Cách xoay vòng chứng chỉ
Nếu bạn tải hai chứng chỉ lên một hồ sơ Đăng nhập một lần (SSO) dựa trên SAML, thì Google có thể dùng một trong hai chứng chỉ đó để xác thực phản hồi SAML từ IdP của bạn. Nhờ đó, bạn có thể xoay vòng một cách an toàn chứng chỉ sắp hết hạn ở phía IdP. Hãy làm theo các bước sau ít nhất 24 giờ trước khi chứng chỉ hết hạn:
- Tạo một chứng chỉ mới trên IdP.
- Tải chứng chỉ lên Bảng điều khiển dành cho quản trị viên dưới dạng chứng chỉ thứ hai. Để xem hướng dẫn, hãy xem bài viết Tạo hồ sơ SAML.
- Đợi 24 giờ để Tài khoản người dùng Google cập nhật chứng chỉ mới.
- Định cấu hình IdP để sử dụng chứng chỉ mới thay cho chứng chỉ sắp hết hạn.
- (Không bắt buộc) Sau khi người dùng xác nhận rằng họ có thể đăng nhập, hãy xoá chứng chỉ cũ khỏi Bảng điều khiển dành cho quản trị viên. Sau đó, bạn có thể tải một chứng chỉ mới lên trong tương lai nếu cần.
Sử dụng tính năng Tự động điền email để đơn giản hoá quy trình đăng nhập một lần
Để giúp người dùng đăng nhập, hãy bật chế độ Tự động điền email khi tạo hoặc cập nhật hồ sơ Đăng nhập một lần (SSO) dựa trên SAML chiều đến.
Tính năng tự động điền email sẽ tự động điền vào trường địa chỉ email trên trang đăng nhập của nhà cung cấp dịch vụ danh tính (IdP) bên thứ ba. Do đó, người dùng chỉ cần nhập mật khẩu. Bạn có thể bật chế độ Tự động điền email khi tạo một hồ sơ mới có tên là Đăng nhập một lần dựa trên SAML chiều đến hoặc cập nhật một hồ sơ hiện có.
Tính năng tự động điền email sử dụng tham số gợi ý đăng nhập để gửi địa chỉ email của người dùng một cách an toàn đến IdP của bạn. Tham số này là một tính năng phổ biến mà nhiều IdP bên thứ ba hỗ trợ cho các lượt đăng nhập do IdP khởi tạo.
Tham số gợi ý đăng nhập không được chuẩn hoá, vì vậy, các IdP khác nhau sẽ sử dụng các biến thể khác nhau, chẳng hạn như:
- login_hint: (được các IdP như Microsoft Entra hỗ trợ)
- LoginHint: (được các IdP như Okta hỗ trợ)
Do những điểm khác biệt này, bạn cần xác nhận định dạng mà IdP hỗ trợ và chọn chế độ cài đặt tương ứng trong Bảng điều khiển dành cho quản trị viên của Google.
Các lựa chọn để bật tính năng Tự động điền email
Bật tính năng Tự động điền email trong hồ sơ mới
-
Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google bằng tài khoản quản trị viên.
Nếu không sử dụng tài khoản quản trị viên, bạn sẽ không thể truy cập vào Bảng điều khiển dành cho quản trị viên.
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn
Bảo mậtXác thựcĐăng nhập một lần (SSO) thông qua IdP bên thứ ba.Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.
- Trong phần Cấu hình SSO của bên thứ ba, hãy nhấp vào Thêm cấu hình SAML.
- Đối với cấu hình Đăng nhập một lần dựa trên SAML, hãy nhập tên cấu hình.
- Đối với Tự động điền email, hãy chọn lựa chọn phù hợp với định dạng gợi ý đăng nhập được IdP của bạn hỗ trợ.
- Trong phần Thông tin chi tiết về IdP, hãy hoàn tất các bước sau:
- Nhập mã nhận dạng thực thể IDP, URL trang đăng nhập và URL trang đăng xuất mà bạn nhận được từ IdP.
- Đối với URL thay đổi mật khẩu, hãy nhập URL thay đổi mật khẩu cho IdP của bạn.
Người dùng sẽ truy cập vào URL này để đặt lại mật khẩu.
- Nhấp vào Lưu rồi tiếp tục tạo hồ sơ.
Bật tính năng Tự động điền email trong một hồ sơ hiện có
-
Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google bằng tài khoản quản trị viên.
Nếu không sử dụng tài khoản quản trị viên, bạn sẽ không thể truy cập vào Bảng điều khiển dành cho quản trị viên.
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn
Bảo mậtXác thựcĐăng nhập một lần (SSO) thông qua IdP bên thứ ba.Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.
