הגדרות SSO אופציונליות ותחזוקה

איך מבצעים רוטציה של אישורים

אם מעלים שני אישורים לפרופיל של כניסה יחידה (SSO) ב-SAML, ‏ Google יכולה להשתמש בכל אחד מהאישורים כדי לאמת תגובה של SAML מה-IdP. כך תוכלו להחליף בבטחה אישור שתוקפו עומד לפוג בצד של ספק הזהויות. צריך לפעול לפי השלבים הבאים לפחות 24 שעות לפני שפג התוקף של האישור:

  1. יוצרים אישור חדש בספק הזהות.
  2. מעלים את האישור כמספר 2 במסוף Admin. הוראות מפורטות מופיעות במאמר בנושא יצירת פרופיל SAML.
  3. צריך להמתין 24 שעות כדי לאפשר לחשבונות המשתמשים ב-Google להתעדכן עם האישור החדש.
  4. מגדירים את ספק ה-IdP כך שישתמש באישור החדש במקום באישור שתוקפו עומד לפוג.
  5. (אופציונלי) אחרי שהמשתמשים יאשרו שהם יכולים להיכנס, צריך להסיר את האישור הישן ממסוף Admin. אחר כך תוכלו להעלות אישור חדש לפי הצורך.

שימוש במילוי אוטומטי של כתובת אימייל כדי לפשט את הכניסה באמצעות SSO

כדי לעזור למשתמשים להיכנס לחשבון, מפעילים את האפשרות מילוי אוטומטי של כתובת האימייל כשיוצרים או מעדכנים פרופיל של כניסה יחידה (SSO) ב-SAML נכנס.

התכונה 'מילוי אוטומטי של כתובת אימייל' ממלאת אוטומטית את השדה של כתובת האימייל בדף הכניסה של ספק הזהויות (IdP) של צד שלישי. לכן, המשתמשים צריכים להזין רק את הסיסמה שלהם. אתם יכולים להפעיל את האפשרות מילוי אוטומטי של כתובת אימייל כשאתם יוצרים פרופיל חדש של SAML SSO נכנס או מעדכנים פרופיל קיים.

התכונה 'מילוי אוטומטי של כתובת אימייל' משתמשת בפרמטר רמז להתחברות כדי לשלוח בצורה מאובטחת את כתובות האימייל של המשתמשים ל-IdP. הפרמטר הזה הוא תכונה נפוצה שספקי זהויות רבים של צד שלישי תומכים בה לכניסות שמתחילות בספק הזהויות.

הפרמטר של רמז ההתחברות לא סטנדרטי, ולכן ספקי IdP שונים משתמשים בווריאציות שונות, כמו:

  • login_hint: (נתמך על ידי ספקי IdP כמו Microsoft Entra)
  • LoginHint: (נתמך על ידי ספקי זהויות כמו Okta)

בגלל השונות הזו, תצטרכו לוודא איזה פורמט נתמך על ידי ספק הזהויות ולבחור את ההגדרה המתאימה במסוף Google Admin.

אפשרויות להפעלת מילוי אוטומטי של כתובות אימייל

הפעלת מילוי אוטומטי של כתובת אימייל בפרופיל חדש

  1. נכנסים למסוף Google Admin באמצעות חשבון אדמין.

    אי אפשר לגשת למסוף Admin בלי חשבון אדמין.

  2. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזSSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  3. בקטע פרופילים של צד שלישי ל-SSO, לוחצים על הוספת פרופיל SAML.
  4. בשדה פרופיל SSO ב-SAML, מזינים שם לפרופיל.
  5. בקטע מילוי אוטומטי של כתובת האימייל, בוחרים את האפשרות שמתאימה לפורמט הרמזים להתחברות שנתמך על ידי ספק ה-IdP.
  6. בקטע IdP details (פרטי ספק הזהויות), מבצעים את הפעולות הבאות:
    1. מזינים את מזהה הישות ב-IdP, את כתובת ה-URL של דף הכניסה ואת כתובת ה-URL של דף היציאה שקיבלתם מה-IdP.
    2. בשדה כתובת URL לשינוי סיסמה, מזינים כתובת URL לשינוי סיסמה עבור ספק ה-IdP.
      המשתמשים יופנו אל כתובת ה-URL הזו כדי לאפס את הסיסמאות שלהם.
  7. לוחצים על שמירה וממשיכים ליצור את הפרופיל.

הפעלת מילוי אוטומטי של כתובת אימייל בפרופיל קיים

  1. נכנסים למסוף Google Admin באמצעות חשבון אדמין.

