Дополнительные настройки и обслуживание системы единого входа (SSO)

Как выполнить ротацию сертификатов

Если вы загрузите два сертификата в профиль единого входа SAML (SSO), Google сможет использовать любой из них для проверки ответа SAML от вашего поставщика идентификации (IdP). Это позволяет безопасно менять истекающий сертификат на стороне IdP. Выполните следующие действия как минимум за 24 часа до истечения срока действия сертификата:

  1. Создайте новый сертификат на IdP.
  2. Загрузите сертификат в качестве второго сертификата в консоль администратора. Инструкции см. в разделе «Создание профиля SAML» .
  3. Подождите 24 часа, чтобы учетные записи пользователей Google обновились с помощью нового сертификата.
  4. Настройте поставщик идентификации (IdP) для использования нового сертификата вместо истекающего.
  5. (Необязательно) После того, как пользователи подтвердят возможность входа в систему, удалите старый сертификат из консоли администратора. При необходимости в будущем вы сможете загрузить новый сертификат.

Используйте функцию автозаполнения адресов электронной почты, чтобы упростить вход через единый вход (SSO).

Чтобы упростить вход пользователей в систему, включите функцию автозаполнения адресов электронной почты при создании или обновлении профиля единого входа SAML (SSO).

Функция автозаполнения адресов электронной почты автоматически заполняет поле адреса электронной почты на странице входа в систему вашего стороннего поставщика идентификационных данных (IdP). Таким образом, пользователям нужно ввести только свой пароль. Вы можете включить автозаполнение адресов электронной почты при создании нового профиля входящего SAML SSO или обновлении существующего.

Функция автозаполнения адресов электронной почты использует параметр подсказки для входа в систему , чтобы безопасно отправлять адреса электронной почты ваших пользователей вашему поставщику идентификации (IdP). Этот параметр является распространенной функцией, которую поддерживают многие сторонние поставщики идентификации для авторизации, инициируемой IdP.

Параметр подсказки при входе в систему не стандартизирован, поэтому разные поставщики идентификации используют разные варианты, например:

  • login_hint : (поддерживается поставщиками идентификации, такими как Microsoft Entra)
  • LoginHint : (поддерживается поставщиками идентификации, такими как Okta)

В связи с этими различиями вам потребуется подтвердить, какой формат поддерживает ваш поставщик идентификации (IdP), и выбрать соответствующую настройку в консоли администратора Google.

Параметры включения автозаполнения адресов электронной почты

Включите функцию автозаполнения адресов электронной почты в новом профиле.

  1. Войдите в консоль администратора Google, используя учетную запись администратора .

    Если вы не используете учетную запись администратора, вы не сможете получить доступ к консоли администратора.

  2. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Единый вход (SSO) с использованием стороннего поставщика идентификации (IdP).

    Для этого требуются права администратора в разделе «Параметры безопасности» .

  3. В разделе «Профили SSO сторонних разработчиков» нажмите «Добавить профиль SAML» .
  4. Для профиля SAML SSO введите имя профиля.
  5. Для параметра «Автозаполнение электронной почты» выберите вариант, соответствующий формату подсказки для входа, поддерживаемому вашим поставщиком идентификации (IdP).
  6. В разделе сведений об поставщике идентификации выполните следующие действия:
    1. Введите идентификатор сущности поставщика идентификации (IDP) , URL-адрес страницы входа и URL-адрес страницы выхода , полученные от вашего поставщика идентификации.
    2. В поле «URL-адрес смены пароля» введите URL-адрес смены пароля для вашего поставщика идентификации (IdP).
      Пользователи смогут сбросить свои пароли, перейдя по этой ссылке.
  7. Нажмите «Сохранить» и продолжите создание профиля.

Включите функцию автозаполнения адресов электронной почты в существующем профиле.

  1. Войдите в консоль администратора Google, используя учетную запись администратора .

    Если вы не используете учетную запись администратора, вы не сможете получить доступ к консоли администратора.

  2. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Единый вход (SSO) с использованием стороннего поставщика идентификации (IdP).

    Для этого требуются права администратора в разделе «Параметры безопасности» .

  3. В разделе «Профили SSO сторонних разработчиков» щелкните профиль, который хотите обновить.
  4. Нажмите «Подробности SP» .
  5. Для параметра «Автозаполнение электронной почты» выберите вариант, соответствующий формату подсказки для входа, поддерживаемому вашим поставщиком идентификации (IdP).
  6. Нажмите « Сохранить ».

Управление URL-адресами служб, специфичных для конкретного домена.

Параметр «URL-адреса служб для конкретного домена» позволяет управлять тем, что происходит, когда пользователи входят в систему, используя URL-адреса служб, например, https://mail.google.com/a/example.com.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Единый вход (SSO) с использованием стороннего поставщика идентификации (IdP).

    Для этого требуются права администратора в разделе «Параметры безопасности» .

  2. Чтобы открыть настройки, нажмите «URL-адреса служб для конкретного домена» .

Есть два варианта:

  • Перенаправлять пользователей на стороннего поставщика идентификации (IdP) . Выберите этот параметр, чтобы всегда перенаправлять этих пользователей на стороннего поставщика идентификации, которого вы выберете в раскрывающемся списке профиля SSO. Это может быть профиль SSO вашей организации или другой профиль стороннего поставщика (если вы его добавили).

    Важно: Если в вашей организации есть подразделения или группы, которые не используют единый вход (SSO), не выбирайте этот параметр. Пользователи, не использующие SSO, будут автоматически перенаправлены на поставщик идентификации (IdP) и не смогут войти в систему.