- Trong phần Hồ sơ đăng nhập một lần của bên thứ ba, hãy nhấp vào hồ sơ mà bạn muốn cập nhật.
- Nhấp vào Chi tiết về SP.
- Đối với Tự động điền email, hãy chọn lựa chọn phù hợp với định dạng gợi ý đăng nhập được IdP của bạn hỗ trợ.
- Nhấp vào Lưu.
Quản lý URL dịch vụ dành riêng cho miền
Chế độ cài đặt URL dịch vụ dành riêng cho miền cho phép bạn kiểm soát những điều xảy ra khi người dùng đăng nhập bằng URL dịch vụ, chẳng hạn như https://mail.google.com/a/example.com.
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn
Bảo mậtXác thựcĐăng nhập một lần (SSO) thông qua IdP bên thứ ba.Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.
- Nhấp vào URL dịch vụ dành riêng cho miền để mở phần cài đặt.
Bạn có hai tùy chọn:
Chuyển hướng người dùng đến IdP bên thứ ba. Chọn chế độ này để luôn chuyển hướng những người dùng này đến IdP bên thứ ba mà bạn chọn trong danh sách thả xuống hồ sơ SSO. Đây có thể là cấu hình SSO cho tổ chức của bạn hoặc một cấu hình khác của bên thứ ba (nếu bạn đã thêm một cấu hình).
Quan trọng: Nếu bạn có đơn vị tổ chức hoặc nhóm không sử dụng SSO, thì đừng chọn chế độ cài đặt này. Những người dùng không sử dụng SSO sẽ tự động được chuyển đến IdP và không thể đăng nhập.
Yêu cầu người dùng nhập tên người dùng của họ trên trang đăng nhập của Google. Với lựa chọn này, người dùng nhập URL dành riêng cho miền sẽ được chuyển đến trang đăng nhập của Google trước. Nếu là người dùng SSO, họ sẽ được chuyển hướng đến trang đăng nhập của IdP.
Kết quả của tính năng Lập bản đồ mạng
Mặt nạ mạng là địa chỉ IP được biểu thị bằng ký hiệu Định tuyến liên miền không phân lớp (CIDR). CIDR chỉ định số lượng bit có trong địa chỉ IP. Cấu hình SSO cho tổ chức của bạn có thể sử dụng mặt nạ mạng để xác định địa chỉ IP hoặc dải địa chỉ IP nào sẽ được cung cấp bằng dịch vụ SSO.
Lưu ý: Đối với chế độ cài đặt mặt nạ mạng, hiện chỉ có các URL dịch vụ dành riêng cho miền (ví dụ: service.google.com/a/example.com) chuyển hướng đến trang đăng nhập bằng SSO.
Mỗi mặt nạ mạng phải sử dụng đúng định dạng. Trong ví dụ về IPv6 sau đây, dấu gạch chéo (/) và số sau dấu gạch chéo biểu thị CIDR. 96 bit cuối cùng không được xem xét và tất cả địa chỉ IP trong dải mạng đó đều bị ảnh hưởng.
- 2001:db8::/32
Trong ví dụ về IPv4 này, 8 bit cuối cùng (số 0) sẽ không được xem xét và tất cả địa chỉ IP nằm trong dải từ 64.233.187.0 đến 64.233.187.255 sẽ bị ảnh hưởng.
- 64.233.187.0/24
Trong các miền không có mặt nạ mạng, bạn phải thêm những người dùng không phải là quản trị viên cấp cao vào nhà cung cấp danh tính (IdP).
Trải nghiệm người dùng SSO khi truy cập vào URL của dịch vụ Google
Bảng sau đây cho thấy trải nghiệm người dùng khi truy cập trực tiếp vào URL dịch vụ của Google, có và không có mặt nạ mạng:
| Không có mặt nạ mạng | Quản trị viên cấp cao là: | Người dùng là: |
|---|---|---|
| service.google.com | Được nhắc nhập địa chỉ email và mật khẩu Google. | Được nhắc nhập địa chỉ email, sau đó được chuyển hướng đến trang đăng nhập SSO. |
| Có mặt nạ mạng | Quản trị viên cấp cao và người dùng: | |
| service.google.com | Được nhắc nhập địa chỉ email và mật khẩu. | |
| service.google.com /a/your_domain.com* (trong mặt nạ mạng) |
Được chuyển hướng đến trang đăng nhập bằng SSO. | |
| service.google.com /a/your_domain.com (mặt nạ bên ngoài mạng ) |
Được nhắc nhập địa chỉ email và mật khẩu. | |
| accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com |
Những người dùng truy cập vào điểm cuối OAuth 2.0 của Google bằng tham số URL login_hint sẽ được chuyển hướng đến trang đăng nhập SSO. |
|
* Không phải dịch vụ nào cũng hỗ trợ mẫu URL này. Ví dụ về các dịch vụ có tính năng này là Gmail và Drive.
