Impostazioni e manutenzione SSO facoltative

Come ruotare i certificati

Se carichi due certificati in un profilo Single Sign-On (SSO) SAML, Google può utilizzare entrambi i certificati per convalidare una risposta SAML dal tuo IdP. In questo modo puoi ruotare in sicurezza un certificato in scadenza lato IdP. Segui questa procedura almeno 24 ore prima della scadenza di un certificato:

  1. Crea un nuovo certificato nell'IdP.
  2. Carica il certificato come secondo certificato nella Console di amministrazione. Per le istruzioni, vedi Creare un profilo SAML.
  3. Attendi 24 ore per consentire l'aggiornamento degli account utente Google con il nuovo certificato.
  4. Configura l'IdP in modo che utilizzi il nuovo certificato al posto di quello in scadenza.
  5. (Facoltativo) Una volta che gli utenti hanno confermato di essere in grado di accedere, rimuovi il vecchio certificato dalla Console di amministrazione. In futuro, potrai caricare un nuovo certificato in base alle tue esigenze.

Utilizzare la compilazione automatica dell'email per semplificare gli accessi SSO

Per aiutare gli utenti ad accedere, attiva Compilazione automatica email quando crei o aggiorni un profilo Single Sign-On (SSO) SAML in entrata.

La compilazione automatica dell'email compila automaticamente il campo dell'indirizzo email nella pagina di accesso del tuo provider di identità di terze parti (IdP). Pertanto, gli utenti devono inserire solo la password. Puoi attivare Compilazione automatica email quando crei un nuovo profilo SSO SAML in entrata o ne aggiorni uno esistente.

La compilazione automatica dell'email utilizza un parametro login hint (suggerimento di accesso) per inviare in modo sicuro gli indirizzi email dei tuoi utenti al tuo IdP. Questo parametro è una funzionalità comune supportata da molti IdP di terze parti per gli accessi avviati da IdP.

Il parametro del suggerimento di accesso non è standardizzato, quindi IdP diversi utilizzano varianti diverse, ad esempio:

  • login_hint: (supportato da IdP come Microsoft Entra)
  • LoginHint: (supportato da IdP come Okta)

A causa di queste variazioni, devi verificare quale formato supporta il tuo IdP e scegliere l'impostazione corrispondente nella Console di amministrazione Google.

Opzioni per attivare la compilazione automatica dell'email

Attivare la compilazione automatica dell'email in un nuovo profilo

  1. Accedi alla Console di amministrazione Google con un account amministratore.

    Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

  2. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAutenticazionee poiSSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  3. Nella sezione Profili SSO di terze parti, fai clic su Aggiungi profilo SAML.
  4. In Profilo SSO SAML, inserisci un nome per il profilo.
  5. Per Compilazione automatica dell'email, seleziona l'opzione che corrisponde al formato del suggerimento di accesso supportato dal tuo IdP.
  6. Nella sezione Dettagli IdP, completa i seguenti passaggi:
    1. Inserisci l'ID entità IdP, l'URL della pagina di accesso e l'URL della pagina di uscita che hai ottenuto dal tuo IdP.
    2. In URL per la modifica della password, inserisci un URL per la modifica della password per l'IdP.
      Gli utenti accederanno a questo URL per reimpostare le password.
  7. Fai clic su Salva e continua a creare il profilo.

Attivare la compilazione automatica dell'email in un profilo esistente

  1. Accedi alla Console di amministrazione Google con un account amministratore.

    Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

  2. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAutenticazionee poiSSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  3. Nella sezione Profili SSO di terze parti, fai clic sul profilo che vuoi aggiornare.
  4. Fai clic su Dettagli SP.
  5. Per Compilazione automatica dell'email, seleziona l'opzione che corrisponde al formato del suggerimento di accesso supportato dal tuo IdP.
  6. Fai clic su Salva.

Gestire gli URL di servizio specifici del dominio

L'impostazione URL di servizio specifici del dominio consente di controllare cosa accade quando gli utenti accedono utilizzando URL di servizio come https://mail.google.com/a/example.com.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAutenticazionee poiSSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  2. Fai clic su URL di servizio specifici del dominio per aprire le impostazioni.

Le opzioni disponibili sono due:

  • Reindirizza gli utenti all'IdP di terze parti. Scegli questa opzione per indirizzare sempre questi utenti all'IdP di terze parti che hai selezionato nell'elenco a discesa del profilo SSO. Può essere il profilo SSO della tua organizzazione o un altro profilo di terze parti (se ne hai aggiunto uno).

    Importante:se hai unità organizzative o gruppi che non utilizzano SSO, non scegliere questa impostazione. Gli utenti non SSO verranno indirizzati automaticamente all'IdP e non potranno accedere.

  • Richiedi agli utenti di inserire il loro nome utente nella pagina di accesso di Google. Con questa opzione, gli utenti che inseriscono URL specifici del dominio vengono reindirizzati prima alla pagina di accesso di Google. Se sono utenti SSO, vengono reindirizzati alla pagina di accesso dell'IdP.

Risultati della mappatura della rete

Le maschere di rete sono indirizzi IP rappresentati utilizzando la notazione CIDR (Classless Inter-Domain Routing). Il CIDR specifica il numero di bit dell'indirizzo IP inclusi. Il profilo SSO per la tua organizzazione può utilizzare le maschere di rete per determinare quali indirizzi IP o intervalli di IP presentare con il servizio SSO.

