Setelan dan pemeliharaan SSO opsional

Cara merotasi sertifikat

Jika Anda mengupload dua sertifikat ke profil SSO SAML, Google dapat menggunakan salah satu sertifikat untuk memvalidasi respons SAML dari IdP Anda. Hal ini memungkinkan Anda merotasi sertifikat yang habis masa berlakunya dengan aman di sisi IdP. Ikuti langkah-langkah berikut setidaknya 24 jam sebelum masa berlaku sertifikat berakhir:

Buat sertifikat baru di IdP.
Upload sertifikat tersebut sebagai sertifikat kedua ke konsol Admin. Untuk mengetahui petunjuknya, lihat Membuat profil SAML.
Tunggu 24 jam agar akun pengguna Google dapat diupdate dengan sertifikat baru.
Konfigurasikan IdP untuk menggunakan sertifikat baru sebagai pengganti sertifikat yang akan habis masa berlakunya.
(Opsional) Setelah pengguna mengonfirmasi bahwa mereka dapat login, hapus sertifikat lama dari konsol Admin. Anda kemudian dapat mengupload sertifikat baru di masa mendatang sesuai kebutuhan.

Mengelola URL layanan khusus domain

Setelan URL layanan khusus domain memungkinkan Anda mengontrol apa yang akan terjadi saat pengguna login menggunakan URL layanan seperti https://mail.google.com/a/example.com.

Login ke Konsol Google Admin dengan akun administrator.
Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.
Buka Menu Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.
Memerlukan hak istimewa administrator Setelan keamanan.
Klik URL Layanan Khusus Domain untuk membuka setelan.

Ada dua opsi:

Mengalihkan pengguna ke IdP pihak ketiga. Pilih opsi ini untuk selalu mengarahkan pengguna tersebut ke IdP pihak ketiga yang Anda pilih di menu drop-down profil SSO. Profil ini dapat berupa profil SSO untuk organisasi Anda, atau profil pihak ketiga lainnya (jika Anda telah menambahkannya).
Penting: Jika Anda memiliki unit organisasi atau grup yang tidak menggunakan SSO, jangan pilih setelan ini. Pengguna non-SSO Anda akan otomatis dirutekan ke IdP dan tidak dapat login.
Wajibkan pengguna untuk memasukkan nama pengguna mereka di halaman login Google. Dengan opsi ini, pengguna yang memasukkan URL khusus domain akan dikirim terlebih dahulu ke halaman login Google. Jika pengguna merupakan pengguna SSO, mereka akan dialihkan ke halaman login IdP.

Hasil Pemetaan Jaringan

Network mask adalah alamat IP yang dilambangkan menggunakan notasi CIDR (Classless Inter-Domain Routing). CIDR menentukan berapa banyak bit dari alamat IP yang disertakan. Profil SSO untuk organisasi Anda dapat menggunakan network mask untuk menentukan alamat IP atau rentang alamat IP yang akan dihadirkan dengan layanan SSO.

Catatan: Untuk setelan network mask, hanya URL layanan khusus domain, misalnya service.google.com/a/example.com, yang saat ini dialihkan ke halaman login SSO.

Penting bagi setiap network mask untuk menggunakan format yang tepat. Pada contoh IPv6 berikut, garis miring (/) dan angka setelahnya mewakili CIDR. 96 bit terakhir tidak dipertimbangkan, dan semua alamat IP dalam rentang jaringan tersebut akan terpengaruh.

2001:db8::/32

Dalam contoh IPv4 ini, 8 bit terakhir (angka nol) diabaikan, dan semua alamat IP yang berada dalam rentang 64.233.187.0 hingga 64.233.187.255 akan terpengaruh.

64.233.187.0/24

Dalam domain tanpa network mask, Anda harus menambahkan pengguna yang bukan administrator super ke penyedia identitas (IdP).

Pengalaman pengguna SSO saat membuka URL layanan Google

Tabel berikut menunjukkan pengalaman pengguna untuk kunjungan langsung ke URL layanan Google, dengan dan tanpa network mask:

Tanpa network mask	Administrator super:	Pengguna:
service.google.com	Diminta untuk memasukkan alamat email dan sandi Google-nya.	Diminta untuk memasukkan alamat emailnya, lalu dialihkan ke halaman login SSO.
Dengan network mask	Administrator super dan pengguna:
service.google.com	Diminta untuk memasukkan alamat email dan sandinya.
service.google.com /a/your_domain.com* (dalam network mask)	Dialihkan ke halaman login SSO.
service.google.com /a/your_domain.com (di luar network mask)	Diminta untuk memasukkan alamat email dan sandinya.
accounts.google.com/ o/oauth2/v2/auth?login_hint= [email protected]	Pengguna yang mengakses endpoint OAuth 2.0 Google menggunakan parameter URL login_hint akan dialihkan ke halaman login SSO.

