Google Apps bietet für Kunden, die Google Apps for Business, Google Apps for Education oder Google Apps for ISP nutzen, die Einmalanmeldung (SSO) an. Sie können unser SAML-basiertes SSO-API in Ihr LDAP-System oder ein anderes SSO-System integrieren. LDAP (Lightweight Directory Access Protocol) ist ein Netzwerkprotokoll zur Abfrage und Bearbeitung von Verzeichnisdiensten, die über TCP/IP ausgeführt werden.
SSO akzeptiert öffentliche Schlüssel und Zertifikate, die mit dem RSA- oder DSA-Algorithmus erzeugt wurden. Zum Verwenden des Service ist es erforderlich, einen Satz an öffentlichen und privaten Schlüsseln sowie ein X.509-Zertifikat zu erzeugen, das den öffentlichen Schlüssel enthält. Sobald Sie einen öffentlichen Schlüssel oder ein Zertifikat haben, müssen diese bei Google registriert werden. Laden Sie hierfür einfach den Schlüssel oder das Zertifikat über das Steuerungsfeld von Google Apps hoch.
Wie werden Schlüssel und Zertifikate für den Einmalanmeldungsservice (SSO) von Google Apps erzeugt?
Die Art der Erzeugung von Schlüsseln und Zertifikaten hängt häufig von der Entwicklungsplattform und der Programmiersprache ab. Sie können OpenSSL, Certificate Creation-Tool und Pvk2pfx-Tool in .NET, Keytool in Java und Java Cryptography Architecture zum Erstellen öffentlicher und privater Schlüsselpaare verwenden. Weitere Informationen
Wie funktioniert das Bestätigungszertifikat?
Die Zertifikatdatei ist ein Zertifikat im X.509-Format mit einem eingebetteten öffentlichen Schlüssel. Der öffentliche Schlüssel kann DSA- oder RSA-Algorithmen verwenden. Anhand dieses Schlüssels verifiziert Google die Herkunft (stammt die SSO-Assertion von Ihnen?) und Integrität (wurde die Assertion während der Übertragung verändert?) der von Ihnen an uns gesendeten SAML-Antwort.
Dazu muss der im X.509-Zertifikat eingebettete öffentliche Schlüssel mit dem privaten Schlüssel übereinstimmen, mit dem Sie die SAML-Antwort signiert haben.
X509-Zertifikate können mit dem Befehl "openssl" erzeugt werden. Derzeit gibt es jedoch keine von uns empfohlene Vorgehensweise für Administratoren ohne vorhandenes Zertifikat. Weitere Informationen
Wie funktioniert das "Aussteller"-Element (d. h. die Entitäts-ID) in der SAML-Anforderung?
Der "Aussteller" ist in der SAML-Anfrage an den IdP (Identity Provider) enthalten. Sie können auswählen, ob ein Standardaussteller oder ein domain-spezifischer Aussteller genommen werden soll. Wenn mehrere Domains SSO mit demselben IdP-Aggregator verwenden, kann der IdP-Aggregator nach einem spezifischen Aussteller suchen, um den richtigen Domain-Namen für die SAML-Anforderung zu ermitteln. Wenn Sie das Kontrollkästchen zur Aktivierung eines domain-spezifischen Ausstellers nicht aktivieren, sendet Google den Standardaussteller (google.de) in der SAML-Anforderung. Wenn Sie das Kontrollkästchen zur Aktivierung dieser Funktion aktivieren, sendet Google einen für Ihre Domain spezifischen Aussteller (google.de/a/ihre_domain.com), wobei "ihre_domain.com" für den Namen Ihrer Domain steht.
Wie funktionieren Netzwerkmasken?
Netzwerkmasken sind IP-Adressen, die unter Verwendung der Spezifikation "Classless Inter-Domain Routing (CIDR)" dargestellt werden. Die CIDR-Spezifikation bestimmt, wie viele Bits der IP-Adresse angegeben werden sollen. Google ermittelt mithilfe von Netzwerkmasken, welche IP-Adressen oder IP-Adressbereiche mit der SSO-Funktion dargestellt werden.
Netzwerkmasken müssen das richtige Format einhalten. Nachstehend ein IPv6-Beispiel:
2001:db8::/32 (der Schrägstrich und die Nummer danach stehen für die CIDR)
In diesem Beispiel würden die letzten 96 Bit entfallen. Somit würden alle IP-Adressen berücksichtigt, die sich in diesem Netzwerkbereich befinden.
Nachstehend ein IPv4-Beispiel:
In diesem Beispiel würden die letzten acht Bit (d. h. die 0) entfallen. Somit würden alle IP-Adressen berücksichtigt, die sich im Bereich zwischen 64.233.187.0 und 64.233.187.255 befinden.
Ich habe eine oben nicht behandelte Frage.
Weitere Informationen sowie Antworten auf häufig gestellte Fragen erhalten Sie auf der Seite zu häufig gestellten Fragen zur Einmalanmeldung (SSO) oder in den Artikeln zur Einmalanmeldung (SSO).
Darüber hinaus bieten einige kommerzielle Produkte und Systemintegratoren SSO-Produkte und professionelle Services an. Durchsuchen Sie die professionellen Services auf Google Apps Marketplace nach Google Enterprise-Partnern und anderen Drittanbietern von Hilfe für SSO.
Unter Fehlerbehebung bei der Einmalanmeldung (SSO) finden Sie Informationen zum Beheben von häufig auftretenden Problemen bei der Integration von Google Apps mit SSO.