    אי אפשר לגשת למסוף Admin בלי חשבון אדמין.

  2. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזSSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  3. בקטע פרופילי SSO מצד שלישי, לוחצים על הפרופיל שרוצים לעדכן.
  4. לוחצים על פרטי ספק.
  5. בקטע מילוי אוטומטי של כתובת האימייל, בוחרים את האפשרות שמתאימה לפורמט הרמזים להתחברות שנתמך על ידי ספק ה-IdP.
  6. לוחצים על שמירה.

ניהול כתובות URL של שירותים שספציפיות לדומיין

ההגדרה כתובות URL של שירותים הספציפיות לדומיין מאפשרת לכם לקבוע מה קורה כשמשתמשים נכנסים לחשבון באמצעות כתובות URL של שירותים כמו https://mail.google.com/a/example.com.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזSSO עם IdP של צד שלישי.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. לוחצים על כתובות URL של שירותים שספציפיות לדומיין כדי לפתוח את ההגדרות.

יש שתי אפשרויות:

  • הפניה אוטומטית של המשתמשים ל-IdP מצד שלישי. בוחרים באפשרות הזו כדי להפנות תמיד את המשתמשים האלה ל-IdP מצד שלישי שבוחרים בתפריט הנפתח של פרופיל ה-SSO. זה יכול להיות פרופיל ה-SSO של הארגון, או פרופיל אחר של צד שלישי (אם הוספתם כזה).

    חשוב: אם יש לכם יחידות ארגוניות או קבוצות שלא משתמשות ב-SSO, אל תבחרו בהגדרה הזו. המשתמשים שלא מוגדר להם SSO יופנו אוטומטית אל IdP ולא יוכלו להיכנס.

  • המשתמשים צריכים קודם להזין את שם המשתמש שלהם בדף הכניסה של Google. באפשרות הזו, משתמשים שמזינים כתובות URL ספציפיות לדומיין מועברים קודם לדף הכניסה של Google. אם הם משתמשים ב-SSO, הם מופנים לדף הכניסה של ספק הזהויות.

תוצאות של מיפוי רשת

מסכות רשת הן כתובות IP שמיוצגות באמצעות סימון Classless Inter-Domain Routing‏ (CIDR). ה-CIDR מציין כמה ביטים של כתובת ה-IP נכללים. בפרופיל ה-SSO של הארגון אפשר להשתמש במסיכות רשת כדי לקבוע אילו כתובות IP או טווחי כתובות IP יוצגו בשירות ה-SSO.

הערה: בהגדרות של מסכות הרשת, רק כתובות URL של שירותים שספציפיות לדומיין, למשל service.google.com/a/example.com, מפנות כרגע לדף הכניסה של ה-SSO.

חשוב להשתמש בפורמט הנכון לכל מסכת רשת. בדוגמה הבאה של IPv6, הקו הנטוי (/) והמספר שאחריו מייצגים את ה-CIDR. המערכת לא מתייחסת ל-96 הביטים האחרונים, וכל כתובות ה-IP בטווח הרשת הזה מושפעות.

  • 2001:db8::/32

בדוגמה הזו של IPv4, ‏ 8 הביטים האחרונים (האפס) לא נלקחים בחשבון, וכל כתובות ה-IP שהיו בטווח 64.233.187.0 עד 64.233.187.255 יושפעו.

  • 64.233.187.0/24

בדומיינים ללא מסכת רשת, צריך להוסיף לספק הזהויות (IdP) משתמשים שאין להם הרשאת סופר-אדמין.

חוויית המשתמש בכניסה יחידה (SSO) כשנכנסים לכתובות URL של שירותי Google

בטבלה הבאה מוצגת חוויית המשתמש בביקורים ישירים בכתובות URL של שירותי Google, עם מסכת רשת וללא מסכת רשת:

ללא מסיכת רשת סופר-אדמינים הם: המשתמשים הם:
service.google.com מופיעה בקשה להזין את כתובת האימייל והסיסמה שלהם לחשבון Google. המשתמשים מתבקשים להזין את כתובת האימייל שלהם, ואז מופנים לדף הכניסה ל-SSO.
עם מסיכת רשת סופר-אדמינים ומשתמשים:
service.google.com המשתמשים מתבקשים להזין את כתובת האימייל והסיסמה שלהם.
service.google.com
/a/your_domain.com*
(within network mask)		 הפניה אוטומטית לדף הכניסה של ה-SSO.
service.google.com
/a/your_domain.com
(outside network
mask)		 המשתמשים מתבקשים להזין את כתובת האימייל והסיסמה שלהם.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

משתמשים שניגשים אל נקודת הקצה של Google OAuth 2.0 באמצעות פרמטר כתובת ה-URL login_hint מופנים לדף הכניסה של ה-SSO.

