Dịch vụ đăng nhập một lần cho quản trị viên cấp cao chỉ được hỗ trợ nếu bạn sử dụng cấu hình SSO cũ và chỉ trong một số trường hợp (xem bên dưới). Tính năng này không được cấu hình SSO mới hỗ trợ.
Việc quản trị viên cấp cao cho phép sử dụng tính năng Đăng nhập một lần (SSO) vừa có lợi ích vừa có rủi ro. Việc yêu cầu tất cả người dùng (kể cả quản trị viên) xác thực thông qua SSO sẽ giảm thiểu phạm vi quản lý thông tin đăng nhập của người dùng. Nhưng nếu IdP của bạn bị xâm nhập, thì bên thứ ba có thể truy cập vào Bảng điều khiển dành cho quản trị viên của Google và mọi khía cạnh trong tài khoản của tổ chức bạn.
Để giảm thiểu rủi ro này, nếu bật tính năng SSO cho quản trị viên cấp cao, bạn cũng nên bật tính năng Xác minh 2 bước cho quản trị viên cấp cao ở cả IdP và Google.
Cách tắt tính năng SSO của quản trị viên cấp cao
Để tắt tính năng SSO của quản trị viên cấp cao, hãy sử dụng cấu hình SSO mới hơn. Để di chuyển từ cấu hình SSO cũ sang cấu hình SSO, hãy làm theo hướng dẫn này.
Khi quản trị viên cấp cao có thể đăng nhập bằng SSO
Nếu đang sử dụng cấu hình SSO cũ, thì quản trị viên cấp cao có thể đăng nhập bằng SSO trong những trường hợp sau:
- Chế độ cài đặt URL dịch vụ dành riêng cho miền được đặt để tự động chuyển hướng người dùng đến IdP bên thứ ba.
- Khi quản trị viên cấp cao bắt đầu đăng nhập bằng IdP (SSO do IdP khởi tạo).
- Nếu ban đầu, một quản trị viên cấp cao đăng nhập vào Google bằng tài khoản không phải là quản trị viên cấp cao, sau đó cung cấp thông tin đăng nhập của quản trị viên cấp cao khi được chuyển hướng đến IdP. Trong trường hợp này, Google sẽ chấp nhận xác nhận danh tính của quản trị viên cấp cao từ IdP.
Khi quản trị viên cấp cao không đăng nhập được bằng SSO
Ngay cả khi sử dụng cấu hình SSO cũ, quản trị viên cấp cao cũng không thể đăng nhập bằng SSO trong những trường hợp sau:
Bảng điều khiển quản trị
Khi tìm cách đăng nhập vào một miền có bật SSO thông qua admin.google.com, quản trị viên cấp cao phải nhập địa chỉ email đầy đủ của Tài khoản quản trị viên Google và mật khẩu Google liên kết (không phải tên người dùng và mật khẩu SSO), rồi nhấp vào Đăng nhập để truy cập trực tiếp vào Bảng điều khiển dành cho quản trị viên. Google không chuyển hướng họ đến trang đăng nhập SSO.
Ứng dụng đồng bộ hoá Google Drive
Khi đăng nhập vào ứng dụng đồng bộ hoá Google Drive, quản trị viên cấp cao sẽ bỏ qua SSO – Google không chuyển hướng họ đến trang đăng nhập SSO. Điều này áp dụng cho các lần đăng nhập từ trình duyệt, ứng dụng di động (chẳng hạn như ứng dụng Drive và Gmail trên iOS), quy trình kích hoạt tài khoản Android, v.v.