów, takich jak:

  • login_hint: (obsługiwany przez dostawców tożsamości, takich jak Microsoft Entra)
  • LoginHint: (obsługiwany przez dostawców tożsamości, takich jak Okta)

Ze względu na te różnice musisz sprawdzić, który format jest obsługiwany przez dostawcę tożsamości, i wybrać odpowiednie ustawienie w konsoli administracyjnej Google.

Opcje włączania autouzupełniania adresu e-mail

Włączanie autouzupełniania adresu e-mail w nowym profilu

  1. Zaloguj się w konsoli administracyjnej Google na konto administratora.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. W konsoli administracyjnej Google otwórz Menu a potem Zabezpieczenia a potem Uwierzytelnianie a potem Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. W sekcji Zewnętrzne profile SSO kliknij Dodaj profil SAML.
  4. W polu Profil logowania jednokrotnego przez SAML wpisz nazwę profilu.
  5. W polu Autouzupełnianie adresu e-mail wybierz format podpowiedzi logowania obsługiwany przez dostawcę tożsamości.
  6. W sekcji Szczegóły dostawcy tożsamości wykonaj te czynności:
    1. Wpisz identyfikator jednostki dostawcy tożsamości, adres URL strony logowania i adres URL strony wylogowania, które zostały pobrane od dostawcy tożsamości.
    2. W polu Adres URL strony zmiany hasła wpisz adres URL strony zmiany hasła dla dostawcy tożsamości.
      Użytkownicy będą mogli zresetować hasła, otwierając ten adres URL.
  7. Kliknij Zapisz i kontynuuj tworzenie profilu.

Włączanie autouzupełniania adresu e-mail w istniejącym profilu

  1. Zaloguj się w konsoli administracyjnej Google na konto administratora.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. W konsoli administracyjnej Google otwórz Menu a potem Zabezpieczenia a potem Uwierzytelnianie a potem Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. W sekcji Zewnętrzne profile SSO kliknij profil, który chcesz zaktualizować.
  4. Kliknij Szczegółowe dane dostawcy usług.
  5. W polu Autouzupełnianie adresu e-mail wybierz format podpowiedzi logowania obsługiwany przez dostawcę tożsamości.
  6. Kliknij Zapisz.

Zarządzanie adresami URL usług specyficznymi dla domeny

Ustawienie URL-e usług specyficzne dla domeny pozwala kontrolować, co się dzieje, gdy użytkownicy logują się za pomocą adresów URL usług, takich jak https://mail.google.com/a/example.com.

  1. W konsoli administracyjnej Google otwórz Menu a potem Zabezpieczenia a potem Uwierzytelnianie a potem Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  2. Kliknij URL-e usług specyficzne dla domeny , aby otworzyć ustawienia.

Dostępne są 2 opcje:

  • Kieruj użytkowników do zewnętrznego dostawcy tożsamości. Wybierz tę opcję, aby zawsze kierować tych użytkowników do zewnętrznego dostawcy tożsamości wybranego na liście rozwijanej profilu logowania jednokrotnego. Może to być profil logowania jednokrotnego w Twojej organizacji lub inny profil zewnętrzny (jeśli został dodany).

    Ważne: jeśli masz jednostki organizacyjne lub grupy, które nie korzystają z logowania jednokrotnego, nie wybieraj tego ustawienia. Użytkownicy, którzy nie korzystają z logowania jednokrotnego, będą automatycznie kierowani do dostawcy tożsamości i nie będą mogli się zalogować.

  • Wymagaj od użytkowników wpisania nazwy użytkownika na stronie logowania Google. W przypadku tej opcji użytkownicy wpisujący adresy URL specyficzne dla domeny są najpierw kierowani na stronę logowania Google. Jeśli użytkownik korzysta z logowania jednokrotnego, zostanie przekierowany na stronę logowania dostawcy tożsamości.

Wyniki mapowania sieci

Maski sieci to adresy IP przedstawione w notacji CIDR (Classless Inter-Domain Routing). Notacja CIDR określa, ile bitów adresu IP jest uwzględnianych. Profil SSO w Twojej organizacji może używać masek sieci do ustalania, którym adresom IP lub zakresom adresów IP należy udostępniać usługę logowania jednokrotnego.

Uwaga: obecnie w przypadku ustawień masek sieci na stronę logowania jednokrotnego przekierowują tylko adresy URL usługi właściwe dla domeny, na przykład usluga.google.com/a/example.com.

To istotne, aby każda maska sieci miała prawidłowy format. W poniższym przykładzie adresu IPv6 ukośnik (/) i znajdująca się za nim liczba przedstawiają notację CIDR. Ostatnie 96 bitów nie jest brane pod uwagę, a w tym przedziale sieci znajdą się wszystkie adresy IP.

  • 2001:db8::/32

W tym przykładzie adresu IPv4 nie będzie brane pod uwagę ostatnie 8 bitów (wartość zero), a w przedziale znajdą się wszystkie adresy IP z zakresu od 64.233.187.0 do 64.233.187.255.

  • 64.233.187.0/24

W przypadku domen bez maski sieci do dostawcy tożsamości (IdP) dodaj użytkowników, którzy nie są superużytkownikami.

