Configurare il servizio SSO per l'organizzazione

Puoi configurare il servizio SSO con Google come fornitore di servizi in diversi modi, a seconda delle esigenze della tua organizzazione. I profili SSO, che contengono le impostazioni dell'IdP, ti offrono la flessibilità di applicare impostazioni SSO differenti ai diversi utenti della tua organizzazione.

Google Workspace supporta i protocolli SSO basati sia su SAML che su OIDC:

Se tutti i tuoi utenti accederanno tramite un IdP mediante SAML:

  1. Segui i passaggi riportati più avanti in Configurare il profilo SSO per l'organizzazione.
  2. Se vuoi impedire ad alcuni utenti di utilizzare SSO (e permettere loro di accedere direttamente a Google), segui i passaggi descritti in Decidere quali utenti devono utilizzare il servizio SSO, in cui hai la possibilità di assegnare "Nessuno" per il profilo SSO. 

Se utilizzi più IdP per i tuoi utenti o utilizzi OIDC

I passaggi da seguire dipendono dal protocollo utilizzato dall'IdP (SAML o OIDC):

Se gli utenti utilizzano URL di servizio specifici del dominio per accedere ai servizi Google (ad esempio, https://mail.google.com/a/example.com), puoi anche gestire il modo in cui funzionano questi URL con il servizio SSO.

Prima di iniziare

Per configurare un profilo SSO SAML, avrai bisogno di una configurazione di base fornita dal team di assistenza o della documentazione dell'IdP:

  • URL pagina di accesso: noto anche come URL SSO o SAML 2.0 Endpoint (HTTP). È qui che gli utenti accedono al tuo IdP.
  • URL pagina di uscita: la posizione dell'utente dopo l'uscita dall'app o dal servizio Google.
  • Certificato: certificato X.509 PEM fornito dal tuo IdP. Per ulteriori informazioni sui certificati X.509, vedi Certificato di verifica e chiave SAML.
  • URL di modifica della password: la pagina in cui gli utenti SSO potranno cambiare la password (anziché cambiarla con Google).

Configurare il profilo SSO per l'organizzazione

Scegli questa opzione se tutti gli utenti che utilizzano SSO useranno un IdP. 

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Sicurezzae poiAutenticazionee poiSSO con IdP terzo.
  3. In Profilo SSO di terze parti per la tua organizzazione, fai clic su Aggiungi profilo SSO.
  4. Seleziona la casella Configura SSO con provider di identità di terze parti.

Inserisci le seguenti informazioni per il tuo IdP:

  • Inserisci l'URL della pagina di accesso e l'URL della pagina di uscita per il tuo IdP.

    Nota: è necessario inserire tutti gli URL. Gli URL devono utilizzare il protocollo HTTPS, ad esempio https://sso.example.com.

  • Fai clic su Carica certificato e individua e carica il certificato X.509 fornito dall'IdP. Per informazioni sulla generazione di un certificato, consulta la sezione Chiave e certificato di verifica SAML.
  • Scegli se utilizzare un emittente specifico per il dominio nella richiesta SAML di Google.

    Se hai più domini che usano SSO con il tuo IdP, utilizza un emittente specifico del dominio per identificare il dominio corretto che emette la richiesta SAML.

    • Opzione selezionata: Google invia un emittente specifico per il tuo dominio, google.com/a/example.com (doveexample.com è il tuo nome di dominio principale di Google Workspace)
    • Opzione deselezionata: Google invia l'emittente standard nella richiesta SAML: google.com
  • (Facoltativo) Per applicare il servizio SSO a un insieme di utenti in intervalli di indirizzi IP specifici, inserisci una maschera di rete. Per ulteriori informazioni, vedi Risultati della mappatura della rete.

    Nota: puoi configurare il servizio SSO parziale anche assegnando il profilo SSO a unità organizzative o gruppi specifici.

