SSO einrichten

Sie können die SSO bei Google als Dienstanbieter auf verschiedene Arten einrichten, je nach den Anforderungen Ihrer Organisation. Google Workspace unterstützt sowohl SAML-basierte als auch OIDC-basierte SSO. 

Wenn Ihre Nutzer domainspezifische Dienst-URLs verwenden, um auf Google-Dienste zuzugreifen (z. B. https://mail.google.com/a/beispiel.de), können Sie auch verwalten, wie diese URLs mit der SSO funktionieren.

Wenn Ihre Organisation eine bedingte SSO-Weiterleitung basierend auf der IP-Adresse oder SSO für Super Admins benötigt, können Sie auch das Legacy-SSO-Profil konfigurieren.

SSO mit SAML einrichten

Hinweis

Zum Einrichten eines SAML-SSO-Profils benötigen Sie eine grundlegende Konfiguration über das Supportteam oder die Dokumentation des IdP.

  • URL der Anmeldeseite  Diese Seite wird auch als SSO-URL oder SAML 2.0-Endpunkt (HTTP) bezeichnet. Hier melden sich Nutzer bei Ihrem IdP an.
  • URL für Abmeldeseite  Die Seite, auf die der Nutzer gelangt, nachdem er die Google App oder den Google-Dienst verlassen hat.
  • Passwort-URL ändern  Die Seite, auf der SSO-Nutzer ihr Passwort ändern, statt ihr Passwort mit Google zu ändern.
  • Zertifikat  X.509 PEM-Zertifikat von Ihrem IdP. Das Zertifikat enthält den öffentlichen Schlüssel, mit dem die Anmeldung über den Identitätsanbieter bestätigt wird.
Zertifikatsanforderungen
  • Das Zertifikat muss ein X.509-Zertifikat im PEM- oder DER-Format mit einem eingebetteten öffentlichen Schlüssel sein.
  • Der öffentliche Schlüssel muss mit dem DSA- oder RSA-Algorithmus erstellt werden.
  • Der öffentliche Schlüssel im Zertifikat muss mit dem privaten Schlüssel übereinstimmen, der zum Signieren der SAML-Antwort verwendet wurde.

Diese Zertifikate erhalten Sie in der Regel von Ihrem IdP. Sie können sie aber auch selbst generieren.

SAML-SSO-Profil erstellen

So erstellen Sie ein SSO-Profil eines Drittanbieters: Sie können bis zu 1.000 Profile in Ihrer Organisation erstellen.

  1. Melden Sie sich mit einem Administratorkonto in Google Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Zum Menü und dann Sicherheit > Authentifizierung > SSO mit externem Identitätsanbieter.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  3. Klicken Sie unter Externe SSO-Profile auf SAML-Profil hinzufügen.
  4. Geben Sie einen Namen für das Profil ein.
  5. Optional: Wenn Sie eine XML-Metadatendatei von Ihrem IdP haben, klicken Sie auf „XML-Datei hochladen“, um IdP-Informationen anzugeben, und fahren Sie mit Schritt 8 fort.
  6. Geben Sie die URL der Anmeldeseite und weitere Informationen zum IdP ein.
  7. Geben Sie eine URL zur Passwortänderung für Ihren IdP ein. Nutzer verwenden diese URL (statt die Google-Seite zum Ändern von Passwörtern), um ihr Passwort zurückzusetzen.
  8. Klicken Sie auf Zertifikat hochladen, um die Zertifikatsdatei hochzuladen.

    Sie können bis zu zwei Zertifikate hochladen und bei Bedarf Zertifikate rotieren.

  9. Klicken Sie auf Speichern.
  10. Kopieren und speichern Sie im Abschnitt SP-Details die Entitäts-ID und die ACS-URL. Sie benötigen diese Werte, um die Einmalanmeldung (SSO) mit Google im Steuerfeld des IdP-Administrators zu konfigurieren.
  11. Optional: Wenn Ihr IdP die Verschlüsselung von Assertions unterstützt, können Sie ein Zertifikat generieren und für ihn freigeben, um die Verschlüsselung zu aktivieren. Jedes SAML-SSO-Profil kann bis zu zwei Dienstanbieterzertifikate haben.
    1. Klicken Sie auf den Bereich Details zum Dienstanbieter, um den Bearbeitungsmodus aufzurufen.
    2. Klicken Sie unter Zertifikat des Dienstanbieters auf Zertifikat generieren. Das Zertifikat wird angezeigt, nachdem Sie es gespeichert haben.
    3. Klicken Sie auf Speichern. Der Zertifikatsname, das Ablaufdatum und der Inhalt werden angezeigt.
    4. Verwenden Sie die Schaltflächen über einem Zertifikat, um den Zertifikatinhalt zu kopieren oder als Datei herunterzuladen, und geben Sie das Zertifikat dann für Ihren IdP frei. 
    5. Optional: Wenn Sie ein Zertifikat rotieren müssen, kehren Sie zu den Details des Dienstanbieters zurück und klicken Sie auf Weiteres Zertifikat generieren. Geben Sie dann das neue Zertifikat für Ihren IdP frei. Sobald Sie sicher sind, dass Ihr IdP das neue Zertifikat verwendet, können Sie das ursprüngliche Zertifikat löschen.

