วิธีหมุนเวียนใบรับรอง
หากคุณอัปโหลดใบรับรอง 2 ใบไปยังโปรไฟล์ SAML SSO ทาง Google จะใช้ใบรับรองใดก็ได้เพื่อตรวจสอบการตอบกลับ SAML จาก IdP ซึ่งจะช่วยให้คุณหมุนเวียนใบรับรองที่กำลังจะหมดอายุในฝั่ง IdP ได้อย่างปลอดภัย โปรดทำตามขั้นตอนต่อไปนี้อย่างน้อย 24 ชั่วโมงก่อนที่ใบรับรองจะหมดอายุ
- สร้างใบรับรองใหม่ใน IdP
- อัปโหลดใบรับรองเป็นใบรับรองที่ 2 ในคอนโซลผู้ดูแลระบบ ดูวิธีการได้ที่หัวข้อสร้างโปรไฟล์ SAML
- รอ 24 ชั่วโมงเพื่อให้บัญชีผู้ใช้ Google อัปเดตใบรับรองใหม่
- กำหนดค่า IdP เพื่อใช้ใบรับรองใหม่แทนใบรับรองที่กำลังจะหมดอายุ
- (ไม่บังคับ) เมื่อผู้ใช้ยืนยันว่าลงชื่อเข้าใช้ได้ ให้นำใบรับรองเก่าออกจากคอนโซลผู้ดูแลระบบ จากนั้นคุณก็สามารถอัปโหลดใบรับรองใหม่ได้ตามต้องการในอนาคต
จัดการ URL ของบริการที่เจาะจงสำหรับโดเมน
การตั้งค่า URL ของบริการที่เจาะจงสำหรับโดเมนจะช่วยให้คุณควบคุมสิ่งที่จะเกิดขึ้นเมื่อผู้ใช้ลงชื่อเข้าใช้โดยใช้ URL บริการ เช่น https://mail.google.com/a/example.com
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่เมนู
การรักษาความปลอดภัย > การตรวจสอบสิทธิ์ > SSO ด้วย IdP บุคคลที่สาม
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
- คลิก URL ของบริการที่เจาะจงสำหรับโดเมนเพื่อเปิดการตั้งค่า
ซึ่งมี 2 วิธีที่ทำได้ดังนี้
- เปลี่ยนเส้นทางผู้ใช้ไปยัง IdP บุคคลที่สาม เลือกตัวเลือกนี้เพื่อกําหนดเส้นทางผู้ใช้เหล่านี้ไปยัง IdP บุคคลที่สามที่คุณเลือกในรายการแบบเลื่อนลงของโปรไฟล์ SSO เสมอ ซึ่งอาจเป็นโปรไฟล์ SSO สําหรับองค์กรของคุณ หรือโปรไฟล์ของบุคคลที่สามโปรไฟล์อื่น (หากเพิ่มไว้)
ข้อสําคัญ: หากคุณมีหน่วยขององค์กรหรือกลุ่มที่ไม่ได้ใช้ SSO โปรดอย่าเลือกการตั้งค่านี้ ผู้ใช้ที่ไม่ใช้ SSO จะได้รับการกําหนดเส้นทางไปยัง IdP โดยอัตโนมัติและจะลงชื่อเข้าใช้ไม่ได้
- กำหนดให้ผู้ใช้ต้องป้อนชื่อผู้ใช้ในหน้าเว็บสำหรับการลงชื่อเข้าใช้ของ Google เมื่อใช้ตัวเลือกนี้ ระบบจะส่งผู้ใช้ที่ป้อน URL เฉพาะโดเมนไปยังหน้าลงชื่อเข้าใช้ของ Google ก่อน หากผู้ใช้เป็นผู้ใช้ SSO ระบบจะเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ของ IdP
ผลลัพธ์ของการแมปเครือข่าย
เน็ตเวิร์กมาสก์คือที่อยู่ IP ที่แสดงโดยใช้รูปแบบ Classless Inter-Domain Routing (CIDR) ซึ่ง CIDR จะระบุว่าที่อยู่ IP จะมีจำนวนบิตเท่าใด โปรไฟล์ SSO สำหรับองค์กรสามารถใช้เน็ตเวิร์กมาสก์เพื่อพิจารณาว่าจะใช้ที่อยู่ IP รายการใดหรือช่วงใดของที่อยู่ IP เพื่อแสดงพร้อมกับบริการ SSO