Nota:per le impostazioni delle maschere di rete, solo gli URL del servizio specifici del dominio, ad esempio service.google.com/a/example.com, attualmente reindirizzano alla pagina di accesso SSO.

È importante utilizzare il formato corretto per ciascuna maschera di rete. Nel seguente esempio di IPv6, la barra (/) e il numero che la segue rappresentano il CIDR. Gli ultimi 96 bit non vengono presi in considerazione, mentre sono interessati tutti gli indirizzi IP compresi in quell'intervallo di rete.

  • 2001:db8::/32

In questo esempio relativo a IPv4, gli ultimi 8 bit (lo zero) non vengono presi in considerazione, mentre sono interessati tutti gli indirizzi IP compresi nell'intervallo tra 64.233.187.0 e 64.233.187.255.

  • 64.233.187.0/24

Per i domini senza maschera di rete, devi aggiungere al provider di identità (IdP) gli utenti che non sono super amministratori.

Esperienza utente SSO quando visita gli URL dei servizi Google

La tabella seguente mostra l'esperienza utente per le visite dirette agli URL dei servizi Google, con e senza una maschera di rete:

Senza maschera di rete I super amministratori sono: Gli utenti sono:
servizio.google.com Gli viene chiesto di inserire l'indirizzo email e la password di Google. Gli viene chiesto l'indirizzo email, quindi viene eseguito il reindirizzamento alla pagina di accesso SSO.
Con maschera di rete Super amministratori e utenti sono:
servizio.google.com Gli viene chiesto di inserire l'indirizzo email e la password.
service.google.com
/a/your_domain.com*
(all'interno della maschera di rete)		 Viene reindirizzato alla pagina di accesso SSO.
service.google.com
/a/your_domain.com
(all'esterno della maschera
di rete)		 Gli viene chiesto di inserire l'indirizzo email e la password.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Gli utenti che accedono all'endpoint OAuth 2.0 di Google utilizzando il parametro URL login_hint vengono reindirizzati alla pagina di accesso SSO.

* Non tutti i servizi supportano questo pattern URL. Esempi di servizi che lo fanno sono Gmail e Drive.

Scadenza della sessione quando è configurata una maschera di rete

Nei seguenti casi è possibile che la sessione Google attiva di un utente venga terminata e che quest'ultimo debba eseguire nuovamente l'autenticazione:

  • La sessione raggiunge la durata massima consentita specificata nell'impostazione Controllo sessione Google della Console di amministrazione.
  • L'amministratore ha modificato l'account utente cambiando la password o richiedendo la modifica della password all'accesso successivo, utilizzando la Console di amministrazione o l'SDK Admin.

Esperienza utente

Se l'utente ha avviato la sessione su un IdP di terze parti, la sessione viene cancellata e l'utente viene reindirizzato alla pagina di accesso di Google.

Dal momento che l'utente ha avviato la sessione Google a partire da un IdP di terze parti, è possibile che non comprenda perché deve reinserire le credenziali per poter accedere nuovamente al proprio account. Gli utenti potrebbero essere reindirizzati a una pagina di accesso di Google anche quando tentano di passare ad altri URL Google.

Se stai pianificando un'operazione di manutenzione per cui è necessario terminare le sessioni utente attive e vuoi evitare di confondere gli utenti, chiedi loro di uscire dalle loro sessioni e di non accedere fino a quando la manutenzione non è completa.

Recupero degli utenti

Quando viene visualizzata la pagina di accesso di Google perché la sessione di un utente è stata terminata, l'utente può accedere nuovamente al proprio account eseguendo una di queste operazioni:

  • Se l'utente visualizza il messaggio "Se hai raggiunto questa pagina per sbaglio, fai clic qui per uscire, quindi riprova ad accedere", può fare clic sul link presente nel messaggio.
  • Se il messaggio o il link non sono stati visualizzati, l'utente può uscire e accedere nuovamente a partire dall'indirizzo https://accounts.google.com/logout.
  • L'utente può cancellare i cookie del browser.

Una volta eseguita una qualsiasi delle operazioni indicate sopra, la sessione Google viene terminata del tutto e l'utente può accedere.

Configurare la verifica in due passaggi con SSO

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAutenticazionee poiVerifiche dell'accesso.

    È necessario disporre del privilegio di amministratore Gestione della sicurezza degli utenti.

  2. A sinistra, seleziona l'unità organizzativa per cui vuoi impostare il criterio.

    Per applicare le impostazioni a tutti gli utenti, seleziona l'unità organizzativa di primo livello. Inizialmente, le unità organizzative ereditano le impostazioni dell'organizzazione di livello superiore.

  3. Fai clic su Verifica post-SSO.

  4. Scegli le impostazioni in base a come utilizzi i profili SSO nella tua organizzazione. Puoi applicare un'impostazione agli utenti che utilizzano il profilo SSO legacy e a quelli che accedono utilizzando altri profili SSO.

  5. In basso a destra, fai clic su Salva.

    Google crea una voce nel log di controllo della Console di amministrazione per indicare la modifica del criterio.

L'impostazione predefinita della verifica post-SSO dipende dal tipo di utente SSO:

  • Per gli utenti che accedono utilizzando il profilo SSO legacy, l'impostazione predefinita è ignorare le verifiche dell'accesso aggiuntive e la V2P.
  • Per gli utenti che accedono utilizzando i profili SSO, l'impostazione predefinita è applicare verifiche dell'accesso aggiuntive e la V2P.

Vedi anche


Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.