‫* לא כל השירותים תומכים בתבנית כתובת ה-URL הזו. דוגמאות לשירותים כאלה הם Gmail ו-Drive.

תפוגת תוקף של סשן כשמוגדרת מסכת רשת

יכול להיות שהסשן הפעיל של משתמש ב-Google יסתיים והמשתמש יתבקש לבצע אימות מחדש במקרים הבאים:

  • המשך המקסימלי המותר של פעילות המשתמש הגיע, כפי שצוין בהגדרה שליטה בסשן ב-Google במסוף Admin.
  • האדמין שינה את חשבון המשתמש על ידי שינוי הסיסמה או דרישה מהמשתמש לשנות את הסיסמה בכניסה הבאה (דרך מסוף Admin או באמצעות Admin SDK).

חוויית משתמש

אם המשתמש התחיל את הסשן ב-IdP מצד שלישי, הסשן ינוקה והמשתמש יופנה לדף הכניסה של Google.

יכול להיות שהמשתמש לא יבין למה הוא צריך להיכנס לחשבון Google כדי לקבל שוב גישה לחשבון, כי הוא התחיל את הסשן שלו ב-Google דרך ספק זהויות (IdP) של צד שלישי. יכול להיות שהמשתמשים יופנו לדף הכניסה לחשבון Google גם כשהם מנסים לנווט לכתובות URL אחרות של Google.

אם אתם מתכננים לבצע תחזוקה שכוללת סיום של סשנים פעילים של משתמשים, ואתם רוצים למנוע בלבול בקרב המשתמשים, כדאי להנחות אותם להתנתק מהסשנים שלהם ולהישאר מנותקים עד לסיום התחזוקה.

שחזור משתמשים

אם משתמש רואה את דף הכניסה לחשבון Google כי הסתיימה הסשן הפעיל שלו, הוא יכול לקבל שוב גישה לחשבון באחת מהדרכים הבאות:

  • אם המשתמש רואה את ההודעה 'אם הגעת לדף הזה בטעות, לחץ כאן כדי לצאת ואז נסה להיכנס שוב', הוא יכול ללחוץ על הקישור בהודעה.
  • אם המשתמש לא רואה את ההודעה או הקישור, הוא צריך להתנתק ולהתחבר שוב בכתובת https://accounts.google.com/logout.
  • המשתמש יכול למחוק את קובצי ה-Cookie בדפדפן.

אחרי שהם משתמשים באחת משיטות השחזור, הסשן שלהם ב-Google מסתיים לחלוטין והם יכולים להיכנס לחשבון.

הגדרת אימות דו-שלבי עם כניסה יחידה (SSO)

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזאימותי זהות.

    כדי לעשות את זה צריך הרשאת אדמין לניהול אבטחת המשתמשים.

  2. בצד ימין, בוחרים את היחידה הארגונית שרוצים להגדיר בה את המדיניות.

    אם רוצים להגדיר לכל המשתמשים, בוחרים את היחידה הארגונית שברמה העליונה. בשלב הראשוני, היחידות הארגוניות יורשות את ההגדרות של היחידה הארגונית הראשית.

  3. לוחצים על אימות אחרי כניסה יחידה (SSO).

  4. בוחרים הגדרות בהתאם לאופן השימוש בפרופילי SSO בארגון. אתם יכולים להחיל הגדרה על משתמשים שמשתמשים בפרופיל ה-SSO מדור קודם ועל משתמשים שנכנסים באמצעות פרופילי SSO אחרים.

  5. בפינה השמאלית התחתונה, לוחצים על שמירה.

    ‫Google יוצרת רשומה ביומן הביקורת של האדמין כדי לציין שינוי במדיניות.

הגדרת האימות שמוגדרת כברירת מחדל אחרי כניסה יחידה (SSO) משתנה לפי סוג המשתמש ב-SSO:

  • למשתמשים שנכנסים באמצעות פרופיל ה-SSO מדור קודם, הגדרת ברירת המחדל היא לדלג על אתגרי אימות זהות נוספים בכניסה ועל אימות דו-שלבי.
  • למשתמשים שנכנסים באמצעות פרופילי SSO, הגדרת ברירת המחדל היא הפעלת אתגרי אימות זהות נוספים בכניסה ואימות דו-שלבי.

ראה גם


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.