Valfria SSO-inställningar och underhåll

Hur man roterar certifikat

Om du laddar upp två certifikat till en SAML Single Sign-On (SSO)-profil kan Google använda vilket certifikat som helst för att validera ett SAML-svar från din IdP. Detta gör att du säkert kan rotera ett certifikat som löper ut på IdP-sidan. Följ dessa steg minst 24 timmar innan ett certifikat ska löpa ut:

  1. Skapa ett nytt certifikat på IdP:n.
  2. Ladda upp certifikatet som det andra certifikatet till administratörskonsolen. Instruktioner finns i Skapa en SAML-profil .
  3. Vänta 24 timmar så att Google-användarkonton uppdateras med det nya certifikatet.
  4. Konfigurera IdP:n så att den använder det nya certifikatet istället för det som löper ut.
  5. (Valfritt) När användarna har bekräftat att de kan logga in tar du bort det gamla certifikatet från administratörskonsolen. Du kan sedan ladda upp ett nytt certifikat i framtiden vid behov.

Använd Autofyll-e-post för att förenkla SSO-inloggningar

För att hjälpa dina användare att logga in, aktivera Autofyll e-post när du skapar eller uppdaterar en inkommande SAML Single Sign-On (SSO)-profil.

Autofylld e-post fyller automatiskt i e-postadressfältet på din tredjepartsidentitetsleverantörs (IdP) inloggningssida. Därför behöver användarna bara ange sitt lösenord. Du kan aktivera Autofylld e-post när du skapar en ny inkommande SAML SSO-profil eller uppdaterar en befintlig.

Autofyll-e-post använder en parameter för inloggningsledtråd för att säkert skicka användarnas e-postadresser till din IdP. Den här parametern är en vanlig funktion som många tredjeparts-IdP:er stöder för IdP-initierade inloggningar.

Parametern för inloggningsledtråden är inte standardiserad, så olika IdP:er använder olika varianter, till exempel:

  • login_hint : (stöds av IdP:er som Microsoft Entra)
  • LoginHint : (stöds av IdP:er som Okta)

På grund av dessa variationer måste du bekräfta vilket format din IdP stöder och välja motsvarande inställning i Googles administratörskonsol.

Alternativ för att aktivera Autofyll e-post

Aktivera automatisk ifyllning av e-post i en ny profil

  1. I Googles administratörskonsol går du till Meny och sedan Säkerhet och sedan Autentisering och sedan SSO med tredjeparts-IdP.

    Kräver administratörsbehörighet för säkerhetsinställningar .

  2. I avsnittet SSO-profiler för tredje part klickar du på Lägg till SAML-profil .
  3. För SAML SSO-profil anger du ett profilnamn.
  4. För Autofyll-e-post väljer du det alternativ som matchar det format för inloggningsledtråd som stöds av din IdP.
  5. I avsnittet IdP-information , slutför följande steg:
    1. Ange IDP-enhets-ID : t, URL:en för inloggningssidan och URL:en för utloggningssidan som du fick från din IdP.
    2. För Ändra lösenords-URL anger du en URL för att ändra lösenord för din IdP.
      Användare kommer att gå till den här URL:en för att återställa sina lösenord.
  6. Klicka på Spara och fortsätt skapa profilen.

Aktivera automatisk ifyllning av e-post i en befintlig profil

  1. I Googles administratörskonsol går du till Meny och sedan Säkerhet och sedan Autentisering och sedan SSO med tredjeparts-IdP.

    Kräver administratörsbehörighet för säkerhetsinställningar .

  2. I avsnittet Profiler för tredjeparts SSO klickar du på den profil du vill uppdatera.
  3. Klicka på SP-detaljer .
  4. För Autofyll-e-post väljer du det alternativ som matchar det format för inloggningsledtråd som stöds av din IdP.
  5. Klicka på Spara .

Hantera domänspecifika tjänst-URL:er

Med inställningen Domänspecifika tjänst-URL: er kan du styra vad som händer när användare loggar in med tjänst-URL:er som https://mail.google.com/a/example.com.

  1. I Googles administratörskonsol går du till Meny och sedan Säkerhet och sedan Autentisering och sedan SSO med tredjeparts-IdP.

    Kräver administratörsbehörighet för säkerhetsinställningar .

  2. Klicka på Domänspecifika tjänst-URL:er för att öppna inställningarna.

Det finns två alternativ:

  • Omdirigera användare till tredjeparts-IdP:n . Välj det här alternativet om du alltid vill omdirigera dessa användare till den tredjeparts-IdP som du väljer i rullgardinsmenyn SSO-profil. Detta kan vara SSO-profilen för din organisation eller en annan tredjepartsprofil (om du har lagt till en).

    Viktigt: Om du har organisationsenheter eller grupper som inte använder SSO ska du inte välja den här inställningen. Dina användare som inte använder SSO kommer automatiskt att dirigeras till IdP:n och kommer inte att kunna logga in.

  • Kräv att användare anger sitt användarnamn på Googles inloggningssida . Med det här alternativet skickas användare som anger domänspecifika webbadresser först till Googles inloggningssida. Om de är SSO-användare omdirigeras de till IdP-inloggningssidan.

