Single sign-on voor superbeheerders wordt alleen ondersteund als u het oude SSO-profiel gebruikt, en alleen in bepaalde gevallen (zie hieronder). Het wordt niet ondersteund door de nieuwere SSO-profielen .
Allowing SSO by super admins has both benefits and risks. Having all users (including admins) authenticate via SSO minimizes the surface area in which user credentials are managed. But if your IdP is compromised, a third party can then access the Google Admin console and every aspect of your organization's account.
Om dit risico te verkleinen, raden we aan om, als u SSO voor superbeheerders inschakelt, ook tweestapsverificatie voor superbeheerders in te schakelen , zowel bij uw identiteitsprovider als bij Google.
Hoe schakel ik SSO voor superbeheerders uit?
Om SSO voor superbeheerders uit te schakelen, gebruikt u de nieuwere SSO-profielen . Volg deze instructies om te migreren van het oude SSO-profiel naar de nieuwe SSO-profielen.
Wanneer superbeheerders kunnen inloggen met SSO
Als u het oude SSO-profiel gebruikt, kunnen superbeheerders in de volgende gevallen inloggen met SSO:
- De instelling 'Domeinspecifieke service-URL's' is zo ingesteld dat gebruikers automatisch worden doorgestuurd naar de externe identiteitsprovider (IdP).
- Wanneer de aanmelding van de superbeheerder wordt geïnitieerd door de IdP (IdP-geïnitieerde SSO).
- If a super administrator initially signs in to Google using a non-super administrator account and then provides their super administrator credentials when redirected to the IdP. In this case, Google will accept the super admin identity assertion from the IdP.
Als superbeheerders niet kunnen inloggen met SSO
Zelfs bij gebruik van het oude SSO-profiel kunnen superbeheerders in deze gevallen niet inloggen met SSO:
Beheerconsole
When super administrators try to sign in to an SSO-enabled domain via admin.google.com , they must enter their full Google administrator account email address and associated Google password (not their SSO username and password), and click Sign in to directly access the Admin console. Google doesn't redirect them to the SSO sign-in page.
Google Drive-synchronisatieclient
When super administrators sign in to the Google Drive synchronization client, they bypass SSO—Google does not redirect them to the SSO sign-in page. This applies to sign-in attempts from browsers, mobile apps (such as the iOS Drive and Gmail apps), the Android account activation flow, and so forth.