  • Inserisci un URL per la modifica della password per l'IdP. Per reimpostare le password, gli utenti accederanno a questo URL anziché alla pagina di modifica della password di Google.

    Nota: se inserisci un URL qui, gli utenti vengono indirizzati a questa pagina anche se non attivi SSO per la tua organizzazione.

Disattivare il servizio SSO per tutti gli utenti

Se devi disattivare l'autenticazione di terze parti per tutti gli utenti senza modificare l'assegnazione del profilo SSO per le unità organizzative o i gruppi, puoi disattivare il profilo SSO di terze parti:

  1. Deseleziona Configura SSO con provider di identità di terze parti.
  2. Fai clic su Salva.

Creare un profilo SSO SAML

Segui questi passaggi per creare un profilo SSO di terze parti. Puoi creare fino a 1000 profili nella tua organizzazione.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Sicurezzae poiAutenticazionee poiSSO con IdP terzo.
  3. Nella sezione Profili SSO di terze parti, fai clic su Aggiungi profilo SAML.
  4. Assegna un nome al profilo.
  5. Inserisci l'URL della pagina di accesso e le altre informazioni ottenute dall'IdP.
  6. Inserisci un URL per la modifica della password per l'IdP. Per reimpostare le password, gli utenti accederanno a questo URL anziché alla pagina di modifica della password di Google.
  7. Fai clic su Carica certificato, quindi individua e carica il file del certificato. Per informazioni sulla generazione di un certificato, consulta la sezione Chiave e certificato di verifica SAML.
  8. Fai clic su Salva.
  9. Nella sezione Dettagli del fornitore di servizi, copia e salva i valori ID entità e URL ACS. Questi valori sono necessari per configurare il servizio SSO con Google nel pannello di controllo dell'amministratore dell'IdP.
  10. (Facoltativo) Se l'IdP supporta le asserzioni di crittografia, puoi generare e condividere un certificato con l'IdP per attivare la crittografia. Ogni profilo SSO SAML può avere fino a 2 certificati SP.
    1. Fai clic sulla sezione Dettagli fornitore di servizi per accedere alla modalità di modifica.
    2. In Certificato SP, fai clic su Genera certificato. Il certificato verrà visualizzato dopo il salvataggio.
    3. Fai clic su Salva. Vengono visualizzati il nome, la data di scadenza e il contenuto del certificato.
    4. Utilizza i pulsanti sopra un certificato per copiarne i contenuti o scaricarlo come file, quindi condividi il certificato con il tuo IdP. 
    5. (Facoltativo) Se devi eseguire la rotazione di un certificato, torna ai dettagli del fornitore di servizi e fai clic su Genera un altro certificato, quindi condividi il nuovo certificato con l'IdP. Quando hai la certezza che l'IdP utilizzi il nuovo certificato, puoi eliminare il certificato originale.

Decidere quali utenti devono utilizzare il servizio SSO

Attiva il servizio SSO per un'unità organizzativa o un gruppo assegnando un profilo SSO e l'IdP associato. In alternativa, disattiva SSO assegnando "Nessuno" al profilo SSO. Puoi anche applicare un criterio SSO misto all'interno di un'unità organizzativa o di un gruppo, ad esempio attivando SSO per l'intera unità organizzativa e poi disattivandolo per un'unità organizzativa secondaria. 