Resultat av nätverksmappning

Nätverksmasker är IP-adresser som representeras med hjälp av CIDR-notation (Classless Inter-Domain Routing). CIDR anger hur många bitar av IP-adressen som ingår. SSO-profilen för din organisation kan använda nätverksmasker för att avgöra vilka IP-adresser eller IP-adressintervall som ska presenteras med SSO-tjänsten.

Obs! För inställningarna för nätverksmasker omdirigerar för närvarande endast domänspecifika tjänst-URL:er, till exempel service.google.com/a/example.com, till inloggningssidan för SSO.

Det är viktigt att varje nätverksmask använder rätt format. I följande IPv6-exempel representerar snedstrecket (/) och siffran efter det CIDR. De sista 96 bitarna tas inte med i beräkningen, och alla IP-adresser i det nätverksintervallet påverkas.

  • 2001:db8::/32

I det här IPv4-exemplet tas inte de sista 8 bitarna (nollan) med i beräkningen, och alla IP-adresser som låg i intervallet 64.233.187.0 till 64.233.187.255 skulle påverkas.

  • 64.233.187.0/24

I domäner utan nätverksmask måste du lägga till användare som inte är superadministratörer till identitetsleverantören (IdP).

SSO-användarupplevelse vid besök på webbadresser till Googles tjänster

Följande tabell visar användarupplevelsen för direkta besök på Googles tjänsters URL:er, med och utan nätverksmask:

Utan nätverksmask Superadministratörer är: Användare är:
tjänst .google.com Ombeds ange sin Google-e-postadress och lösenord. Ombedd att ange sin e-postadress och sedan omdirigerad till SSO-inloggningssidan.
Med nätverksmask Superadministratörer och användare är:
tjänst .google.com Ombeds ange deras e-postadress och lösenord.
tjänst .google.com
/a/ din_domän.com*
( inom nätverksmasken)		 Omdirigerad till SSO-inloggningssidan.
tjänst .google.com
/a/ din_domän.com
( utanför nätverket
mask)		 Ombeds ange deras e-postadress och lösenord.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Användare som ansluter till Googles OAuth 2.0-slutpunkt med URL-parametern login_hint omdirigeras till SSO-inloggningssidan.

* Inte alla tjänster stöder detta URL-mönster. Exempel på tjänster som gör det är Gmail och Drive.

Sessionsutgång när en nätverksmask konfigureras

En användares aktiva Google-session kan avslutas och användaren ombeds att autentisera sig igen när:

  • Användarsessionen når sin maximalt tillåtna längd enligt inställningen för administratörskonsolen för Googles sessionskontroll .
  • Administratören ändrade användarkontot genom att ändra lösenordet eller kräva att användaren ändrar lösenordet vid nästa inloggning (antingen via administratörskonsolen eller med hjälp av Admin SDK).

Användarupplevelse

Om användaren initierade sessionen på en tredjeparts-IdP rensas sessionen och användaren omdirigeras till Googles inloggningssida.

Eftersom användaren initierade sin Google-session på en tredjeparts-IdP kanske de inte förstår varför de behöver logga in på Google för att få åtkomst till sitt konto igen. Användare kan omdirigeras till en Google-inloggningssida även när de försöker navigera till andra Google-URL:er.

Om du planerar underhåll som inkluderar att avsluta aktiva användarsessioner och vill undvika förvirring bland användarna, be dina användare att logga ut från sina sessioner och förbli utloggade tills underhållet är klart.

Användaråterställning

När en användare ser Googles inloggningssida eftersom deras aktiva session avslutades kan de återfå åtkomst till sitt konto genom att göra något av följande:

  • Om användaren ser meddelandet "Om du har nått den här sidan av misstag klickar du här för att logga ut och försöker logga in igen" kan de klicka på länken i meddelandet.
  • Om användaren inte ser meddelandet eller länken loggar de ut och in igen genom att gå till https://accounts.google.com/logout .
  • Användaren kan rensa sina webbläsarcookies.

När de använder någon av återställningsmetoderna avslutas deras Google-session helt och de kan logga in.

Konfigurera tvåstegsverifiering med SSO

  1. I Googles administratörskonsol går du till Meny och sedan Säkerhet och sedan Autentisering och sedan Inloggningsutmaningar .

    Kräver administratörsbehörighet för användarsäkerhetshantering .

  2. Till vänster väljer du den organisationsenhet där du vill ställa in policyn.

    För alla användare, välj den överordnade organisationsenheten. Inledningsvis ärver organisationsenheterna inställningarna från den överordnade.

  3. Klicka på Verifiering efter SSO .

  4. Välj inställningar utifrån hur du använder SSO-profiler i din organisation. Du kan tillämpa en inställning för användare som använder den äldre SSO-profilen och för användare som loggar in med andra SSO-profiler .

  5. Klicka på Spara längst ner till höger.

    Google skapar en post i administratörens granskningslogg för att indikera eventuella policyändringar.

Standardinställningen för verifiering efter SSO beror på SSO-användartyp:

  • För användare som loggar in med den äldre SSO-profilen är standardinställningen att kringgå ytterligare inloggningsutmaningar och 2SV.
  • För användare som loggar in med SSO-profiler är standardinställningen att tillämpa ytterligare inloggningsutmaningar och 2SV.

Se även


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.