כניסה יחידה לסופר-אדמינים נתמכת רק אם משתמשים בפרופיל ה-SSO מדור קודם, ורק במקרים מסוימים (פרטים בהמשך). היא לא נתמכת בפרופילי ה-SSO החדשים.
יש יתרונות וסיכונים בהפעלת כניסה יחידה (SSO) על ידי סופר-אדמינים. אם כל המשתמשים (כולל האדמינים) עוברים אימות באמצעות SSO, מצמצמים את השטח שבו מתבצע ניהול של פרטי הכניסה של המשתמשים. אבל אם ספק ה-IdP שלכם נפרץ, צד שלישי יכול לקבל גישה למסוף Google Admin ולכל היבט בחשבון הארגון.
כדי לצמצם את הסיכון הזה, אם מפעילים SSO לסופר-אדמינים, מומלץ גם להפעיל אימות דו-שלבי לסופר-אדמינים גם ב-IdP וגם ב-Google.
איך משביתים את ה-SSO של סופר-אדמין
כדי להשבית את ה-SSO של סופר-אדמין, צריך להשתמש בפרופילי SSO החדשים יותר. כדי לעבור מפרופיל SSO מדור קודם לפרופילי SSO, צריך לפעול לפי ההוראות האלה.
מתי סופר-אדמינים יכולים להיכנס באמצעות SSO
אם אתם משתמשים בפרופיל SSO מדור קודם, סופר-אדמינים יכולים להיכנס באמצעות SSO במקרים הבאים:
- ההגדרה כתובות URL של שירותים הספציפיות לדומיין מוגדרת להפניה אוטומטית של משתמשים ל-IdP מצד שלישי.
- כשהכניסה של סופר-אדמין מופעלת על ידי ספק הזהויות (SSO בהפעלת ספק הזהויות).
- אם סופר-אדמין נכנס ל-Google באמצעות חשבון שאין לו הרשאות סופר-אדמין, ואז מספק את פרטי הכניסה של חשבון הסופר-אדמין כשהוא מופנה לספק הזהויות. במקרה כזה, Google תקבל את הצהרת הזהות של הסופר-אדמין מספק הזהויות.
מקרים שבהם סופר-אדמינים לא יכולים להיכנס באמצעות SSO
גם כשמשתמשים בפרופיל SSO מדור קודם, סופר-אדמינים לא יכולים להיכנס באמצעות SSO במקרים הבאים:
מסוף הניהול
כשסופר-אדמינים מנסים להיכנס לדומיין שמופעל בו SSO דרך admin.google.com, הם צריכים להזין את כתובת האימייל המלאה של חשבון האדמין שלהם ב-Google ואת הסיסמה המשויכת לחשבון Google (ולא את שם המשתמש והסיסמה של ה-SSO), וללחוץ על כניסה כדי לגשת ישירות למסוף Admin. Google לא מפנה אותם לדף הכניסה באמצעות SSO.
תוכנה לסנכרון עם Google Drive
כשסופר-אדמינים נכנסים ללקוח הסנכרון של Google Drive, הם עוקפים את ה-SSO – Google לא מפנה אותם אוטומטית לדף הכניסה של ה-SSO. ההגדרה הזו חלה על ניסיונות כניסה מדפדפנים, מאפליקציות לנייד (כמו אפליקציות Drive ו-Gmail ל-iOS), מתהליך הפעלת החשבון ב-Android וכן הלאה.