تنظیمات و نگهداری اختیاری SSO

نحوه چرخش گواهینامه‌ها

اگر دو گواهی را در یک پروفایل SAML Single Sign-On (SSO) آپلود کنید، گوگل می‌تواند از هر دو گواهی برای اعتبارسنجی پاسخ SAML از IdP شما استفاده کند. این به شما امکان می‌دهد تا با خیال راحت یک گواهی منقضی شده را در سمت IdP بچرخانید. حداقل ۲۴ ساعت قبل از انقضای گواهی، این مراحل را دنبال کنید:

  1. یک گواهی جدید روی IdP ایجاد کنید.
  2. گواهی را به عنوان گواهی دوم در کنسول مدیریت آپلود کنید. برای دستورالعمل‌ها به بخش «ایجاد نمایه SAML» مراجعه کنید.
  3. ۲۴ ساعت صبر کنید تا حساب‌های کاربری گوگل با گواهی جدید به‌روزرسانی شوند.
  4. IdP را طوری پیکربندی کنید که از گواهی جدید به جای گواهی منقضی شده استفاده کند.
  5. (اختیاری) پس از تأیید ورود کاربران، گواهی قدیمی را از کنسول مدیریت حذف کنید. در صورت نیاز می‌توانید در آینده گواهی جدیدی آپلود کنید.

از ایمیل تکمیل خودکار برای ساده‌سازی ورود به سیستم SSO استفاده کنید

برای کمک به کاربرانتان در ورود به سیستم، هنگام ایجاد یا به‌روزرسانی نمایه ورود یکپارچه SAML (SSO) ورودی، گزینه تکمیل خودکار ایمیل را فعال کنید.

ایمیل تکمیل خودکار، فیلد آدرس ایمیل را در صفحه ورود به سیستم ارائه دهنده هویت شخص ثالث (IdP) شما به طور خودکار پر می‌کند. بنابراین، کاربران فقط باید رمز عبور خود را وارد کنند. می‌توانید هنگام ایجاد یک پروفایل جدید Inbound SAML SSO یا به‌روزرسانی یک پروفایل موجود، ایمیل تکمیل خودکار را فعال کنید.

ایمیل تکمیل خودکار از یک پارامتر راهنمای ورود برای ارسال ایمن آدرس‌های ایمیل کاربران به IdP شما استفاده می‌کند. این پارامتر یک ویژگی رایج است که بسیاری از IdP های شخص ثالث برای ورودهای آغاز شده توسط IdP از آن پشتیبانی می‌کنند.

پارامتر راهنمای ورود به سیستم استاندارد نیست، بنابراین IdP های مختلف از انواع مختلفی استفاده می‌کنند، مانند:

  • login_hint : (توسط IdP هایی مانند Microsoft Entra پشتیبانی می شود)
  • LoginHint : (توسط IdP هایی مانند Okta پشتیبانی می‌شود)

به دلیل این تغییرات، باید تأیید کنید که IdP شما از کدام قالب پشتیبانی می‌کند و تنظیمات مربوطه را در کنسول مدیریت گوگل انتخاب کنید.

گزینه‌هایی برای فعال کردن تکمیل خودکار ایمیل

فعال کردن تکمیل خودکار ایمیل در یک پروفایل جدید

  1. با یک حساب کاربری مدیر (administrator) وارد کنسول مدیریت گوگل (Google Admin console) شوید .

    اگر از حساب کاربری مدیر (administrator) استفاده نمی‌کنید، نمی‌توانید به کنسول مدیریت (Admin console) دسترسی پیدا کنید.

  2. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس SSO با IdP شخص ثالث.

    نیاز به داشتن امتیاز مدیر تنظیمات امنیتی دارد.

  3. در بخش پروفایل‌های SSO شخص ثالث ، روی افزودن پروفایل SAML کلیک کنید.
  4. برای پروفایل SAML SSO ، نام پروفایل را وارد کنید.
  5. برای ایمیل تکمیل خودکار ، گزینه‌ای را انتخاب کنید که با قالب راهنمای ورود پشتیبانی‌شده توسط IdP شما مطابقت داشته باشد.
  6. در بخش جزئیات IdP ، مراحل زیر را انجام دهید:
    1. شناسه موجودیت IDP ، آدرس اینترنتی صفحه ورود و آدرس اینترنتی صفحه خروج را که از IdP خود دریافت کرده‌اید، وارد کنید.
    2. برای تغییر آدرس اینترنتی رمز عبور ، یک آدرس اینترنتی تغییر رمز عبور برای شناسه کاربری خود وارد کنید.
      کاربران برای تنظیم مجدد رمز عبور خود به این آدرس اینترنتی مراجعه می‌کنند.
  7. روی ذخیره کلیک کنید و به ایجاد پروفایل ادامه دهید.

فعال کردن تکمیل خودکار ایمیل در یک نمایه موجود

  1. با یک حساب کاربری مدیر (administrator) وارد کنسول مدیریت گوگل (Google Admin console) شوید .

