Sie können die SSO bei Google als Dienstanbieter auf verschiedene Arten einrichten, je nach den Anforderungen Ihrer Organisation. SSO-Profile, die die Einstellungen für Ihren IdP enthalten, bieten Ihnen die Flexibilität, verschiedene SSO-Einstellungen auf verschiedene Nutzer in Ihrer Organisation anzuwenden.
Google Workspace unterstützt sowohl SAML-basierte als auch OIDC-basierte SSO-Protokolle:
Wenn sich alle Nutzer mit SAML über einen IdP anmelden:
- Folgen Sie der Anleitung unten unter SSO-Profil für Ihre Organisation konfigurieren.
- Wenn Sie bestimmte Nutzer von der Verwendung der Einmalanmeldung ausschließen möchten, sodass sie sich direkt bei Google anmelden müssen, folgen Sie der Anleitung unter Entscheiden, welche Nutzer die Einmalanmeldung (SSO) verwenden sollen. Dort können Sie "Keine" für das SSO-Profil zuweisen.
Wenn Sie mehrere IdPs für Ihre Nutzer verwenden oder OIDC verwenden:
Die folgenden Schritte hängen von dem Protokoll (SAML oder OIDC) ab, das von Ihrem IdP verwendet wird:
- SAML
- Führen Sie die folgenden Schritte für jeden IdP unter SSO-Profile erstellen aus.
- Legen Sie fest, welche Nutzer SSO verwenden sollen.
- OIDC
- Achten Sie darauf, dass Sie die folgenden Voraussetzungen für OIDC im Azure AD-Mandanten Ihrer Organisation konfiguriert haben:
- Der Azure AD-Mandant muss eine bestätigte Domain haben.
- Endnutzer müssen Microsoft 365-Lizenzen haben.
- Führen Sie die Schritte unter Entscheiden, welche Nutzer SSO verwenden sollen aus, um das vorkonfigurierte OIDC-Profil ausgewählten OEs/Gruppen zuzuweisen.
Hinweis: Die Google Cloud-Befehlszeile unterstützt derzeit keine erneute Authentifizierung mit OIDC.
- Achten Sie darauf, dass Sie die folgenden Voraussetzungen für OIDC im Azure AD-Mandanten Ihrer Organisation konfiguriert haben:
-
Wenn Sie Nutzer in einer OE haben (z. B. in einer untergeordneten OE), die keine SSO benötigt, können Sie die SSO für bestimmte Nutzer auch mithilfe von Zuweisungen deaktivieren.
Wenn Ihre Nutzer domainspezifische Dienst-URLs verwenden, um auf Google-Dienste zuzugreifen (z. B. https://mail.google.com/a/beispiel.de), können Sie auch verwalten, wie diese URLs mit der SSO funktionieren.
Hinweise
Zum Einrichten eines SAML-SSO-Profils benötigen Sie eine grundlegende Konfiguration über das Supportteam oder die Dokumentation des IdP.
- URL der Anmeldeseite Diese Seite wird auch als SSO-URL oder SAML 2.0-Endpunkt (HTTP) bezeichnet. Hier melden sich Nutzer bei Ihrem IdP an.
- URL für Abmeldeseite Die Seite, auf die der Nutzer gelangt, nachdem er die Google App oder den Google-Dienst verlassen hat.
- Zertifikat X.509 PEM-Zertifikat von Ihrem IdP. Weitere Informationen zu X.509-Zertifikaten finden Sie unter SAML-Schlüssel und Bestätigungszertifikat.
- Passwort-URL ändern Die Seite, auf der SSO-Nutzer ihr Passwort ändern, statt ihr Passwort mit Google zu ändern.
SSO-Profil für Ihre Organisation konfigurieren
Verwenden Sie diese Option, wenn alle Nutzer, die die SSO verwenden, einen einzigen IdP nutzen.
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü SicherheitAuthentifizierungSSO mit externem Identitätsanbieter.
- Klicken Sie unter Externes SSO-Profil für Ihre Organisation auf SSO-Profil hinzufügen.
- Klicken Sie auf das Kästchen Einmalanmeldung (SSO) mit externem Identitätsanbieter einrichten.
Geben Sie die folgenden Informationen zu Ihrem IdP ein:
- Geben Sie die URL der Anmeldeseite und die URL der Abmeldeseite für Ihren IdP ein.
Hinweis: Sie müssen alle URLs eingeben. Achten Sie außerdem darauf, immer HTTPS zu verwenden, z. B. https://sso.beispiel.de.
- Klicken Sie auf Zertifikat hochladen und suchen Sie das vom IdP bereitgestellte X.509-Zertifikat. Informationen zum Generieren eines Zertifikats finden Sie unter SAML-Schlüssel und Bestätigungszertifikat.
- Wählen Sie aus, ob ein domainspezifischer Aussteller in der SAML-Anfrage von Google verwendet werden soll.
Wenn Sie mehrere Domains haben, die die SSO mit Ihrem IdP verwenden, verwenden Sie einen domainspezifischen Aussteller, um die richtige Domain zu ermitteln, von der die SAML-Anfrage gesendet wurde.