Korzystanie z logowania jednokrotnego podczas odwiedzania adresów URL usług Google

W tabeli poniżej przedstawiono sposób działania w przypadku bezpośrednich wizyt pod adresami URL usług Google z maską sieci i bez niej:

Bez maski sieci Superadministratorzy: Użytkownicy:
usługa.google.com Otrzymają prośbę o podanie adresu e-mail i hasła do konta Google. Otrzymają prośbę o podanie adresu e-mail, a potem zostaną przekierowani na stronę logowania jednokrotnego.
Z maską sieci Superadministratorzy i użytkownicy:
usługa.google.com Otrzymają prośbę o podanie adresu e-mail i hasła.
usługa.google.com
/a/twoja_domena.com*
(w masce sieci)		 Zostaną przekierowani na stronę logowania jednokrotnego.
usługa.google.com
/a/twoja_domena.com
(poza maską sieci)
 Otrzymają prośbę o podanie adresu e-mail i hasła.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Użytkownicy, którzy uzyskują dostęp do punktu końcowego OAuth 2.0 w Google za pomocą parametru URL login_hint, są przekierowywani na stronę logowania jednokrotnego.

* Nie wszystkie usługi obsługują ten wzorzec adresu URL. Przykładami takich usług są Gmail i Dysk.

Wygaśnięcie sesji po skonfigurowaniu maski sieci

Aktywna sesja Google użytkownika może zostać zakończona, a użytkownik może zostać poproszony o ponowne uwierzytelnienie, gdy:

  • sesja użytkownika osiągnie maksymalny dozwolony czas trwania określony w ustawieniu Kontrola sesji Google w konsoli administracyjnej,
  • administrator zmodyfikuje konto użytkownika przez zmianę hasła lub włączenie wymagania zmiany hasła przy następnym logowaniu (w konsoli administracyjnej lub przy użyciu pakietu Admin SDK).

Interfejs użytkownika

Jeśli użytkownik zainicjował sesję u zewnętrznego dostawcy tożsamości, sesja zostanie wyczyszczona, a użytkownik – przekierowany na stronę logowania Google.

Ponieważ użytkownik zainicjował sesję Google u zewnętrznego dostawcy tożsamości, może nie rozumieć, dlaczego musi zalogować się w Google, aby odzyskać dostęp do konta. Użytkownicy mogą być przekierowywani na stronę logowania Google nawet wtedy, gdy próbują przejść do innych adresów URL Google.

Jeśli planujesz konserwację, która obejmuje zakończenie aktywnych sesji użytkowników, i chcesz uniknąć dezorientacji użytkowników, poproś ich o wylogowanie się z sesji i pozostanie wylogowanym do czasu zakończenia konserwacji.

Odzyskiwanie konta użytkownika

Gdy użytkownik zobaczy stronę logowania Google, ponieważ jego aktywna sesja została zakończona, może odzyskać dostęp do konta, wykonując jedną z tych czynności:

  • Jeśli użytkownik zobaczy komunikat „Jeśli ta strona została otwarta przez pomyłkę, kliknij tutaj, aby się wylogować i spróbować zalogować się ponownie”, może kliknąć link w tym komunikacie.
  • Jeśli użytkownik nie widzi tego komunikatu ani linku, wylogowuje się i loguje ponownie, otwierając stronę https://accounts.google.com/logout.
  • Użytkownik może wyczyścić pliki cookie przeglądarki.

Po użyciu jednej z metod odzyskiwania sesja Google zostanie całkowicie zakończona i będzie można się zalogować.

Konfigurowanie weryfikacji dwuetapowej z logowaniem jednokrotnym

  1. W konsoli administracyjnej Google otwórz Menu a potem Zabezpieczenia a potem Uwierzytelnianie a potem Testy zabezpieczające logowanie.

    Wymaga uprawnień administratora Zarządzanie zabezpieczeniami użytkowników.

  2. Po lewej wybierz jednostkę organizacyjną, w której chcesz skonfigurować zasadę.

    Aby ustawienia obejmowały wszystkich użytkowników, wybierz jednostkę organizacyjną najwyższego poziomu. Początkowo jednostki organizacyjne dziedziczą ustawienia organizacji nadrzędnej.

  3. Kliknij Weryfikacja po logowaniu jednokrotnym.

  4. Wybierz ustawienia zgodnie z tym, jak używasz profili logowania jednokrotnego w organizacji. Możesz zastosować ustawienie dla użytkowników, którzy korzystają ze starszego profilu SSO oraz dla użytkowników, którzy logują się przy użyciu innych profili SSO.

  5. W prawym dolnym rogu kliknij Zapisz.

    Google tworzy wpis w dzienniku kontrolnym administratora, aby wskazać zmianę zasad.

Domyślne ustawienie weryfikacji po logowaniu jednokrotnym zależy od typu użytkownika korzystającego z logowania jednokrotnego:

  • W przypadku użytkowników logujących się przy użyciu starszego profilu SSO domyślnym ustawieniem jest pominięcie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.
  • W przypadku użytkowników logujących się przy użyciu profili SSO domyślnym ustawieniem jest stosowanie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.

Zobacz też


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.