หมายเหตุ: สําหรับการตั้งค่าเน็ตเวิร์กมาสก์ ในปัจจุบันจะมีเพียง URL บริการเฉพาะโดเมน เช่น service.google.com/a/example.com เท่านั้นที่เปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO
สิ่งสำคัญคือแต่ละเน็ตเวิร์กมาสก์จะต้องใช้รูปแบบที่ถูกต้อง ในตัวอย่าง IPv6 ต่อไปนี้ เครื่องหมายทับ (/) และตัวเลขหลังจากนั้นคือ CIDR ระบบจะไม่พิจารณา 96 บิตสุดท้าย และที่อยู่ IP ทั้งหมดในช่วงเครือข่ายดังกล่าวจะได้รับผล
- 2001:db8::/32
ในตัวอย่าง IPv4 นี้ ระบบจะไม่พิจารณา 8 บิตสุดท้าย (คือเลข 0) และที่อยู่ IP ทั้งหมดที่อยู่ในช่วง 64.233.187.0 ถึง 64.233.187.255 จะได้รับผล
- 64.233.187.0/24
ในโดเมนที่ไม่มีเน็ตเวิร์กมาสก์ คุณต้องเพิ่มผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบขั้นสูงไว้ในผู้ให้บริการข้อมูลประจำตัว (IdP)
ประสบการณ์ของผู้ใช้ SSO เมื่อเข้าชม URL บริการของ Googleตารางต่อไปนี้จะแสดงประสบการณ์ของผู้ใช้เมื่อเข้าชม URL ของบริการ Google โดยตรง โดยมีหรือไม่มีเน็ตเวิร์กมาสก์
| ไม่มีเน็ตเวิร์กมาสก์ | ผู้ดูแลระบบขั้นสูง | ผู้ใช้ |
|---|---|---|
| service.google.com | ระบบจะแจ้งให้ป้อนอีเมลและรหัสผ่าน Google | ระบบจะแจ้งให้ป้อนอีเมล จากนั้นจึงเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO |
| มีเน็ตเวิร์กมาสก์ | ผู้ดูแลระบบขั้นสูงและผู้ใช้ | |
| service.google.com | ระบบจะแจ้งให้ป้อนอีเมลและรหัสผ่าน | |
| service.google.com /a/your_domain.com* (ภายในเน็ตเวิร์กมาสก์) |
ระบบจะเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO | |
| service.google.com /a/your_domain.com (ภายนอก เน็ตเวิร์กมาสก์) |
ระบบจะแจ้งให้ป้อนอีเมลและรหัสผ่าน | |
| accounts.google.com/ o/oauth2/v2/auth?login_hint= [email protected] |
ระบบจะเปลี่ยนเส้นทางผู้ใช้ที่เข้าถึงปลายทาง OAuth 2.0 ของ Google โดยใช้พารามิเตอร์ URL login_hint ไปยังหน้าลงชื่อเข้าใช้ SSO |
|
* บริการบางอย่างอาจไม่รองรับรูปแบบ URL นี้ ตัวอย่างบริการที่รองรับคือ Gmail และไดรฟ์
- โดเมนของคุณมี SSO ที่มี IdP ของบุคคลที่สาม
- โดเมนของคุณมีเน็ตเวิร์กมาสก์
- ผู้ใช้ที่ลงชื่อเข้าใช้ผ่าน IdP ของบุคคลที่สาม (โปรดดูตารางใน "เมทริกซ์การแมปเครือข่าย/ผู้ใช้ SSO")
- ช่วงการใช้งานเซสซันของผู้ใช้ถึงระยะเวลาสูงสุดที่อนุญาตตามที่ระบุในการตั้งค่าคอนโซลผู้ดูแลระบบส่วนการควบคุมเซสซันของ google
- ผู้ดูแลระบบแก้ไขบัญชีผู้ใช้โดยการเปลี่ยนรหัสผ่านหรือกำหนดให้ผู้ใช้เปลี่ยนรหัสผ่านเมื่อลงชื่อเข้าใช้ครั้งถัดไป (ไม่ว่าจะผ่านทางคอนโซลผู้ดูแลระบบหรือใช้ Admin SDK)
