Logowanie jednokrotne dla superadministratorów jest obsługiwane tylko wtedy, gdy używasz starszego profilu SSO, i tylko w niektórych przypadkach (patrz poniżej). Nie jest ono obsługiwane przez nowsze profile SSO.
Zezwalanie superadministratorom na logowanie jednokrotne niesie za sobą zarówno korzyści, jak i zagrożenia. Gdy wszyscy użytkownicy (w tym administratorzy) uwierzytelniani są za pomocą SSO, zmniejsza się zakres obejmujący zarządzanie danymi logowania użytkowników. Jeśli jednak dostawca tożsamości zostanie przejęty, osoby trzecie mogą uzyskać dostęp do konsoli administracyjnej Google i wszystkich aspektów konta Twojej organizacji.
Aby zmniejszyć to ryzyko, jeśli włączysz logowanie jednokrotne dla superadministratorów, zalecamy też włączenie weryfikacji dwuetapowej dla superadministratorów zarówno u dostawcy tożsamości, jak i w Google.
Jak wyłączyć logowanie jednokrotne superadministratora
Aby wyłączyć logowanie jednokrotne superadministratora, użyj nowszych profili SSO. Aby przeprowadzić migrację ze starszego profilu SSO na profile SSO, postępuj zgodnie z tymi instrukcjami.
Kiedy superadministratorzy mogą logować się przy użyciu SSO
Jeśli używasz starszego profilu SSO, superadministratorzy mogą logować się przy użyciu SSO w tych przypadkach:
- W ustawieniu Adresy URL usług specyficzne dla domeny wybrane jest automatyczne przekierowywanie użytkowników do zewnętrznego dostawcy tożsamości.
- Gdy logowanie superadministratora jest inicjowane przez dostawcę tożsamości (SSO inicjowane przez dostawcę tożsamości).
- Gdy superadministrator początkowo loguje się w Google przy użyciu konta innego niż konto superadministratora, a następnie podaje dane logowania superadministratora po przekierowaniu do dostawcy tożsamości. W takim przypadku Google zaakceptuje potwierdzenie tożsamości superadministratora od dostawcy tożsamości.
Kiedy superadministratorzy nie mogą logować się przy użyciu SSO
Nawet jeśli używasz starszego profilu SSO, superadministratorzy nie mogą logować się przy użyciu SSO w tych przypadkach:
Konsola administracyjna
Gdy superadministratorzy próbują zalogować się w domenie z włączonym logowaniem jednokrotnym przez stronę admin.google.com, muszą wpisać pełny adres e-mail swojego konta administratora Google oraz powiązane hasło Google (nie nazwę użytkownika i hasło używane do logowania jednokrotnego) i kliknąć Zaloguj się, aby przejść bezpośrednio do konsoli administracyjnej. Google nie przekierowuje tych użytkowników na stronę logowania jednokrotnego.
Klient synchronizacji Dysku Google
Gdy superadministratorzy logują się w kliencie synchronizacji Dysku Google, pomijają logowanie jednokrotne – Google nie przekierowuje ich na stronę logowania jednokrotnego. Ma to zastosowanie w przypadku prób logowania się z przeglądarki, aplikacji na komórki, (takich jak Dysk Google i Gmail na iOS), procesu aktywacji konta Androida itp.