Enkel inloggning för avancerade administratörer stöds endast om du använder den äldre SSO-profilen , och endast i vissa fall (se nedan). Det stöds inte av de nyare SSO-profilerna .
Att tillåta SSO av avancerade administratörer har både fördelar och risker. Att låta alla användare (inklusive administratörer) autentisera via SSO minimerar ytan där användaruppgifter hanteras. Men om din IdP komprometteras kan en tredje part komma åt Googles administratörskonsol och alla aspekter av ditt organisationskonto.
För att minska denna risk rekommenderar vi att du, om du aktiverar SSO för avancerade administratörer, även aktiverar tvåstegsverifiering för avancerade administratörer både hos din IdP och hos Google.
Hur man inaktiverar SSO för superadministratörer
För att inaktivera superadministratörs-SSO, använd de nyare SSO-profilerna . För att migrera från den äldre SSO-profilen till SSO-profiler, följ dessa instruktioner .
När superadministratörer kan logga in med SSO
Om du använder den äldre SSO-profilen kan superadministratörer logga in med SSO i dessa fall:
- Inställningen för domänspecifika tjänst-URL:er är inställd på att automatiskt omdirigera användare till tredjeparts-IdP:n.
- När inloggningen för superadministratören initieras av IdP:n (IdP-initierad SSO).
- Om en superadministratör initialt loggar in på Google med ett konto som inte är en superadministratör och sedan anger sina inloggningsuppgifter för superadministratörer när de omdirigeras till IdP:n. I det här fallet kommer Google att acceptera identitetsförsäkran för superadministratörer från IdP:n.
När superadministratörer inte kan logga in med SSO
Även när man använder den äldre SSO-profilen kan superadministratörer inte logga in med SSO i dessa fall:
Administratörskonsolen
När avancerade administratörer försöker logga in på en SSO-aktiverad domän via admin.google.com måste de ange sin fullständiga e-postadress för Google-administratörskontot och det tillhörande Google-lösenordet (inte sitt SSO-användarnamn och lösenord) och klicka på Logga in för att komma direkt åt administratörskonsolen. Google omdirigerar dem inte till SSO-inloggningssidan.
Google Drive-synkroniseringsklient
När avancerade administratörer loggar in på Google Drive-synkroniseringsklienten kringgår de SSO – Google omdirigerar dem inte till SSO-inloggningssidan. Detta gäller inloggningsförsök från webbläsare, mobilappar (som iOS Drive- och Gmail-apparna), aktiveringsflödet för Android-konton och så vidare.