ประสบการณ์ของผู้ใช้
ถ้าผู้ใช้เริ่มต้นเซสซันใน IdP ของบุคคลที่สาม ระบบจะล้างเซสซันและเปลี่ยนเส้นทางให้ผู้ใช้ไปยังหน้าลงชื่อเข้าใช้ของ Google
เนื่องจากผู้ใช้เริ่มต้นเซสซัน Google ใน IdP ของบุคคลที่สาม ดังนั้นผู้ใช้อาจไม่เข้าใจว่าทำไมจึงต้องลงชื่อเข้าใช้ Google เพื่อรับสิทธิ์เข้าถึงบัญชีอีกครั้ง ระบบอาจเปลี่ยนเส้นทางให้ผู้ใช้ไปยังหน้าลงชื่อเข้าใช้ของ Google แม้ผู้ใช้ไม่ได้พยายามไปที่ URL อื่นของ Google เลยก็ตาม
หากคุณกำลังวางแผนการซ่อมบำรุงที่มีการยกเลิกเซสซันของผู้ใช้ที่มีการใช้งานและไม่ต้องการให้เกิดความสับสน โปรดแจ้งให้ผู้ใช้ออกจากเซสซันจนกว่าการซ่อมบำรุงจะเรียบร้อย
การกู้คืนผู้ใช้
เมื่อผู้ใช้เห็นหน้าลงชื่อเข้าใช้ของ Google เนื่องจากเซสซันที่มีการใช้งานถูกยกเลิก ผู้ใช้จะขอรับสิทธิ์เข้าถึงบัญชีอีกครั้งได้โดยทำตามวิธีใดวิธีหนึ่งต่อไปนี้
- หากผู้ใช้เห็นข้อความ "หากคุณมาถึงหน้านี้โดยเกิดจากข้อผิดพลาด โปรดคลิกที่นี่เพื่อออกจากระบบและลองลงชื่อเข้าใช้อีกครั้ง" ผู้ใช้ก็คลิกลิงก์ในข้อความได้
- หากผู้ใช้ไม่เห็นลิงก์หรือข้อความดังกล่าว ผู้ใช้ก็ออกจากระบบและลงชื่อเข้าใช้ได้อีกครั้งโดยไปที่ https://accounts.google.com/logout
- ผู้ใช้เลือกที่จะล้างคุกกี้ของเบราว์เซอร์ได้
เมื่อผู้ใช้ทำตามวิธีการกู้คืนข้างต้นแล้ว เซสซัน Google จะถูกยกเลิกอย่างสมบูรณ์และผู้ใช้จะลงชื่อเข้าใช้ได้
ตั้งค่าการยืนยันแบบ 2 ขั้นตอนด้วย SSO
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่เมนู
ต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการความปลอดภัยของผู้ใช้
- เลือกหน่วยขององค์กรที่คุณต้องการตั้งนโยบายทางด้านซ้าย
โดยเลือกหน่วยขององค์กรระดับบนสุดให้กับผู้ใช้ทั้งหมด ในขั้นต้น หน่วยขององค์กรจะรับการตั้งค่ามาจากองค์กรระดับบนสุด
- คลิกการยืนยันหลัง SSO
- เลือกการตั้งค่าตามวิธีที่คุณใช้โปรไฟล์ SSO ในองค์กร คุณสามารถใช้การตั้งค่ากับผู้ใช้ที่ใช้โปรไฟล์ SSO แบบเดิม และสำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO อื่นๆ
- คลิกบันทึกด้านขวาล่าง
Google จะสร้างรายการในบันทึกการตรวจสอบของผู้ดูแลระบบเพื่อระบุการเปลี่ยนแปลงนโยบาย
การตั้งค่าเริ่มต้นของการยืนยันตัวตนหลังใช้ SSO จะขึ้นอยู่กับประเภทผู้ใช้ SSO ดังนี้
- สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO แบบเดิม การตั้งค่าเริ่มต้นจะข้ามคำถามในการเข้าสู่ระบบเพิ่มเติมและการยืนยันแบบ 2 ขั้นตอน
- สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO การตั้งค่าเริ่มต้นจะใช้คำถามในการเข้าสู่ระบบเพิ่มเติมและการยืนยันแบบ 2 ขั้นตอน