* Tidak semua layanan mendukung pola URL ini. Contoh layanan yang mendukung adalah Gmail dan Drive.

Masa berlaku sesi habis saat network mask dikonfigurasi

Bagian ini berlaku untuk Anda hanya jika semua ketentuan berikut dipenuhi:

Domain Anda memiliki SSO dengan IdP pihak ketiga.
Domain Anda memiliki network mask.
Pengguna login melalui IdP pihak ketiga (lihat tabel di “matriks pemetaan pengguna/jaringan SSO”).

Sesi Google aktif milik pengguna mungkin dihentikan dan pengguna diminta untuk melakukan autentikasi ulang saat:

Sesi pengguna mencapai durasi maksimum yang diizinkan sebagaimana ditetapkan di setelan konsol Admin Kontrol sesi Google.
Admin memodifikasi akun pengguna dengan mengubah sandi atau mewajibkan pengguna mengubah sandi saat login berikutnya (melalui konsol Admin atau menggunakan Admin SDK).

Pengalaman pengguna

Jika pengguna memulai sesi di IdP pihak ketiga, sesi tersebut akan dihapus dan pengguna akan dialihkan ke halaman Login dengan Google.

Karena memulai sesi Google di IdP pihak ketiga, pengguna mungkin tidak memahami alasan kenapa mereka harus login ke Google untuk mendapatkan kembali akses ke akun mereka. Pengguna mungkin dialihkan ke halaman Login dengan Google bahkan saat mereka mencoba membuka URL Google lainnya.

Jika Anda merencanakan pemeliharaan yang mencakup penghentian sesi pengguna aktif dan ingin menghindari kebingungan pengguna, beri tahu pengguna untuk logout dari sesi mereka dan tetap logout sampai pemeliharaan selesai.

Pemulihan pengguna

Jika pengguna melihat halaman Login dengan Google karena sesi aktif mereka diakhiri, mereka bisa mendapatkan kembali akses ke akunnya dengan melakukan salah satu tindakan berikut:

Jika pengguna melihat pesan "Jika Anda mencapai halaman ini secara keliru, klik di sini untuk logout, lalu coba untuk login lagi", mereka dapat mengklik link pada pesan.
Jika pengguna tidak melihat pesan atau link, mereka dapat logout dan login lagi dengan membuka https://accounts.google.com/logout.
Pengguna dapat menghapus cookie browser.

Setelah mereka menggunakan salah satu metode pemulihan, sesi Google mereka akan dihentikan sepenuhnya dan mereka dapat login.

Menyiapkan Verifikasi 2 Langkah dengan SSO

Login ke Konsol Google Admin dengan akun administrator.
Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.
Buka Menu Keamanan > Autentikasi > Verifikasi login.
Memerlukan hak istimewa administrator Pengelolaan keamanan pengguna.
Di sebelah kiri, pilih unit organisasi tempat Anda ingin menetapkan kebijakan.
Untuk semua pengguna, pilih unit organisasi tingkat teratas. Awalnya, unit organisasi mewarisi setelan induknya.
Klik Verifikasi pasca-SSO.
Pilih setelan sesuai dengan cara Anda menggunakan profil SSO di organisasi. Anda dapat menerapkan setelan untuk pengguna yang menggunakan profil SSO lama dan untuk pengguna yang login menggunakan profil SSO lainnya.
Klik Simpan di kanan bawah.
Google membuat entri di log audit Admin untuk menunjukkan perubahan kebijakan.

Setelan verifikasi pasca-SSO default bergantung pada jenis pengguna SSO:

Untuk pengguna yang login menggunakan profil SSO lama, setelan defaultnya adalah hindari verifikasi login dan 2SV tambahan.
Untuk pengguna yang login menggunakan profil SSO lain, setelan defaultnya adalah terapkan verifikasi login dan 2SV tambahan.

Lihat juga

Apakah ini membantu?

Bagaimana cara meningkatkannya?