IdP konfigurieren

Wenn Sie Ihren IdP für die Verwendung dieses SSO-Profils konfigurieren möchten, geben Sie die Informationen aus dem Abschnitt Details zum Dienstanbieter (SP) des Profils in die entsprechenden Felder in den SSO-Einstellungen Ihres IdP ein. Sowohl die ACS-URL als auch die Entitäts-ID sind für dieses Profil eindeutig.

Legacy-SSO-Profil konfigurieren

Das Legacy-SSO-Profil wird für Nutzer unterstützt, die noch nicht zu SSO-Profilen migriert sind. Es wird nur die Verwendung mit einem einzelnen Identitätsanbieter unterstützt.

  1. Melden Sie sich mit einem Administratorkonto in Google Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Zum Menü und dann Sicherheit > Authentifizierung > SSO mit externem Identitätsanbieter.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  3. Klicken Sie unter Externe SSO-Profile auf SAML-Profil hinzufügen.
  4. Klicken Sie unten auf der Seite IdP-Details auf Zu den Einstellungen für das Legacy-SSO-Profil.
  5. Klicken Sie auf der Seite Legacy-SSO-Profil auf das Kästchen SSO mit externem Identitätsanbieter aktivieren.
  6. Geben Sie die folgenden Informationen für Ihren IdP ein:
    • Geben Sie die URL der Anmeldeseite und die URL der Abmeldeseite für Ihren IdP ein.

      Hinweis: Sie müssen alle URLs eingeben. Achten Sie außerdem darauf, immer HTTPS zu verwenden, z. B. https://sso.beispiel.de.

    • Klicken Sie auf Zertifikat hochladen und suchen Sie das vom IdP bereitgestellte X.509-Zertifikat. Weitere Informationen finden Sie unter Anforderungen an Zertifikate.
    • Wählen Sie aus, ob ein domainspezifischer Aussteller in der SAML-Anfrage von Google verwendet werden soll.

      Wenn Sie mehrere Domains haben, die die SSO mit Ihrem IdP verwenden, verwenden Sie einen domainspezifischen Aussteller, um die richtige Domain zu ermitteln, von der die SAML-Anfrage gesendet wurde.

      • Angeklickt  Google sendet einen Aussteller für Ihre Domain: google.com/a/beispiel.de (wobei example.com Ihr primärer Google Workspace-Domainname ist).
      • Nicht angeklickt  Google sendet den Standardaussteller in der SAML-Anfrage: google.com
    • Optional: Wenn Sie die SSO auf eine Gruppe von Nutzern in bestimmten IP-Adressbereichen anwenden möchten, geben Sie eine Netzwerkmaske ein. Weitere Informationen finden Sie unter Ergebnisse der Netzwerkzuordnung.

      Hinweis: Sie können die teilweise SSO auch einrichten, indem Sie das SSO-Profil bestimmten Organisationseinheiten oder Gruppen zuweisen.

    • Geben Sie eine URL zur Passwortänderung für Ihren IdP ein. Nutzer verwenden diese URL (statt die Google-Seite zum Ändern von Passwörtern), um ihr Passwort zurückzusetzen.

      Hinweis: Wenn Sie hier eine URL eingeben, werden Nutzer zu dieser Seite weitergeleitet, auch wenn Sie die SSO für Ihre Organisation nicht aktiviert haben.

  7. Klicken Sie auf Speichern.

Nach dem Speichern wird das Legacy-SSO-Profil in der Tabelle SSO-Profile aufgeführt.

IdP konfigurieren

Wenn Sie Ihren IdP für die Verwendung dieses SSO-Profils konfigurieren möchten, geben Sie die Informationen aus dem Abschnitt „Details zum Dienstanbieter“ des Profils in die entsprechenden Felder in den SSO-Einstellungen des IdP ein. Sowohl die ACS-URL als auch die Entitäts-ID sind für dieses Profil eindeutig.

