כניסה יחידה לסופר-אדמינים נתמכת רק אם משתמשים בפרופיל כניסה יחידה מדור קודם, ורק במקרים מסוימים (פרטים בהמשך). היא לא נתמכת על ידי פרופילי כניסה יחידה חדשים יותר.
יש יתרונות וסיכונים בהרשאה של סופר-אדמינים להשתמש ב-SSO. אם כל המשתמשים (כולל האדמינים) עוברים אימות באמצעות SSO, מצמצמים את השטח שבו מתבצע ניהול של פרטי הכניסה של המשתמשים. אבל אם ספק ה-IdP שלכם נפרץ, צד שלישי יכול לקבל גישה למסוף Google Admin ולכל היבט בחשבון של הארגון.
כדי להקטין את הסיכון הזה, אם מפעילים SSO לסופר-אדמינים, מומלץ גם להפעיל אימות דו-שלבי לסופר-אדמינים גם ב-IdP וגם ב-Google.
איך משביתים כניסה יחידה (SSO) לסופר-אדמין
כדי להשבית את ה-SSO של סופר-אדמין, צריך להשתמש בפרופילי ה-SSO החדשים יותר. כדי לעבור מפרופיל SSO מדור קודם לפרופילי SSO, פועלים לפי ההוראות האלה.
מתי סופר-אדמינים יכולים להיכנס באמצעות SSO
אם אתם משתמשים בפרופיל ה-SSO מדור קודם, סופר-אדמינים יכולים להיכנס באמצעות SSO במקרים הבאים:
- ההגדרה כתובות URL של שירותים הספציפיות לדומיין מוגדרת להפניה אוטומטית של משתמשים אל IdP מצד שלישי.
- כשהכניסה של סופר-אדמין מופעלת על ידי ספק הזהויות (SSO בהפעלת ספק הזהויות).
- אם סופר-אדמין נכנס ל-Google באמצעות חשבון שאין לו הרשאת סופר-אדמין, ואז מספק את פרטי הכניסה של חשבון הסופר-אדמין כשהוא מופנה לספק הזהויות. במקרה כזה, Google תקבל את הצהרת הזהות של הסופר-אדמין מספק הזהויות.
מקרים שבהם סופר-אדמינים לא יכולים להיכנס באמצעות SSO
גם כשמשתמשים בפרופיל ה-SSO מדור קודם, סופר-אדמינים לא יכולים להיכנס באמצעות SSO במקרים הבאים:
מסוף Admin
כשסופר-אדמינים מנסים להיכנס לדומיין שמופעלת בו כניסה יחידה (SSO) דרך admin.google.com, הם צריכים להזין את כתובת האימייל המלאה של חשבון האדמין שלהם ב-Google ואת הסיסמה המשויכת לחשבון Google (ולא את שם המשתמש והסיסמה של ה-SSO), וללחוץ על כניסה כדי לגשת ישירות למסוף Admin. Google לא מפנה אותם אוטומטית לדף הכניסה באמצעות SSO.
תוכנה לסנכרון עם Google Drive
כשסופר-אדמינים נכנסים ללקוח הסנכרון של Google Drive, הם לא עוברים דרך ה-SSO – Google לא מפנה אותם לדף הכניסה של ה-SSO. ההגבלה הזו חלה על ניסיונות כניסה מדפדפנים, מאפליקציות לנייד (כמו אפליקציות Drive ו-Gmail ל-iOS), מתהליך הפעלת החשבון ב-Android וכו'.