Melding

Duet AI heet nu Gemini voor Google Workspace. Meer informatie

Technisch overzicht van op SAML gebaseerde SSO

Met Single sign-on (SSO) hebben gebruikers toegang tot veel apps zonder dat ze hun gebruikersnaam en wachtwoord moeten invoeren voor elke app. Security Assertion Markup Language (SAML) is een XML-standaard waarmee beveiligde webdomeinen gegevens over gebruikersverificatie en -autorisatie kunnen uitwisselen.

De rollen van serviceproviders en identiteitsproviders

Google biedt een op SAML gebaseerde SSO-service waarmee partnerbedrijven gehoste gebruikers die toegang willen krijgen tot beveiligde content, kunnen autoriseren en verifiëren. Google treedt op als de online serviceprovider en biedt services als Google Agenda en Gmail. Google Partners fungeren als online identiteitsproviders en beheren gebruikersnamen, wachtwoorden en andere gegevens die worden gebruikt om gebruikers te identificeren, verifiëren en autoriseren voor door Google gehoste web-apps.

Veel opensource- en commerciële identiteitsproviders kunnen u helpen SSO met Google te implementeren.

Voor desktopclients moet nog steeds worden ingelogd

De SSO-oplossing geldt alleen voor web-apps. U kunt uw gebruikers toegang geven tot Google-services via desktopclients. Als u bijvoorbeeld POP-toegang wilt geven tot Gmail met Outlook, moet u uw gebruikers een bruikbaar wachtwoord geven en dit synchroniseren met uw interne gebruikersdatabase via de Directory API van de Admin SDK. Als u wachtwoorden synchroniseert, moet u weten hoe gebruikers worden geverifieerd via de login-URL van het beheerdersdashboard.

Door partners uitgevoerde SAML-gebaseerde SSO begrijpen

Figuur 1 toont het proces waarmee een gebruiker inlogt bij een Google-app, zoals Gmail, met een SAML-gebaseerde SSO-service die door een partner wordt beheerd. De genummerde lijst bij de afbeelding bevat informatie over elke stap.

Belangrijk: Voordat dit proces wordt uitgevoerd, moet de partner Google de URL van zijn SSO-service geven, samen met de openbare sleutel die Google moet gebruiken om SAML-reacties te verifiëren.

Afbeelding 1: Deze afbeelding toont hoe u inlogt bij Google met een SAML-gebaseerde SSO-service.

In deze afbeelding worden de volgende stappen weergegeven.

  1. De gebruiker probeert een gehoste Google-app te bereiken, bijvoorbeeld Gmail, Google Agenda of een andere Google-service.
  2. Google genereert een SAML-verificatieverzoek, dat wordt gecodeerd en ingevoegd in de URL van de SSO-service van de partner. De RelayState-parameter met de gecodeerde URL van de Google-app die de gebruiker probeert te openen, wordt ook ingesloten in de SSO-URL. Deze RelayState-parameter is een ondoorzichtige ID die wordt teruggestuurd zonder wijziging of inspectie.
  3. Google stuurt een omleiding naar de browser van de gebruiker. De omleidings-URL bevat het gecodeerde SAML-verificatieverzoek dat moet worden verzonden naar de SSO-service van de partner.
  4. De browser leidt om naar de SSO-URL.
  5. De partner decodeert het SAML-verzoek en leidt de URL af voor zowel de ACS (Assertion Consumer Service) van Google als de bestemmings-URL van de gebruiker (parameter RelayState).
  6. De partner verifieert vervolgens de gebruiker. Partners kunnen gebruikers verifiëren door om geldige inloggegevens te vragen of door te controleren op geldige sessiecookies.
  7. De partner genereert een SAML-reactie met daarin de gebruikersnaam van de geverifieerde gebruiker. In overeenstemming met de SAML v2.0-specificaties wordt deze reactie digitaal ondertekend met de openbare en privé-DSA/RSA-sleutels van de partner.
  8. De partner codeert de SAML-reactie en de RelayState-parameter en stuurt deze gegevens terug naar de browser van de gebruiker. De partner zorgt voor een mechanisme waarmee de browser die informatie kan doorsturen naar de ACS van Google. De partner kan bijvoorbeeld de SAML-reactie en bestemmings-URL insluiten in een formulier en een knop tonen waarmee de gebruiker het formulier naar Google kan sturen. De partner kan ook JavaScript toevoegen aan de pagina waarmee het formulier naar Google wordt gestuurd.
  9. De browser stuurt een reactie naar de ACS-URL. De ACS van Google verifieert de SAML-reactie met de openbare sleutel van de partner. Als de reactie is geverifieerd, stuurt ACS de gebruiker naar de bestemmings-URL.
  10. De gebruiker is ingelogd bij de Google-app.

Gerelateerd onderwerp

SAML v2.0-specificaties

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
15681757383297515320
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false