    اگر از حساب کاربری مدیر (administrator) استفاده نمی‌کنید، نمی‌توانید به کنسول مدیریت (Admin console) دسترسی پیدا کنید.

  2. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس SSO با IdP شخص ثالث.

    نیاز به داشتن امتیاز مدیر تنظیمات امنیتی دارد.

  3. در بخش پروفایل‌های SSO شخص ثالث ، روی پروفایلی که می‌خواهید به‌روزرسانی کنید کلیک کنید.
  4. روی جزئیات SP کلیک کنید.
  5. برای ایمیل تکمیل خودکار ، گزینه‌ای را انتخاب کنید که با قالب راهنمای ورود پشتیبانی‌شده توسط IdP شما مطابقت داشته باشد.
  6. روی ذخیره کلیک کنید.

مدیریت URL های سرویس خاص دامنه

تنظیمات URLهای سرویس مختص دامنه به شما امکان می‌دهد کنترل کنید که هنگام ورود کاربران با استفاده از URLهای سرویس مانند https://mail.google.com/a/example.com چه اتفاقی بیفتد.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس SSO با IdP شخص ثالث.

    نیاز به داشتن امتیاز مدیر تنظیمات امنیتی دارد.

  2. برای باز کردن تنظیمات ، روی URL های سرویس خاص دامنه کلیک کنید.

دو گزینه وجود دارد:

  • کاربران را به IdP شخص ثالث هدایت کنید . این گزینه را انتخاب کنید تا همیشه این کاربران به IdP شخص ثالثی که در لیست کشویی نمایه SSO انتخاب می‌کنید، هدایت شوند. این می‌تواند نمایه SSO برای سازمان شما یا نمایه شخص ثالث دیگری (در صورت اضافه کردن) باشد.

    مهم: اگر واحدها یا گروه‌های سازمانی دارید که از SSO استفاده نمی‌کنند ، این تنظیم را انتخاب نکنید. کاربران غیر SSO شما به طور خودکار به IdP هدایت می‌شوند و نمی‌توانند وارد سیستم شوند.

  • کاربران را ملزم به وارد کردن نام کاربری خود در صفحه ورود به سیستم گوگل کنید . با این گزینه، کاربرانی که URL های خاص دامنه را وارد می‌کنند، ابتدا به صفحه ورود به سیستم گوگل هدایت می‌شوند. اگر کاربر SSO باشند، به صفحه ورود به سیستم IdP هدایت می‌شوند.

نتایج نقشه برداری شبکه

ماسک‌های شبکه، آدرس‌های IP هستند که با استفاده از نمادگذاری مسیریابی بین دامنه‌ای بدون کلاس (CIDR) نمایش داده می‌شوند. CIDR مشخص می‌کند که چند بیت از آدرس IP در آن گنجانده شده است. پروفایل SSO برای سازمان شما می‌تواند از ماسک‌های شبکه برای تعیین اینکه کدام آدرس‌های IP یا محدوده‌ای از آدرس‌های IP برای ارائه با سرویس SSO استفاده شوند، استفاده کند.

توجه: برای تنظیمات ماسک‌های شبکه، در حال حاضر فقط URLهای سرویس مختص دامنه، برای مثال service.google.com/a/example.com، به صفحه ورود به سیستم SSO هدایت می‌شوند.

مهم است که هر ماسک شبکه از قالب صحیح استفاده کند. در مثال IPv6 زیر، علامت اسلش (/) و عدد بعد از آن نشان دهنده CIDR هستند. 96 بیت آخر در نظر گرفته نمی‌شوند و تمام آدرس‌های IP در آن محدوده شبکه تحت تأثیر قرار می‌گیرند.

  • ۲۰۰۱:db8::/32

در این مثال IPv4، 8 بیت آخر (صفر) در نظر گرفته نمی‌شوند و تمام آدرس‌های IP که در محدوده 64.233.187.0 تا 64.233.187.255 قرار دارند، تحت تأثیر قرار می‌گیرند.

  • ۶۴.۲۳۳.۱۸۷.۰/۲۴

در دامنه‌های بدون ماسک شبکه، باید کاربرانی را که مدیر ارشد نیستند به ارائه‌دهنده هویت (IdP) اضافه کنید.

تجربه کاربری SSO هنگام بازدید از URL های سرویس گوگل

جدول زیر تجربه کاربر را برای بازدیدهای مستقیم از URL های سرویس گوگل، با و بدون ماسک شبکه نشان می‌دهد:

بدون ماسک شبکه مدیران ارشد عبارتند از: کاربران عبارتند از:
سرویس .google.com از آنها آدرس ایمیل گوگل و رمز عبور خواسته شد. از آنها آدرس ایمیل خواسته شد، سپس به صفحه ورود به سیستم SSO هدایت شدند.
با ماسک شبکه مدیران ارشد و کاربران عبارتند از:
سرویس .google.com از آنها آدرس ایمیل و رمز عبور خواسته شد.
سرویس .google.com
/a/ your_domain.com*
( درون ماسک شبکه)		 به صفحه ورود به سیستم SSO هدایت شد.
سرویس .google.com
/a/ your_domain.com
(شبکه خارجی
ماسک)		 از آنها آدرس ایمیل و رمز عبور خواسته شد.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

کاربرانی که با استفاده از پارامتر URL login_hint به نقطه پایانی OAuth 2.0 گوگل دسترسی پیدا می‌کنند، به صفحه ورود به سیستم SSO هدایت می‌شوند.

