Il Single Sign-On per i super amministratori è supportato solo se utilizzi il profilo SSO legacy e solo in alcuni casi (vedi di seguito). Non è supportato dai profili SSO più recenti.
Consentire l'SSO da parte dei super amministratori presenta vantaggi e rischi. L'autenticazione di tutti gli utenti (inclusi gli amministratori) tramite SSO riduce al minimo la superficie in cui vengono gestite le credenziali utente. Tuttavia, se il tuo IdP viene compromesso, una terza parte può accedere alla Console di amministrazione Google e a ogni aspetto dell'account della tua organizzazione.
Per ridurre questo rischio, se attivi l'SSO per i super amministratori, ti consigliamo di attivare anche la verifica in due passaggi per i super amministratori sia nel tuo IdP sia in Google.
Come disattivare l'SSO per i super amministratori
Per disattivare l'SSO per i super amministratori, utilizza i profili SSO più recenti. Per eseguire la migrazione dal profilo SSO legacy ai profili SSO, segui queste istruzioni.
Quando i super amministratori possono accedere con l'SSO
Se utilizzi il profilo SSO legacy, i super amministratori possono accedere con l'SSO nei seguenti casi:
- L'impostazione URL di servizio specifici del dominio è configurata in modo da reindirizzare automaticamente gli utenti all'IdP di terze parti.
- Quando l'accesso del super amministratore viene avviato dall'IdP (SSO avviato dall'IdP).
- Se un super amministratore accede inizialmente a Google utilizzando un account non appartenente a un super amministratore e poi fornisce le proprie credenziali di super amministratore quando viene reindirizzato all'IdP. In questo caso, Google accetterà l'asserzione di identità del super amministratore dall'IdP.
Quando i super amministratori non possono accedere con l'SSO
Anche quando utilizzano il profilo SSO legacy, i super amministratori non possono accedere con l'SSO nei seguenti casi:
Console di amministrazione
I super amministratori, quando tentano di accedere a un dominio in cui è attivo il servizio SSO tramite admin.google.com, devono inserire l'indirizzo email completo del proprio account amministratore Google e la relativa password (non il nome utente e la password per il servizio SSO), quindi fare clic su Accedi per passare direttamente alla Console di amministrazione. Google non li reindirizza alla pagina di accesso SSO.
Client di sincronizzazione di Google Drive
I super amministratori che accedono al client di sincronizzazione di Google Drive aggirano il servizio SSO: Google non li reindirizza alla pagina di accesso SSO. Questo si verifica nei tentativi di accesso da browser, da app per dispositivi mobili (come le app Drive e Gmail per iOS), dal flusso di attivazione account di Android e così via.