כניסה יחידה לסופר-אדמינים נתמכת רק אם משתמשים בפרופיל כניסה יחידה מדור קודם, ורק במקרים מסוימים (פרטים בהמשך). היא לא נתמכת בפרופילי SSO החדשים יותר.
יש יתרונות וסיכונים בהפעלת כניסה יחידה (SSO) על ידי סופר-אדמינים. אם כל המשתמשים (כולל האדמינים) עוברים אימות באמצעות SSO, מצמצמים את השטח שבו מתבצע ניהול של פרטי הכניסה של המשתמשים. אבל אם ספק ה-IdP שלכם נפרץ, צד שלישי יכול לקבל גישה למסוף Google Admin ולכל היבט בחשבון של הארגון.
כדי להקטין את הסיכון הזה, אם מפעילים כניסה יחידה לסופר-אדמינים, מומלץ גם להפעיל אימות דו-שלבי לסופר-אדמינים גם ב-IdP וגם ב-Google.
איך משביתים את ה-SSO של סופר-אדמין
כדי להשבית את ה-SSO של סופר-אדמין, משתמשים בפרופילי SSO החדשים יותר. כדי לעבור מפרופיל SSO מדור קודם לפרופילי SSO, צריך לפעול לפי ההוראות האלה.
מתי סופר-אדמינים יכולים להיכנס באמצעות SSO
אם אתם משתמשים בפרופיל ה-SSO מדור קודם, סופר-אדמינים יכולים להיכנס באמצעות SSO במקרים הבאים:
- ההגדרה כתובות URL של שירותים הספציפיות לדומיין מוגדרת להפניה אוטומטית של משתמשים אל ספק הזהויות מצד שלישי.
- כשהכניסה של סופר-אדמין מופעלת על ידי ספק הזהויות (SSO בהפעלת ספק הזהויות).
- אם סופר-אדמין נכנס ל-Google באמצעות חשבון שאין לו הרשאת סופר-אדמין, ואז מספק את פרטי הכניסה של חשבון הסופר-אדמין כשהוא מופנה לספק הזהויות. במקרה כזה, Google תקבל את הצהרת הזהות של האדמין הראשי מספק הזהויות.
מקרים שבהם סופר-אדמינים לא יכולים להיכנס באמצעות SSO
גם כשמשתמשים בפרופיל ה-SSO מדור קודם, סופר-אדמינים לא יכולים להיכנס באמצעות SSO במקרים הבאים:
מסוף הניהול
כשסופר-אדמינים מנסים להיכנס לדומיין שמופעל בו SSO דרך admin.google.com, הם צריכים להזין את כתובת האימייל המלאה של חשבון האדמין שלהם ב-Google ואת הסיסמה המשויכת לחשבון Google (ולא את שם המשתמש והסיסמה שלהם ב-SSO), וללחוץ על כניסה כדי לגשת ישירות למסוף Admin. Google לא מפנה אותם לדף הכניסה באמצעות SSO.
תוכנה לסנכרון עם Google Drive
כשסופר-אדמינים נכנסים ללקוח הסנכרון של Google Drive, הם לא עוברים דרך ה-SSO – Google לא מפנה אותם אוטומטית לדף הכניסה של ה-SSO. זה חל על ניסיונות כניסה מדפדפנים, מאפליקציות לנייד (כמו אפליקציות Drive ו-Gmail ל-iOS), מתהליך הפעלת החשבון ב-Android וכו'.