* همه سرویس‌ها از این الگوی URL پشتیبانی نمی‌کنند. نمونه‌هایی از سرویس‌هایی که این الگو را پشتیبانی می‌کنند، Gmail و Drive هستند.

انقضای جلسه هنگام پیکربندی ماسک شبکه

ممکن است در موارد زیر، جلسه فعال گوگل کاربر خاتمه یابد و از کاربر خواسته شود دوباره احراز هویت کند:

  • جلسه کاربر به حداکثر مدت مجاز خود، همانطور که در تنظیمات کنسول مدیریت کنترل جلسه گوگل مشخص شده است، می‌رسد.
  • مدیر با تغییر رمز عبور یا الزام کاربر به تغییر رمز عبور در ورود بعدی (چه از طریق کنسول مدیریت و چه با استفاده از Admin SDK) حساب کاربری را اصلاح کرده است.

تجربه کاربری

اگر کاربر جلسه را در یک IdP شخص ثالث آغاز کرده باشد، جلسه پاک می‌شود و کاربر به صفحه ورود به سیستم گوگل هدایت می‌شود.

از آنجا که کاربر جلسه گوگل خود را در یک IdP شخص ثالث آغاز کرده است، ممکن است متوجه نشود که چرا برای دسترسی مجدد به حساب کاربری خود باید وارد گوگل شود. کاربران ممکن است حتی وقتی سعی می‌کنند به سایر URL های گوگل بروند، به صفحه ورود به سیستم گوگل هدایت شوند.

اگر در حال برنامه‌ریزی برای انجام برخی تعمیرات هستید که شامل خاتمه دادن به جلسات فعال کاربران می‌شود و می‌خواهید از سردرگمی کاربران جلوگیری کنید، به کاربران خود بگویید که از جلسات خود خارج شوند و تا زمان اتمام تعمیرات، از سیستم خارج بمانند.

بازیابی کاربر

وقتی کاربری به دلیل پایان یافتن جلسه فعال خود، صفحه ورود به سیستم گوگل را مشاهده می‌کند، می‌تواند با انجام یکی از موارد زیر، دوباره به حساب کاربری خود دسترسی پیدا کند:

  • اگر کاربر پیام «اگر به اشتباه به این صفحه رسیده‌اید، برای خروج و تلاش دوباره برای ورود اینجا کلیک کنید» را مشاهده کند، می‌تواند روی پیوند موجود در پیام کلیک کند.
  • اگر کاربر آن پیام یا پیوند را نبیند، با رفتن به https://accounts.google.com/logout از سیستم خارج شده و دوباره وارد سیستم می‌شود.
  • کاربر می‌تواند کوکی‌های مرورگر خود را پاک کند.

به محض اینکه آنها از هر یک از روش‌های بازیابی استفاده کنند، جلسه گوگل آنها به طور کامل خاتمه می‌یابد و می‌توانند وارد سیستم شوند.

تأیید هویت دو مرحله‌ای را با SSO راه‌اندازی کنید

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس چالش‌های ورود به سیستم

    نیاز به داشتن امتیاز مدیر مدیریت امنیت کاربر دارد.

  2. در سمت چپ، واحد سازمانی که می‌خواهید سیاست را در آن تنظیم کنید، انتخاب کنید.

    برای همه کاربران، واحد سازمانی سطح بالا را انتخاب کنید. در ابتدا، واحدهای سازمانی تنظیمات والد خود را به ارث می‌برند.

  3. روی تأیید پس از SSO کلیک کنید.

  4. تنظیمات را بر اساس نحوه استفاده از پروفایل‌های SSO در سازمان خود انتخاب کنید. می‌توانید تنظیمات را برای کاربرانی که از پروفایل SSO قدیمی استفاده می‌کنند و برای کاربرانی که با استفاده از سایر پروفایل‌های SSO وارد سیستم می‌شوند، اعمال کنید.

  5. در پایین سمت راست، روی ذخیره کلیک کنید.

    گوگل یک ورودی در گزارش حسابرسی مدیریت ایجاد می‌کند تا هرگونه تغییر در خط‌مشی را نشان دهد.

تنظیمات پیش‌فرض تأیید پس از SSO به نوع کاربر SSO بستگی دارد:

  • برای کاربرانی که با استفاده از پروفایل SSO قدیمی وارد سیستم می‌شوند، تنظیمات پیش‌فرض این است که از چالش‌های ورود اضافی و 2SV عبور کنند .
  • برای کاربرانی که با استفاده از پروفایل‌های SSO وارد سیستم می‌شوند، تنظیمات پیش‌فرض اعمال چالش‌های ورود اضافی و 2SV است.

همچنین ببینید


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.