ورود یکپارچه برای مدیران ارشد فقط در صورتی پشتیبانی میشود که از پروفایل SSO قدیمی استفاده کنید و فقط در برخی موارد (به زیر مراجعه کنید). این قابلیت توسط پروفایلهای SSO جدیدتر پشتیبانی نمیشود.
اجازه دادن به مدیران ارشد برای دسترسی به حساب کاربری (SSO) هم مزایا و هم خطراتی دارد. احراز هویت همه کاربران (از جمله مدیران) از طریق SSO، سطح مدیریت اعتبارنامههای کاربران را به حداقل میرساند. اما اگر IdP شما به خطر بیفتد، شخص ثالث میتواند به کنسول گوگل ادمین و هر جنبهای از حساب سازمان شما دسترسی پیدا کند.
برای کاهش این خطر، اگر SSO را برای مدیران ارشد فعال میکنید، توصیه میکنیم تأیید هویت دو مرحلهای را نیز برای مدیران ارشد هم در IdP و هم در Google فعال کنید .
نحوه غیرفعال کردن SSO فوق مدیریت
برای غیرفعال کردن SSO فوق مدیریتی، از پروفایلهای SSO جدیدتر استفاده کنید. برای مهاجرت از پروفایل SSO قدیمی به پروفایلهای SSO، این دستورالعملها را دنبال کنید.
چه زمانی مدیران ارشد میتوانند با SSO وارد سیستم شوند؟
اگر از پروفایل قدیمی SSO استفاده میکنید، مدیران ارشد میتوانند در این موارد با SSO وارد سیستم شوند:
- تنظیمات URL های سرویس خاص دامنه به گونهای تنظیم شده است که به طور خودکار کاربران را به IdP شخص ثالث هدایت کند.
- وقتی ورود مدیر ارشد توسط IdP (SSO آغاز شده توسط IdP) آغاز میشود.
- اگر یک مدیر ارشد در ابتدا با استفاده از یک حساب کاربری غیر مدیر ارشد وارد گوگل شود و سپس هنگام هدایت به IdP، اعتبارنامههای مدیر ارشد خود را ارائه دهد، در این صورت، گوگل ادعای هویت مدیر ارشد را از IdP میپذیرد.
وقتی مدیران ارشد نمیتوانند با SSO وارد سیستم شوند
حتی هنگام استفاده از پروفایل SSO قدیمی، مدیران ارشد در این موارد نمیتوانند با SSO وارد سیستم شوند:
کنسول مدیریت
وقتی مدیران ارشد سعی میکنند از طریق admin.google.com وارد یک دامنه دارای SSO شوند، باید آدرس ایمیل کامل حساب کاربری گوگل ادمین و رمز عبور گوگل مرتبط با آن (نه نام کاربری و رمز عبور SSO) را وارد کنند و برای دسترسی مستقیم به کنسول ادمین، روی ورود کلیک کنند. گوگل آنها را به صفحه ورود SSO هدایت نمیکند.
کلاینت همگامسازی گوگل درایو
وقتی مدیران ارشد وارد کلاینت همگامسازی گوگل درایو میشوند، از SSO عبور میکنند—گوگل آنها را به صفحه ورود SSO هدایت نمیکند. این موضوع در مورد تلاشهای ورود از طریق مرورگرها، برنامههای تلفن همراه (مانند برنامههای iOS Drive و Gmail)، جریان فعالسازی حساب اندروید و غیره صدق میکند.