  1. Fai clic su Gestisci assegnazioni di profili SSO.
  2. Se è la prima volta che assegni il profilo SSO, fai clic su Inizia. In caso contrario, fai clic su Gestisci.
  3. A sinistra, seleziona l'unità organizzativa o il gruppo a cui vuoi assegnare il profilo SSO.
    • Se l'assegnazione del profilo SSO per un'unità organizzativa o un gruppo è diversa da quella per l'intero dominio, verrà visualizzato un avviso di override quando selezioni l'unità organizzativa o il gruppo.
    • Non puoi assegnare il profilo SSO a livello di singolo utente. La visualizzazione Utenti consente di controllare l'impostazione per un utente specifico.
  4. Scegli un'assegnazione del profilo SSO per l'unità organizzativa o il gruppo selezionati:
    • Per escludere l'unità organizzativa o il gruppo dal servizio SSO, scegli Nessuno. Gli utenti dell'unità organizzativa o del gruppo accederanno direttamente con Google.
    • Per assegnare un altro IdP all'unità organizzativa o al gruppo, scegli Un altro profilo SSO, quindi seleziona il profilo SSO dall'elenco a discesa.
  5. (Solo profili SSO con SAML) Dopo aver selezionato un profilo SAML, scegli un'opzione di accesso per gli utenti che vanno direttamente a un servizio Google senza prima accedere all'IdP di terze parti del profilo SSO. Puoi chiedere agli utenti di inserire il proprio nome utente Google e poi di reindirizzarli all'IdP oppure richiedere agli utenti di inserire il nome utente e la password di Google. 

    Nota: se scegli di richiedere agli utenti di inserire il nome utente e la password di Google, l'impostazione URL per la modifica della password per questo profilo SSO SAML (disponibile in Profilo SSO > Dettagli dell'IdP) viene ignorata. In questo modo gli utenti possono modificare le proprie password di Google in base alle loro esigenze.

  6. (Solo profilo SSO con Microsoft OIDC) Inserisci la password dell'account Microsoft e fai clic su Accedi per verificare la configurazione del servizio SSO Microsoft.

    Se sei un amministratore dell'organizzazione Azure AD, puoi accettare il consenso per conto dell'organizzazione. Questo significa che agli utenti finali non verrà chiesto di fornire il consenso OAuth.

  7. Fai clic su Salva.
  8. Assegna i profili SSO ad altre UO o a gruppi in base alle esigenze.

Dopo aver chiuso la scheda Gestisci assegnazione di profili SSO, vedrai le assegnazioni aggiornate per le unità organizzative e i gruppi nella sezione Gestisci assegnazione di profili SSO

Rimuovere un'assegnazione dall'elenco di assegnazione dei profili SSO

  1. Fai clic sul nome di un gruppo o di un'unità organizzativa per aprire le relative impostazioni di assegnazione del profilo.
  2. Sostituisci l'impostazione di assegnazione esistente con l'impostazione dell'unità organizzativa principale:
    • Per le assegnazioni di unità organizzative, fai clic su Eredita.
    • Per le assegnazioni di gruppo: fai clic su Annulla impostazioni.  
    • Per le assegnazioni dell'unità organizzativa principale, imposta l'assegnazione su Nessuna (o su Profilo SSO di terze parti dell'organizzazione) se vuoi utilizzare il profilo SSO di terze parti per la tua organizzazione.

Gestire gli URL di servizio specifici del dominio

L'impostazione URL di servizio specifici del dominio consente di controllare cosa accade quando gli utenti accedono utilizzando URL di servizio come https://mail.google.com/a/example.com. Le opzioni disponibili sono due:

  • Reindirizza gli utenti all'IdP di terze parti. Scegli questa opzione per indirizzare sempre questi utenti all'IdP di terze parti che hai selezionato nell'elenco a discesa del profilo SSO. Può essere il profilo SSO della tua organizzazione o un altro profilo di terze parti (se ne hai aggiunto uno).

    Importante: se hai unità organizzative o gruppi che non utilizzano SSO, non scegliere questa impostazione. Gli utenti non SSO verranno indirizzati automaticamente all'IdP e non potranno accedere.

  • Richiedi agli utenti di inserire il loro nome utente nella pagina di accesso di Google. Con questa opzione, gli utenti che inseriscono URL specifici del dominio vengono reindirizzati prima alla pagina di accesso di Google. Se sono utenti SSO, vengono reindirizzati alla pagina di accesso dell'IdP.

Vedi anche

Accedere mediante Single Sign-On (SSO)

Risolvere i problemi relativi al Single Sign-On (SSO)

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
12613030156584487921
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false