Single sign-on voor superbeheerders wordt alleen ondersteund als u het oude SSO-profiel gebruikt, en alleen in bepaalde gevallen (zie hieronder). Het wordt niet ondersteund door de nieuwere SSO-profielen .
Het toestaan van SSO door superbeheerders heeft zowel voordelen als risico's. Door alle gebruikers (inclusief beheerders) via SSO te laten authenticeren, wordt het aantal kwetsbaarheden voor het beheer van gebruikersgegevens geminimaliseerd. Maar als uw identiteitsprovider (IdP) wordt gehackt, kan een derde partij toegang krijgen tot de Google-beheerconsole en alle aspecten van het account van uw organisatie.
Om dit risico te verkleinen, raden we aan om, als u SSO voor superbeheerders inschakelt, ook tweestapsverificatie voor superbeheerders in te schakelen , zowel bij uw identiteitsprovider als bij Google.
Hoe schakel ik SSO voor superbeheerders uit?
Om SSO voor superbeheerders uit te schakelen, gebruikt u de nieuwere SSO-profielen . Volg deze instructies om te migreren van het oude SSO-profiel naar de nieuwe SSO-profielen.
Wanneer superbeheerders kunnen inloggen met SSO
Als u het oude SSO-profiel gebruikt, kunnen superbeheerders in de volgende gevallen inloggen met SSO:
- De instelling 'Domeinspecifieke service-URL's' is zo ingesteld dat gebruikers automatisch worden doorgestuurd naar de externe identiteitsprovider (IdP).
- Wanneer de aanmelding van de superbeheerder wordt geïnitieerd door de IdP (IdP-geïnitieerde SSO).
- Als een superbeheerder zich in eerste instantie aanmeldt bij Google met een account dat geen superbeheerdersaccount is en vervolgens zijn of haar superbeheerdersgegevens invoert wanneer hij of zij wordt doorgestuurd naar de identiteitsprovider (IdP), dan accepteert Google de superbeheerdersverificatie van de IdP.
Als superbeheerders niet kunnen inloggen met SSO
Zelfs bij gebruik van het oude SSO-profiel kunnen superbeheerders in deze gevallen niet inloggen met SSO:
Beheerconsole
Wanneer superbeheerders proberen in te loggen op een domein met SSO via admin.google.com , moeten ze hun volledige e-mailadres van hun Google-beheerdersaccount en het bijbehorende Google-wachtwoord invoeren (niet hun SSO-gebruikersnaam en -wachtwoord) en op 'Inloggen' klikken om direct toegang te krijgen tot de beheerdersconsole. Google stuurt hen niet door naar de SSO-inlogpagina.
Google Drive-synchronisatieclient
Wanneer superbeheerders zich aanmelden bij de Google Drive-synchronisatieclient, omzeilen ze SSO – Google stuurt hen niet door naar de SSO-aanmeldingspagina. Dit geldt voor aanmeldingspogingen vanuit browsers, mobiele apps (zoals de Drive- en Gmail-apps voor iOS), het activeringsproces van Android-accounts, enzovoort.