Die Einmalanmeldung für Super Admins wird nur unterstützt, wenn Sie das Legacy SSO-Profil verwenden, und auch nur in einigen Fällen (siehe unten). Die neueren SSO Profile unterstützen diese Funktion nicht.
Die Einmalanmeldung für Super Admins hat sowohl Vorteile als auch Risiken. Wenn sich alle Nutzer (einschließlich Administratoren) über die Einmalanmeldung authentifizieren, wird die Angriffsfläche minimiert, auf der Nutzeranmeldedaten verwaltet werden. Wenn Ihr IdP jedoch kompromittiert wird, kann ein Dritter auf die Google Admin-Konsole und alle Aspekte des Kontos Ihrer Organisation zugreifen.
Einmalanmeldung für Super Admins deaktivieren
Wenn Sie die Einmalanmeldung für Super Admins deaktivieren möchten, verwenden Sie die neueren SSO Profile. Eine Anleitung zur Migration vom Legacy-SSO-Profil zu SSO-Profilen finden Sie hier: diese Anweisungen.
Fälle, in denen sich Super Admins mit der Einmalanmeldung anmelden können
Wenn Sie das Legacy-SSO-Profil verwenden, können sich Super Admins in folgenden Fällen mit der Einmalanmeldung anmelden:
- Die Einstellung Domainspezifische Dienst URLs ist auf Nutzer automatisch an den externen IdP weiterleiten festgelegt.
- Wenn die Anmeldung des Super Admins vom IdP initiiert wird (IdP-initiierte Einmalanmeldung).
- Wenn sich ein Super Admin zuerst mit einem Konto anmeldet, das keine Super Admin-Berechtigungen hat, und dann seine Super Admin-Anmeldedaten angibt, wenn er zum IdP weitergeleitet wird. In diesem Fall akzeptiert Google die Identitätsbestätigung des Super Admins vom IdP.
Fälle, in denen sich Super Admins nicht mit der Einmalanmeldung anmelden können
Auch wenn das Legacy-SSO-Profil verwendet wird, können sich Super Admins in folgenden Fällen nicht mit der Einmalanmeldung anmelden:
Admin-Konsole
Wenn Super Admins versuchen, sich in einer Domain mit Einmalanmeldung auf der Seite admin.google.com anzumelden, müssen sie die vollständige E-Mail-Adresse des Google-Administratorkontos und das zugehörige Google-Passwort eingeben (nicht den Nutzernamen und das Passwort für die Einmalanmeldung) und auf Anmelden klicken, um direkt auf die Admin-Konsole zuzugreifen. Sie werden von Google nicht zur SSO-Anmeldeseite weitergeleitet.
Google Drive-Client für die Synchronisierung
Wenn Super Admins sich im Sync-Client für Google Drive anmelden, umgehen sie die Einmalanmeldung. Sie werden von Google nicht zur SSO-Anmeldeseite weitergeleitet. Dies gilt für Anmeldeversuche über Browser, mobile Apps wie die iOS Drive App und die Gmail App, den Android-Konto-Aktivierungsprozess usw.