  • Требуйте от пользователей ввода имени пользователя на странице входа в Google . При этом варианте пользователи, вводящие URL-адреса, привязанные к конкретному домену, сначала перенаправляются на страницу входа в Google. Если они используют единый вход (SSO), их перенаправляют на страницу входа поставщика идентификации (IdP).

Результаты картирования сети

Сетевые маски — это IP-адреса, представленные с использованием нотации бесклассовой междоменной маршрутизации (CIDR). CIDR определяет, сколько битов IP-адреса включено в него. Профиль SSO для вашей организации может использовать сетевые маски для определения того, какие IP-адреса или диапазоны IP-адресов будут отображаться в службе SSO.

Примечание: В настройках сетевых масок в настоящее время на страницу входа через SSO перенаправляется только URL-адреса служб, специфичных для домена, например, service.google.com/a/example.com.

Важно, чтобы каждая сетевая маска имела правильный формат. В следующем примере IPv6 косая черта (/) и число после нее обозначают CIDR. Последние 96 бит не учитываются, и это влияет на все IP-адреса в данном сетевом диапазоне.

  • 2001:db8::/32

В этом примере с IPv4 последние 8 бит (ноль) не учитываются, и это затронет все IP-адреса в диапазоне от 64.233.187.0 до 64.233.187.255.

  • 64.233.187.0/24

В доменах без сетевой маски необходимо добавить в поставщик идентификации (IdP) пользователей, не являющихся суперадминистраторами.

Улучшите пользовательский опыт использования системы единого входа (SSO) при посещении URL-адресов сервисов Google.

В следующей таблице показан пользовательский опыт при прямых посещениях URL-адресов сервисов Google с использованием и без использования сетевой маски:

Без сетевой маски Супер-администраторы: Пользователи:
сервис .google.com Им было предложено ввести свой адрес электронной почты Google и пароль. После запроса адреса электронной почты пользователь был перенаправлен на страницу входа через систему единого входа (SSO).
С сетевой маской К суперадминистраторам и пользователям относятся:
сервис .google.com Им было предложено ввести адрес электронной почты и пароль.
сервис .google.com
/a/ your_domain.com*
( в пределах сетевой маски)		 Перенаправление на страницу входа через единый вход (SSO).
сервис .google.com
/a/ your_domain.com
( вне сети)
маска)		 Им было предложено ввести адрес электронной почты и пароль.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Пользователи, обращающиеся к конечной точке Google OAuth 2.0 с использованием параметра URL login_hint , перенаправляются на страницу входа через единый вход (SSO).

* Не все сервисы поддерживают этот шаблон URL. Примеры сервисов, которые его поддерживают: Gmail и Google Drive.

Истечение срока действия сессии при настройке сетевой маски

Активная сессия пользователя в Google может быть прервана, и пользователю будет предложено повторно пройти аутентификацию в следующих случаях:

  • Продолжительность пользовательской сессии достигает максимально допустимого значения, указанного в настройках административной консоли управления сессиями Google .
  • Администратор внес изменения в учетную запись пользователя, изменив пароль или потребовав от пользователя изменить пароль при следующем входе в систему (либо через консоль администратора, либо с помощью Admin SDK).

пользовательский опыт

Если пользователь инициировал сессию через стороннего поставщика идентификации (IdP), сессия очищается, и пользователь перенаправляется на страницу входа в Google.

Поскольку пользователь инициировал свою сессию Google через стороннего поставщика идентификации, он может не понимать, зачем ему нужно входить в Google, чтобы восстановить доступ к своей учетной записи. Пользователи могут быть перенаправлены на страницу входа в Google, даже если попытаются перейти по другим URL-адресам Google.

Если вы планируете техническое обслуживание, включающее завершение активных пользовательских сессий, и хотите избежать путаницы среди пользователей, попросите их выйти из своих сессий и оставаться вне их до завершения обслуживания.

Восстановление пользователя

Если пользователь видит страницу входа в Google из-за завершения активной сессии, он может восстановить доступ к своей учетной записи одним из следующих способов:

  • Если пользователь видит сообщение «Если вы попали на эту страницу по ошибке, нажмите здесь, чтобы выйти из системы и попробовать войти снова», он может перейти по ссылке в этом сообщении.
  • Если пользователь не видит это сообщение или ссылку, он должен выйти из системы и войти снова, перейдя по ссылке https://accounts.google.com/logout .
  • Пользователь может очистить файлы cookie своего браузера.

После использования любого из способов восстановления их сессия Google полностью завершается, и они могут войти в систему.

Настройка двухфакторной аутентификации с использованием единого входа (SSO).

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Проблемы со входом в систему .

    Для этого необходимы права администратора системы управления безопасностью пользователей .

  2. Слева выберите организационное подразделение, в котором вы хотите установить политику.

    Для всех пользователей выберите организационное подразделение верхнего уровня. Первоначально организационные подразделения наследуют настройки родительского подразделения.

  3. Нажмите «Проверка после SSO» .

  4. Выберите настройки в соответствии с тем, как вы используете профили единого входа (SSO) в вашей организации. Вы можете применить настройку как для пользователей, использующих устаревший профиль SSO, так и для пользователей, которые входят в систему, используя другие профили SSO .

  5. В правом нижнем углу нажмите «Сохранить» .

    Google создает запись в журнале аудита администратора, чтобы указать на любое изменение политики.

Настройки проверки по умолчанию после SSO зависят от типа пользователя SSO:

  • Для пользователей, входящих в систему с использованием устаревшего профиля SSO, по умолчанию отключены дополнительные запросы на авторизацию и двухфакторная аутентификация (2SV).
  • Для пользователей, входящих в систему с использованием профилей SSO, по умолчанию применяются дополнительные запросы на авторизацию и двухфакторная аутентификация (2SV).

См. также


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.