Необязательные параметры SSO и обслуживание

Как выполнить ротацию сертификатов

Если вы загрузите два сертификата в профиль системы единого входа на базе SAML, Google может использовать любой из них для проверки ответа SAML от поставщика идентификационной информации. Это позволяет безопасным образом поменять сертификат с истекающим сроком действия на стороне поставщика идентификационной информации. Выполните описанные действия не менее чем за 24 часа до того момента, как срок действия сертификата истечет:

  1. Создайте новый сертификат у поставщика идентификационной информации.
  2. Загрузите сертификат в качестве второго в консоли администратора. Инструкции можно найти в разделе Как создать профиль SSO SAML
  3. Подождите 24 часа, чтобы в аккаунтах пользователей Google были зарегистрированы данные о новом сертификате.
  4. Настройте систему поставщика идентификационной информации таким образом, чтобы новый сертификат использовался вместо сертификата с истекающим сроком действия.
  5. Когда пользователи подтвердят, что вход возможен, вы можете удалить старый сертификат в консоли администратора. После этого можно будет при необходимости загрузить новый сертификат.

Как настроить URL сервисов, относящиеся к домену

С помощью параметра URL сервисов, относящиеся к домену можно управлять тем, что происходит после входа пользователя с помощью URL сервисов, например https://mail.google.com/a/example.com.

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Безопасность > Аутентификация > Система единого входа со сторонним поставщиком идентификационной информации.

    У вас должны быть права администратора с доступом к настройкам безопасности.

  3. Чтобы открыть настройки, нажмите URL сервисов, относящиеся к домену.

Мы предлагаем два варианта действий:

  • Перенаправлять пользователей на страницу входа стороннего поставщика идентификационной информации. Выберите этот вариант, чтобы всегда перенаправлять этих пользователей к стороннему поставщику идентификационной информации, выбранному в раскрывающемся списке профилей SSO. Можно выбрать профиль SSO организации или профиль стороннего поставщика (если вы добавили его).

    Важно! Не выбирайте этот вариант, если в организации есть подразделения или группы, которые не используют систему единого входа. Сотрудники, для которых не включена система единого входа, будут автоматически перенаправлены к поставщику идентификационной информации и не смогут войти.

  • Требовать от пользователей сначала вводить имя пользователя на странице входа Google. Если выбран этот вариант, пользователи, переходящие по относящимся к домену URL сервисов, сначала перенаправляются на страницу входа Google. Пользователи, для которых включена система единого входа, перенаправляются на страницу входа поставщика идентификационной информации.

Результаты связывания аккаунтов в системах

Маски сети – это IP-адреса, представленные в формате бесклассовой адресации (Classless Inter-Domain Routing, или CIDR). С помощью значения CIDR можно указать, сколько битов IP-адреса входит в маску. Профиль SSO для вашей организации может использовать маски сетей для определения того, какие IP-адреса или диапазоны IP-адресов следует представить службе SSO.

Примечание. При настройке масок сети нужно учитывать, что в настоящее время на страницу единого входа перенаправляются только URL сервисов для определенного домена (вида service.google.com/a/example.com).

Очень важно использовать корректный формат для всех масок сети. В следующем примере (протокол IPv6) косая черта (/) и число после нее – это префикс сети в нотации CIDR. Последние 96 битов не учитываются, и единый вход будет активирован для всех IP-адресов в диапазоне.

  • 2001:db8::/32

В примере ниже (протокол IPv4) последние 8 битов (ноль) не учитываются, и единый вход будет активирован для всех IP-адресов в диапазоне от 64.233.187.0 до 64.233.187.255.

  • 64.233.187.0/24

В доменах без масок сети необходимо добавить всех пользователей, которые не являются суперадминистраторами, в базу поставщика идентификационной информации (IdP).

Что происходит при посещении URL сервисов Google, если используется система единого входа

В следующей таблице показано, что происходит при прямом переходе на URL сервисов Google с использованием маски сети и без нее.