  Format
ACS-URL https://accounts.google.com/a/{domain.com}/acs
Dabei ist {domain.com} der Workspace-Domainname Ihrer Organisation.
Entitäts-ID Eine der folgenden:
  • google.com
  • google.com/a/customerprimarydomain (wenn Sie beim Konfigurieren des alten Profils einen domainspezifischen Aussteller verwenden)

 

Legacy-SSO-Profil deaktivieren

  1. Klicken Sie in der Liste Externe SSO-Profile auf Legacy-SSO-Profil.
  2. Entfernen Sie in den Einstellungen für das Legacy-SSO-Profil das Häkchen bei SSO mit externem Identitätsanbieter aktivieren.
  3. Bestätigen Sie, dass Sie fortfahren möchten, und klicken Sie dann auf Speichern.

In der Liste SSO-Profile wird das Legacy-SSO-Profil jetzt als Deaktiviert angezeigt.

  • Bei Organisationseinheiten, denen das Legacy-SSO-Profil zugewiesen ist, wird in der Spalte Zugewiesenes Profil eine Benachrichtigung angezeigt.
  • Für die oberste Organisationseinheit wird in der Spalte Zugewiesenes Profil Kein angezeigt.
  • Unter SSO-Profilzuweisungen verwalten wird das Legacy-SSO-Profil als inaktiv angezeigt.

Von Legacy-SAML zu SSO-Profilen migrieren

Wenn Ihre Organisation das Legacy-SSO-Profil verwendet, empfehlen wir die Migration zu SSO-Profilen. Diese bieten mehrere Vorteile, darunter OIDC-Unterstützung, modernere APIs und mehr Flexibilität bei der Anwendung von SSO-Einstellungen auf Ihre Nutzergruppen. Weitere Informationen

SSO mit OIDC einrichten

So verwenden Sie OIDC-basierte SSO:

  1. Wählen Sie eine OIDC-Option aus: Erstellen Sie ein benutzerdefiniertes OIDC-Profil, in dem Sie Informationen für Ihren OIDC-Partner angeben, oder verwenden Sie das vorkonfigurierte Microsoft Entra-OIDC-Profil.
  2. Führen Sie die Schritte unter Entscheiden, welche Nutzer SSO verwenden sollen aus, um das vorkonfigurierte OIDC-Profil ausgewählten Organisationseinheiten/Gruppen zuzuweisen.

Wenn Sie Nutzer in einer Organisationseinheit (z. B. in einer untergeordneten Organisationseinheit) haben, die keine SSO benötigt, können Sie die SSO für bestimmte Nutzer auch mithilfe von Zuweisungen deaktivieren.

Hinweis: Die Google Cloud-Befehlszeile unterstützt derzeit keine erneute Authentifizierung mit OIDC.

Hinweis

Zum Einrichten eines benutzerdefinierten OIDC-Profils benötigen Sie eine grundlegende Konfiguration über das Supportteam oder die Dokumentation des IdP.

  • Aussteller-URL: Die vollständige URL des Autorisierungsservers des Identitätsanbieters.
  • Ein OAuth-Client, der anhand seiner Client-ID identifiziert und mit einem Clientschlüssel authentifiziert wird.
  • Passwort-URL ändern  Die Seite, auf der SSO-Nutzer ihr Passwort ändern, statt ihr Passwort mit Google zu ändern. 

Außerdem muss Ihr IdP Folgendes tun:

  • Der Anspruch email von Ihrem Identitätsanbieter muss mit der primären E-Mail-Adresse des Nutzers auf Google-Seite übereinstimmen. 
  • Es muss der Autorisierungscode-Vorgang verwendet werden.

Benutzerdefiniertes OIDC-Profil erstellen

  1. Melden Sie sich mit einem Administratorkonto in Google Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Zum Menü und dann Sicherheit > Authentifizierung > SSO mit externem Identitätsanbieter.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  3. Klicken Sie unter Externe SSO-Profile auf OIDC-Profil hinzufügen.
  4. Geben Sie einen Namen für das OIDC-Profil ein.
  5. Geben Sie die OIDC-Details ein: Client-ID, Aussteller-URL und Clientschlüssel.
  6. Klicken Sie auf Speichern.
  7. Kopieren Sie auf der Seite „OIDC-SSO-Einstellungen“ für das neue Profil den Weiterleitungs-URI. Sie müssen Ihren OAuth-Client bei Ihrem IdP aktualisieren, um Anfragen mit diesem URI zu beantworten.

Wenn Sie die Einstellungen bearbeiten möchten, bewegen Sie den Mauszeiger auf OIDC-Details und klicken Sie dann auf „Bearbeiten“ .

