Setelan dan pemeliharaan SSO opsional

Cara merotasi sertifikat

Jika Anda mengupload dua sertifikat ke profil Single Sign-On (SSO) SAML, Google dapat menggunakan salah satu sertifikat untuk memvalidasi respons SAML dari IdP Anda. Hal ini memungkinkan Anda merotasi sertifikat yang habis masa berlakunya dengan aman di sisi IdP. Ikuti langkah-langkah berikut setidaknya 24 jam sebelum masa berlaku sertifikat berakhir:

  1. Buat sertifikat baru di IdP.
  2. Upload sertifikat tersebut sebagai sertifikat kedua ke konsol Admin. Untuk mengetahui petunjuknya, lihat Membuat profil SAML.
  3. Tunggu 24 jam agar akun pengguna Google dapat diupdate dengan sertifikat baru.
  4. Konfigurasikan IdP untuk menggunakan sertifikat baru sebagai pengganti sertifikat yang akan habis masa berlakunya.
  5. (Opsional) Setelah pengguna mengonfirmasi bahwa mereka dapat login, hapus sertifikat lama dari konsol Admin. Anda kemudian dapat mengupload sertifikat baru di masa mendatang sesuai kebutuhan.

Menggunakan Isi otomatis email untuk menyederhanakan login SSO

Untuk membantu pengguna Anda login, aktifkan Isi otomatis email saat membuat atau memperbarui profil Single Sign-On (SSO) SAML Masuk.

Isi otomatis email akan mengisi kolom alamat email secara otomatis di halaman login penyedia identitas (IdP) pihak ketiga Anda. Oleh karena itu, pengguna hanya perlu memasukkan sandi mereka. Anda dapat mengaktifkan Isi otomatis email saat membuat profil SSO SAML Masuk baru atau memperbarui profil yang sudah ada.

Isi otomatis email menggunakan parameter petunjuk login untuk mengirimkan alamat email pengguna Anda ke IdP Anda secara aman. Parameter ini adalah fitur umum yang didukung oleh banyak IdP pihak ketiga untuk login yang dimulai IdP.

Parameter petunjuk login tidak distandardisasi, sehingga IdP yang berbeda menggunakan variasi yang berbeda, seperti:

  • login_hint: (didukung oleh IdP seperti Microsoft Entra)
  • LoginHint: (didukung oleh IdP seperti Okta)

Karena variasi ini, Anda harus mengonfirmasi format yang didukung IdP Anda dan memilih setelan yang sesuai di konsol Google Admin.

Opsi untuk mengaktifkan Isi otomatis email

Mengaktifkan Isi otomatis email di profil baru

  1. Login dengan akun administrator ke konsol Google Admin.

    Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.

  2. Di konsol Google Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan IdP pihak ketiga.

    Memerlukan hak istimewa administrator Setelan Keamanan.

  3. Di bagian Profil SSO pihak ketiga, klik Tambahkan profil SAML.
  4. Untuk Profil SSO SAML, masukkan nama profil.
  5. Untuk Isi otomatis email, pilih opsi yang cocok dengan format petunjuk login yang didukung IdP Anda.
  6. Di bagian Detail IdP, selesaikan langkah-langkah berikut:
    1. Masukkan ID entitas IdP, URL halaman login, dan URL halaman logout yang Anda dapatkan dari IdP Anda.
    2. Untuk URL ubah sandi, masukkan URL ubah sandi untuk IdP Anda.
      Pengguna akan membuka URL ini untuk mereset sandi mereka.
  7. Klik Simpan dan lanjutkan pembuatan profil.

Mengaktifkan Isi otomatis email di profil yang ada

  1. Login dengan akun administrator ke konsol Google Admin.

    Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.

  2. Di konsol Google Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan IdP pihak ketiga.

    Memerlukan hak istimewa administrator Setelan Keamanan.

  3. Di bagian Profil SSO pihak ketiga, klik profil yang ingin Anda perbarui.
  4. Klik Detail SP.
  5. Untuk Isi otomatis email, pilih opsi yang cocok dengan format petunjuk login yang didukung IdP Anda.
  6. Klik Simpan.

Mengelola URL layanan khusus domain

Setelan URL layanan khusus domain memungkinkan Anda mengontrol apa yang akan terjadi saat pengguna login menggunakan URL layanan seperti https://mail.google.com/a/example.com.

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan IdP pihak ketiga.

    Memerlukan hak istimewa administrator Setelan Keamanan.

  2. Klik URL Layanan Khusus Domain untuk membuka setelan.

Ada 2 opsi:

  • Mengalihkan pengguna ke IdP pihak ketiga. Pilih opsi ini untuk selalu mengarahkan pengguna tersebut ke IdP pihak ketiga yang Anda pilih di menu drop-down profil SSO. Profil ini dapat berupa profil SSO untuk organisasi Anda, atau profil pihak ketiga lainnya (jika Anda telah menambahkannya).

    Penting: Jika Anda memiliki unit organisasi atau grup yang tidak menggunakan SSO, jangan pilih setelan ini. Pengguna non-SSO Anda akan otomatis dirutekan ke IdP dan tidak dapat login.

  • Wajibkan pengguna untuk memasukkan nama pengguna mereka di halaman login Google. Dengan opsi ini, pengguna yang memasukkan URL khusus domain akan dikirim terlebih dahulu ke halaman login Google. Jika pengguna merupakan pengguna SSO, mereka akan dialihkan ke halaman login IdP.