Маска сети не задана Суперадминистраторы Пользователи
service.google.com Получают запрос на ввод адреса и пароля электронной почты Google. Получают запрос на ввод адреса электронной почты, а затем перенаправляются на страницу единого входа.
Маска сети задана Суперадминистраторы и пользователи
service.google.com Получают запрос на ввод адреса и пароля электронной почты.
service.google.com
/a/your_domain.com*
(в пределах маски сети)		 Перенаправляются на страницу единого входа.
service.google.com
/a/your_domain.com
(вне пределов маски
сети)		 Получают запрос на ввод адреса и пароля электронной почты.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
[email protected]

Пользователи, которые получают доступ к конечной точке OAuth 2.0 Google с помощью параметра URL login_hint, перенаправляются на страницу единого входа.

*Не все сервисы поддерживают этот шаблон URL. Он поддерживается, например, в Gmail и Диске.

Истечение срока действия сеанса при настроенной маске сети
Эта настройка применяется, только если выполнены все указанные ниже условия.
  • В вашем домене используется система единого входа со сторонним поставщиком идентификационной информации.
  • В домене настроена маска сети.
  • Пользователь вошел в систему с помощью стороннего поставщика идентификационной информации (дополнительные сведения приведены в таблице "Матрица связывания аккаунтов при использовании системы единого входа").
Активный сеанс пользователя в Google может быть завершен, и ему потребуется пройти повторную аутентификацию, если:
  • Достигнуто ограничение продолжительности сеанса, заданное в консоли администратора Google.
  • Администратор изменил пароль аккаунта пользователя или запросил смену пароля при следующем входе пользователя в систему, задав соответствующие настройки в консоли администратора или с помощью Admin SDK.

Что происходит при завершении активного сеанса пользователя

Если сеанс завершен, то пользователи, начавшие сеанс с помощью стороннего поставщика идентификационной информации, будут перенаправлены на страницу входа с аккаунтом Google.

Пользователи могут не понять, почему для восстановления доступа к аккаунту требуется войти в Google. Пользователи могут быть перенаправлены на страницу входа Google, даже если они пытались войти через URL-адреса Google.

Если вы планируете технические работы, которые потребуют завершения активных сеансов, но хотите избежать проблем для пользователей, попросите их завершить сеансы и не входить в систему до завершения технических работ.

Как восстановить доступ к аккаунту

Когда пользователь перенаправляется на страницу входа в аккаунт Google из-за прерывания активного сеанса, он может восстановить доступ к своему аккаунту одним из следующих способов:

  • Увидев сообщение "Если вы попали на эту страницу по ошибке, нажмите здесь, чтобы выйти из аккаунта, а затем войти ещё раз", пользователь может нажать на ссылку в этом сообщении.
  • Если это сообщение или ссылка не появились, пользователю необходимо выйти из аккаунта, перейдя на страницу https://accounts.google.com/logout, и снова войти в него.
  • Пользователь может удалить файлы cookie в своем браузере.

После того как пользователь восстановит доступ к аккаунту одним из перечисленных выше способов, его сеанс Google будет полностью завершен и он сможет снова войти в свой аккаунт.

Как настроить двухэтапную аутентификацию с использованием SSO

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Безопасность > Аутентификация > Дополнительная аутентификация.

    У вас должны быть права администратора с возможностью управлять безопасностью пользователей.

  3. Слева на странице выберите организационное подразделение, для которого нужно установить правило.

    Выберите организационное подразделение верхнего уровня, чтобы задать правила для всех пользователей. По умолчанию организационное подразделение наследует настройки родительской организации.

  4. Нажмите Подтверждение личности после системы единого входа.
  5. Выберите настройки в зависимости от того, как профили SSO используются в вашей организации. Вы можете применить параметр для пользователей, которые входят с помощью устаревшего профиля SSO, и для тех, кто использует для входа сторонние профили SSO.
  6. В правом нижнем углу нажмите Сохранить.

    Система Google создает запись в журнале аудита администрирования о том, что правило изменено.

Значение параметра подтверждения личности после системы единого входа зависит от типа пользователя системы единого входа:

  • Для пользователей, которые входят с помощью устаревшего профиля SSO, дополнительная аутентификация и двухэтапная аутентификация по умолчанию пропускаются.
  • Для пользователей, которые входят с помощью профилей SSO, дополнительная аутентификация и двухэтапная аутентификация по умолчанию применяются.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
16716669360413855488
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false
false