Microsoft Entra OIDC-Profil verwenden

Achten Sie darauf, dass Sie die folgenden Voraussetzungen für OIDC im Microsoft Entra ID-Mandanten Ihrer Organisation konfiguriert haben:

  • Der Microsoft Entra ID-Mandant muss eine bestätigte Domain haben.
  • Endnutzer müssen Microsoft 365-Lizenzen haben.
  • Der Nutzername (primäre E-Mail-Adresse) des Google Workspace-Administrators, der das SSO-Profil zuweist, muss mit der primären E-Mail-Adresse des Azure AD-Administratorkontos Ihres Mandanten übereinstimmen.

Legen Sie fest, welche Nutzer SSO verwenden sollen.

Aktivieren Sie die SSO für eine Organisationseinheit oder Gruppe, indem Sie ein SSO-Profil und den zugehörigen IdP zuweisen. Sie können sie auch deaktivieren, indem Sie für das SSO-Profil "Keine" zuweisen. Sie können auch eine gemischte SSO-Richtlinie in einer Organisationseinheit oder Gruppe anwenden. Beispiel: Sie aktivieren die SSO für eine Organisationseinheit als Ganzes und dann für eine untergeordnete Organisationseinheit. 

Wenn Sie noch kein Profil erstellt haben, tun Sie dies, bevor Sie fortfahren. Sie können auch das vorkonfigurierte OIDC-Profil zuweisen. 

  1. Klicken Sie auf SSO-Profilzuweisungen verwalten.
  2. Wenn Sie zum ersten Mal ein SSO-Profil zuweisen, klicken Sie auf "Jetzt starten". Klicken Sie andernfalls auf Aufgaben verwalten.
  3. Wählen Sie links die Organisationseinheit oder Gruppe aus, der Sie das SSO-Profil zuweisen möchten.
    • Wenn die SSO-Profilzuweisung für eine Organisationseinheit oder Gruppe von der domainweiten Profilzuweisung abweicht, wird bei der Auswahl der Organisationseinheit oder Gruppe mit einer Warnung auf die Überschreibung hingewiesen.
    • Das SSO-Profil kann nicht auf Nutzerbasis zugewiesen werden. In der Ansicht "Nutzer" können Sie die Einstellung für einen bestimmten Nutzer prüfen.
  4. Wählen Sie für die ausgewählte Organisationseinheit oder Gruppe eine SSO-Profilzuweisung aus:
    • Wenn Sie die Organisationseinheit oder Gruppe aus der SSO ausschließen möchten, wählen Sie Keine aus. Nutzer in der Organisationseinheit oder Gruppe melden sich direkt mit Google an.
    • Wenn Sie der Organisationseinheit oder Gruppe einen weiteren IdP zuweisen möchten, wählen Sie Anderes SSO-Profil und dann das SSO-Profil aus der Drop-down-Liste aus.
  5. Nur SAML-SSO-Profile: Wählen Sie nach der Auswahl eines SAML-Profils eine Anmeldeoption für Nutzer aus, die einen Google-Dienst direkt aufrufen, ohne sich zuerst beim externen IdP des SSO-Profils anzumelden. Sie können Nutzer dazu auffordern, ihren Google-Nutzernamen einzugeben und sie dann an den IdP weiterleiten, oder die Eingabe ihres Google-Nutzernamens und -Passworts erzwingen. 

    Hinweis: Wenn Sie festgelegt haben, dass Nutzer ihren Google-Nutzernamen und ihr Google-Passwort eingeben müssen, wird die Einstellung Passwort-URL ändern für dieses SAML-SSO-Profil (verfügbar unter SSO-Profil > IDP-Details) ignoriert. So können Nutzer ihre Google-Passwörter bei Bedarf ändern.

  6. Klicken Sie auf Speichern.
  7. Optional: Weisen Sie anderen Organisationseinheiten oder Gruppen nach Bedarf SSO-Profile zu.

Nachdem Sie die Kachel SSO-Profilzuweisungen verwalten geschlossen haben, sehen Sie im Bereich SSO-Profilzuweisungen die aktualisierten Zuweisungen für Organisationseinheiten und Gruppen. 

SSO-Profilzuweisung entfernen

  1. Klicken Sie auf den Namen einer Gruppe oder Organisationseinheit, um die Einstellungen für die Profilzuweisung zu öffnen.
  2. Ersetzen Sie die vorhandene Zuweisungseinstellung durch die Einstellung der übergeordneten Organisationseinheit:
    • Für Zuweisungen zu Organisationseinheiten: Klicken Sie auf Übernehmen.
    • Bei Gruppenzuweisungen: Klicken Sie auf Aufheben.  

Hinweis: Ihre oberste Organisationseinheit ist immer in der Liste der Profilzuweisungen enthalten, auch wenn das Profil auf „Kein“ gesetzt ist.

Weitere Informationen


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.

 

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
302036186660892114
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false
false