Hasil Pemetaan Jaringan

Network mask adalah alamat IP yang dilambangkan menggunakan notasi CIDR (Classless Inter-Domain Routing). CIDR menentukan berapa banyak bit dari alamat IP yang disertakan. Profil SSO untuk organisasi Anda dapat menggunakan network mask untuk menentukan alamat IP atau rentang alamat IP yang akan dihadirkan dengan layanan SSO.

Catatan: Untuk setelan network mask, hanya URL layanan khusus domain, misalnya service.google.com/a/example.com, yang saat ini dialihkan ke halaman login SSO.

Penting bagi setiap network mask untuk menggunakan format yang tepat. Pada contoh IPv6 berikut, garis miring (/) dan angka setelahnya mewakili CIDR. 96 bit terakhir tidak dipertimbangkan, dan semua alamat IP dalam rentang jaringan tersebut akan terpengaruh.

  • 2001:db8::/32

Dalam contoh IPv4 ini, 8 bit terakhir (angka nol) diabaikan, dan semua alamat IP yang berada dalam rentang 64.233.187.0 hingga 64.233.187.255 akan terpengaruh.

  • 64.233.187.0/24

Dalam domain tanpa network mask, Anda harus menambahkan pengguna yang bukan administrator super ke penyedia identitas (IdP).

Pengalaman pengguna SSO saat membuka URL layanan Google

Tabel berikut menunjukkan pengalaman pengguna untuk kunjungan langsung ke URL layanan Google, dengan dan tanpa network mask:

Tanpa network mask Administrator super adalah: Pengguna:
service.google.com Diminta untuk memasukkan alamat email dan sandi Google-nya. Diminta untuk memasukkan alamat emailnya, lalu dialihkan ke halaman login SSO.
Dengan network mask Administrator super dan pengguna:
service.google.com Diminta untuk memasukkan alamat email dan sandinya.
service.google.com
/a/your_domain.com*
(dalam network mask)		 Dialihkan ke halaman login SSO.
service.google.com
/a/your_domain.com
(di luar network
mask)		 Diminta untuk memasukkan alamat email dan sandinya.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Pengguna yang mengakses endpoint OAuth 2.0 Google menggunakan parameter URL login_hint akan dialihkan ke halaman login SSO.

* Tidak semua layanan mendukung pola URL ini. Contoh layanan yang mendukung adalah Gmail dan Drive.

Masa berlaku sesi habis saat network mask dikonfigurasi

Sesi Google aktif milik pengguna mungkin dihentikan dan pengguna diminta untuk melakukan autentikasi ulang saat:

  • Sesi pengguna mencapai durasi maksimum yang diizinkan sebagaimana ditetapkan di setelan konsol Admin Kontrol sesi Google.
  • Admin memodifikasi akun pengguna dengan mengubah sandi atau mewajibkan pengguna mengubah sandi saat login berikutnya (melalui konsol Admin atau menggunakan Admin SDK).

Pengalaman pengguna

Jika pengguna memulai sesi di IdP pihak ketiga, sesi tersebut akan dihapus dan pengguna akan dialihkan ke halaman Login dengan Google.

Karena memulai sesi Google di IdP pihak ketiga, pengguna mungkin tidak memahami alasan kenapa mereka harus login ke Google untuk mendapatkan kembali akses ke akun mereka. Pengguna mungkin dialihkan ke halaman Login dengan Google meskipun saat mencoba membuka URL Google lainnya.

Jika Anda merencanakan pengelolaan yang mencakup penghentian sesi pengguna yang aktif dan tidak ingin membuat pengguna bingung, beri tahu pengguna untuk logout dari sesi mereka dan tetap logout hingga pengelolaan selesai.

Pemulihan pengguna

Jika pengguna melihat halaman Login dengan Google karena sesi aktif mereka diakhiri, mereka bisa mendapatkan kembali akses ke akunnya dengan melakukan salah satu tindakan berikut:

  • Jika pengguna melihat pesan "Jika Anda mencapai halaman ini secara keliru, klik di sini untuk logout, lalu coba untuk login lagi", mereka dapat mengklik link pada pesan.
  • Jika pengguna tidak melihat pesan atau link, mereka dapat logout dan login lagi dengan membuka https://accounts.google.com/logout.
  • Pengguna dapat menghapus cookie browser.

Setelah mereka menggunakan salah satu metode pemulihan, sesi Google mereka akan dihentikan sepenuhnya dan mereka dapat login.

Menyiapkan Verifikasi 2 Langkah dengan SSO

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluAutentikasilaluVerifikasi login.

    Memerlukan hak istimewa administrator Pengelolaan keamanan pengguna.

  2. Di sebelah kiri, pilih unit organisasi tempat Anda ingin menetapkan kebijakan.

    Untuk semua pengguna, pilih unit organisasi tingkat teratas. Awalnya, unit organisasi mewarisi setelan induknya.

  3. Klik Verifikasi pasca-SSO.

  4. Pilih setelan sesuai dengan cara Anda menggunakan profil SSO di organisasi. Anda dapat menerapkan setelan untuk pengguna yang menggunakan profil SSO lama dan untuk pengguna yang login menggunakan profil SSO lainnya.

  5. Klik Simpan di kanan bawah.

    Google membuat entri di log audit Admin untuk menunjukkan perubahan kebijakan.

Setelan verifikasi pasca-SSO default bergantung pada jenis pengguna SSO:

  • Untuk pengguna yang login menggunakan profil SSO lama, setelan defaultnya adalah abaikan verifikasi login dan 2SV tambahan.
  • Untuk pengguna yang login menggunakan profil SSO, setelan defaultnya adalah terapkan verifikasi login dan 2SV tambahan.

Lihat juga


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.