Die Einmalanmeldung für Super Admins wird nur unterstützt, wenn Sie das Legacy-SSO-Profil verwenden, und nur in einigen Fällen (siehe unten). Sie wird von den neueren SSO-Profilen nicht unterstützt.
Die Einmalanmeldung durch Super Admins zu ermöglichen, hat sowohl Vorteile als auch Risiken. Wenn alle Nutzer (einschließlich Administratoren) sich über SSO authentifizieren, wird die Angriffsfläche, auf der Nutzeranmeldedaten verwaltet werden, minimiert. Wenn Ihr Identitätsanbieter jedoch manipuliert wird, kann ein Dritter auf die Admin-Konsole und alle Aspekte des Kontos Ihrer Organisation zugreifen.
Um dieses Risiko zu verringern, empfehlen wir, dass Sie, wenn Sie SSO für Super Admins aktivieren, auch die Bestätigung in zwei Schritten für Super Admins sowohl bei Ihrem IdP als auch bei Google aktivieren.
Einmalanmeldung für Super Admins deaktivieren
Wenn Sie die SSO für Super Admins deaktivieren möchten, verwenden Sie die neueren SSO-Profile. Folgen Sie dieser Anleitung, um vom Legacy-SSO-Profil zu SSO-Profilen zu migrieren.
Wann sich Super Admins mit SSO anmelden können
Wenn Sie das Legacy-SSO-Profil verwenden, können sich Super Admins in folgenden Fällen mit SSO anmelden:
- Die Einstellung Domainspezifische Dienst-URLs ist so konfiguriert, dass Nutzer automatisch zum externen IdP weitergeleitet werden.
- Wenn die Anmeldung des Super Admins vom IdP initiiert wird (vom IdP initiierte SSO).
- Wenn sich ein Super Admin zuerst mit einem Konto anmeldet, das kein Super Admin-Konto ist, und dann seine Super Admin-Anmeldedaten angibt, wenn er zum IdP weitergeleitet wird. In diesem Fall akzeptiert Google die Identitätsbestätigung des Super Admins vom IdP.
Wenn sich Super Admins nicht mit SSO anmelden können
Auch wenn Sie das Legacy-SSO-Profil verwenden, können sich Super Admins in folgenden Fällen nicht mit SSO anmelden:
Admin-Konsole
Wenn Super Admins versuchen, sich in einer Domain mit Einmalanmeldung auf der Seite admin.google.com anzumelden, müssen sie die vollständige E-Mail-Adresse des Google-Administratorkontos und das zugehörige Google-Passwort eingeben (nicht den Nutzernamen und das Passwort für die Einmalanmeldung) und auf Anmelden klicken, um direkt auf die Admin-Konsole zuzugreifen. Sie werden von Google nicht zur SSO-Anmeldeseite weitergeleitet.
Google Drive-Synchronisierungsclient
Wenn Super Admins sich im Sync-Client für Google Drive anmelden, umgehen sie die SSO. Sie werden von Google nicht zur SSO-Anmeldeseite weitergeleitet. Dies gilt für Anmeldeversuche über Browser, mobile Apps wie die iOS Drive App und die Gmail App, den Android-Konto-Aktivierungsprozess usw.