Thời gian hết hạn của phiên khi bạn định cấu hình mặt nạ mạng
Phiên hoạt động của người dùng trên Google có thể bị chấm dứt và người dùng được yêu cầu xác thực lại khi:
- Phiên người dùng đạt đến thời lượng tối đa cho phép như được chỉ định trong chế độ cài đặt kiểm soát phiên của Google trên Bảng điều khiển dành cho quản trị viên.
- Quản trị viên đã sửa đổi tài khoản người dùng bằng cách thay đổi mật khẩu hoặc yêu cầu người dùng thay đổi mật khẩu vào lần đăng nhập tiếp theo (thông qua Bảng điều khiển dành cho quản trị viên hoặc bằng Admin SDK).
Trải nghiệm người dùng
Nếu người dùng bắt đầu phiên trên một IdP bên thứ ba, thì phiên đó sẽ bị xoá và người dùng sẽ được chuyển hướng đến trang Đăng nhập bằng Google.
Vì người dùng bắt đầu phiên hoạt động trên Google bằng một IdP bên thứ ba, nên họ có thể không hiểu lý do cần đăng nhập vào Google để lấy lại quyền truy cập vào tài khoản của mình. Người dùng có thể bị chuyển hướng đến trang Đăng nhập bằng Google ngay cả khi họ cố gắng chuyển đến các URL khác của Google.
Nếu bạn đang lên kế hoạch bảo trì (bao gồm cả việc chấm dứt các phiên hoạt động của người dùng) và muốn tránh gây nhầm lẫn cho người dùng, hãy yêu cầu người dùng đăng xuất khỏi phiên của họ và duy trì trạng thái đăng xuất cho đến khi quá trình bảo trì hoàn tất.
Khôi phục người dùng
Khi người dùng thấy trang Đăng nhập bằng Google do phiên hoạt động của họ bị chấm dứt, họ có thể lấy lại quyền truy cập vào tài khoản của mình bằng cách thực hiện một trong những thao tác sau:
- Nếu người dùng thấy thông báo "Nếu bạn chuyển đến trang này do lỗi, hãy nhấp vào đây để đăng xuất rồi thử đăng nhập lại", họ có thể nhấp vào đường liên kết trong thông báo.
- Nếu không thấy thông báo hoặc đường liên kết đó, người dùng sẽ đăng xuất rồi đăng nhập lại bằng cách truy cập vào https://accounts.google.com/logout.
- Người dùng có thể xoá cookie trên trình duyệt.
Sau khi sử dụng một trong các phương thức khôi phục, phiên hoạt động của họ trên Google sẽ bị chấm dứt hoàn toàn và họ có thể đăng nhập.
Thiết lập tính năng Xác minh 2 bước bằng tính năng Đăng nhập một lần (SSO)
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn
Bảo mậtXác thựcThử thách đăng nhập.Bạn phải có đặc quyền Quản lý chế độ cài đặt bảo mật cho người dùng của quản trị viên.
Ở bên trái, hãy chọn đơn vị tổ chức mà bạn muốn thiết lập chính sách.
Để áp dụng cho tất cả người dùng, hãy chọn đơn vị tổ chức cấp cao nhất. Ban đầu, các đơn vị tổ chức sẽ kế thừa chế độ cài đặt của đơn vị tổ chức mẹ.
Nhấp vào Xác minh sau quy trình Đăng nhập một lần (SSO).
Chọn chế độ cài đặt theo cách bạn sử dụng cấu hình SSO trong tổ chức. Bạn có thể áp dụng một chế độ cài đặt cho những người dùng sử dụng cấu hình SSO cũ và một chế độ cài đặt khác cho những người dùng đăng nhập bằng các cấu hình SSO khác.
Ở dưới cùng bên phải, hãy nhấp vào Lưu.
Google sẽ tạo một mục trong nhật ký kiểm tra của quản trị viên để cho biết mọi thay đổi về chính sách.
Chế độ cài đặt mặc định cho việc xác minh sau quy trình SSO phụ thuộc vào loại người dùng SSO:
- Đối với những người dùng đăng nhập bằng cấu hình SSO cũ, chế độ cài đặt mặc định là bỏ qua các biện pháp xác thực đăng nhập bổ sung và tính năng xác minh 2 bước.
- Đối với những người dùng đăng nhập bằng cấu hình SSO, chế độ cài đặt mặc định là áp dụng các biện pháp xác thực đăng nhập bổ sung và tính năng xác minh 2 bước.
Xem thêm
Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.