Grundlegendes zur sicheren SAML-Anmeldung
Google verwendet für die Benutzerauthentifizierung einen Security Assertion Markup Language (SAML)-Anbieter. Wenn sich Ihre Benutzer bei Google Workspace anmelden, gelangen sie zu einem Bildschirm auf der Hauptseite von Google Workspace , auf dem sie ihre Identität bestätigen können.
Wie oft sehen Benutzer den Bildschirm?
Um Störungen für den Benutzer zu minimieren, wird dieser Bildschirm für jedes Konto auf einem Gerät nur einmal angezeigt. Sobald der Nutzer seine Identität in einem bestimmten Chrome-Browser oder auf einem bestimmten Gerät bestätigt, kann er sich problemlos erneut anmelden, ohne dass er seine Identität erneut bestätigen muss.
Hinweis : SSO-Benutzer sehen möglicherweise zusätzliche Authentifizierungsherausforderungen, wenn Sie Herausforderungen mit SSO aktivieren. Dadurch wird auch die Bestätigung in zwei Schritten (2SV) aktiviert, sofern für Ihr Google-Konto konfiguriert. (2SV ist normalerweise für Benutzer deaktiviert, die sich über SSO anmelden.)
Was ist der Zweck?
- Schutz vor Phishing-Angriffen – Der Anmeldebildschirm verhindert, dass sich Chrome-Browser-Benutzer unwissentlich bei einem Konto anmelden, das von einem Angreifer erstellt und kontrolliert wird. Beispielsweise könnte eine Phishing-Kampagne einen Benutzer dazu verleiten, sich bei einem Google-Konto anzumelden, das von einem Angreifer kontrolliert wird. Diese Art von Angriff kann SAML Single Sign-On (SSO) verwenden, da keine Benutzerinteraktion erforderlich ist, um eine Anmeldung abzuschließen. Zum Schutz der Benutzer haben wir einen Authentifizierungsbildschirm hinzugefügt.
- Erstellen einer konsistenten Identität – Diese neue Sicherheitsfunktion ist Teil eines größeren Projekts zur Schaffung einer konsistenten Identität für alle Google Workspace-Dienste (z. B. Gmail) und native Chrome-Browserdienste wie die Chrome-Synchronisierung. Diese Konsistenz erleichtert angemeldeten Benutzern die Nutzung der nativen Funktionen des Chrome-Browsers, erfordert jedoch zusätzlichen Schutz bei der Authentifizierung. Dieser neue Bildschirm bietet zusätzlichen Schutz und verringert die Wahrscheinlichkeit, dass Angreifer SAML SSO missbrauchen, um Benutzer bei böswilligen Konten anzumelden.
Kann ich den Bildschirm deaktivieren?
Ja, Sie können den Authentifizierungsbildschirm deaktivieren. Beispielsweise möchten Sie möglicherweise die Anzahl der Interaktionen zwischen Ihren Nutzern und Google reduzieren.
Um den neuen Bildschirm für Ihre Organisation zu deaktivieren, verwenden Sie den HTTP-Header X-GoogApps-AllowedDomains, um Domänen zu identifizieren, deren Benutzer auf Google-Dienste zugreifen können. Benutzer in diesen Domänen sehen den zusätzlichen Bildschirm nicht. Google geht davon aus, dass Ihre Nutzer diesen Konten vertrauen.
Zum Festlegen des Headers können Sie auch die Gruppenrichtlinie AllowedDomainsForApps verwenden.
No comments:
Post a Comment