只有在您使用旧版单点登录配置文件的某些情况下(见下文),才支持超级用户单点登录。较新的单点登录配置文件不支持超级用户单点登录。
允许超级用户单点登录既有好处也有风险。让所有用户(包括管理员)都通过单点登录进行身份验证,可最大限度地减少管理用户凭据的工作量。但是,如果您的 IdP 遭到入侵,第三方便可以访问 Google 管理控制台以及贵组织账号的各个方面。
为了降低此风险,如果您允许超级用户单点登录,那么我们建议您还应在 IdP 和 Google 中为超级用户启用两步验证。
如何停用超级用户单点登录
如需停用超级用户单点登录,请使用较新的单点登录配置文件。如需从旧版单点登录配置文件迁移到较新的单点登录配置文件,请按照以下这些说明操作。
超级用户何时可以通过单点登录进行登录
如果您使用的是旧版单点登录配置文件,那么在以下情况下,超级用户可以通过单点登录进行登录:
- 网域专用服务网址设置已设为自动将用户重定向到第三方 IdP。
- 超级用户登录由 IdP 发起(IdP 发起的单点登录)。
- 超级用户最初使用非超级用户账号登录 Google,但在重定向到 IdP 时提供超级用户凭据。在这种情况下,Google 会接受来自 IdP 的超级用户身份声明。
超级用户何时无法通过单点登录进行登录
即使使用旧版单点登录配置文件,超级用户在以下情况下也无法通过单点登录进行登录:
管理控制台中)
当超级用户尝试通过 admin.google.com 登录启用了 SSO 的网域时,必须输入自己完整的 Google 管理员账号电子邮件地址和关联的 Google 密码(而不是 SSO 用户名和密码),然后点击登录直接访问管理控制台。Google 不会将其重定向至单点登录的登录页面。
Google 云端硬盘同步客户端
超级用户在登录 Google 云端硬盘同步客户端时会绕过单点登录,Google 不会将其重定向至单点登录的登录页面。在尝试通过浏览器、移动应用(如 iOS 版云端硬盘和 Gmail 应用)、Android 账号启动流程等方式登录时,上述情况均适用。