- Angeklickt Google sendet einen Aussteller für Ihre Domain: google.com/a/beispiel.de (wobei beispiel.de Ihr primärer Google Workspace-Domainname ist).
- Nicht angeklickt Google sendet den Standardaussteller in der SAML-Anfrage: google.com
- Optional: Wenn Sie die SSO auf eine Gruppe von Nutzern in bestimmten IP-Adressbereichen anwenden möchten, geben Sie eine Netzwerkmaske ein. Weitere Informationen finden Sie unter Ergebnisse der Netzwerkzuordnung.
Hinweis: Sie können die teilweise SSO auch einrichten, indem Sie das SSO-Profil bestimmten Organisationseinheiten oder Gruppen zuweisen.
- Geben Sie eine URL zur Passwortänderung für Ihren IdP ein. Nutzer verwenden diese URL (statt die Google-Seite zum Ändern von Passwörtern), um ihr Passwort zurückzusetzen.
Hinweis: Wenn Sie hier eine URL eingeben, werden Nutzer zu dieser Seite weitergeleitet, auch wenn Sie die SSO für Ihre Organisation nicht aktiviert haben.
SSO für alle Nutzer deaktivieren
Wenn Sie die Drittanbieterauthentifizierung für alle Nutzer deaktivieren müssen, ohne die SSO-Profilzuweisung für OEs oder Gruppen zu ändern, können Sie das externe SSO-Profil deaktivieren:
- Entfernen Sie das Häkchen bei SSO mit externem Identitätsanbieter einrichten.
- Klicken Sie auf Speichern.
SAML-SSO-Profil erstellen
Führen Sie die folgenden Schritte aus, um ein externes SSO-Profil zu erstellen. Sie können bis zu 1.000 Profile in Ihrer Organisation erstellen.
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü SicherheitAuthentifizierungSSO mit externem Identitätsanbieter.
- Klicken Sie unter Externe SSO-Profile auf SAML-Profil hinzufügen.
- Geben Sie einen Namen für das Profil ein.
- Geben Sie die URL der Anmeldeseite und weitere Informationen zum IdP ein.
- Geben Sie eine URL zur Passwortänderung für Ihren IdP ein. Nutzer verwenden diese URL (statt die Google-Seite zum Ändern von Passwörtern), um ihr Passwort zurückzusetzen.
- Klicken Sie auf Zertifikat hochladen und suchen Sie die Zertifikatsdatei. Informationen zum Generieren eines Zertifikats finden Sie unter SAML-Schlüssel und Bestätigungszertifikat.
- Klicken Sie auf Speichern.
- Kopieren und speichern Sie im Abschnitt SP-Details die Entitäts-ID und die ACS-URL. Sie benötigen diese Werte, um die Einmalanmeldung (SSO) mit Google im Steuerfeld des IdP-Administrators zu konfigurieren.
- Optional: Wenn Ihr IdP die Verschlüsselung von Assertions unterstützt, können Sie ein Zertifikat generieren und für ihn freigeben, um die Verschlüsselung zu aktivieren. Jedes SAML-SSO-Profil kann bis zu zwei Dienstanbieter-Zertifikate haben.
- Klicken Sie auf den Bereich Details zum Dienstanbieter, um den Bearbeitungsmodus aufzurufen.
- Klicken Sie unter Zertifikat des Dienstanbieters auf Zertifikat generieren. Das Zertifikat wird nach dem Speichern angezeigt.
- Klicken Sie auf Speichern. Der Name, das Ablaufdatum und der Inhalt des Zertifikats werden angezeigt.
- Verwenden Sie die Schaltflächen über einem Zertifikat, um den Zertifikatinhalt zu kopieren oder als Datei herunterzuladen, und geben Sie das Zertifikat dann für Ihren IdP frei.
- Optional: Wenn Sie ein Zertifikat rotieren müssen, kehren Sie zu den Details des Dienstanbieters zurück und klicken Sie auf Weiteres Zertifikat generieren. Geben Sie dann das neue Zertifikat für Ihren IdP frei. Sobald Sie sicher sind, dass Ihr IdP das neue Zertifikat verwendet, können Sie das ursprüngliche Zertifikat löschen.
Legen Sie fest, welche Nutzer SSO verwenden sollen.
Aktivieren Sie die SSO für eine OE oder Gruppe, indem Sie ein SSO-Profil und den zugehörigen IdP zuweisen. Sie können sie auch deaktivieren, indem Sie für das SSO-Profil "Keine" zuweisen. Sie können auch eine gemischte SSO-Richtlinie in einer OE oder Gruppe anwenden. Beispiel: Sie aktivieren die SSO für eine OE als Ganzes und dann für eine Unter-OE.
- Klicken Sie auf SSO-Profilzuweisungen verwalten.
- Wenn Sie zum ersten Mal ein SSO-Profil zuweisen, klicken Sie auf "Jetzt starten". Klicken Sie andernfalls auf Verwalten.
- Wählen Sie links die Organisationseinheit oder Gruppe aus, der Sie das SSO-Profil zuweisen möchten.
- Wenn das zugewiesene SSO-Profil für eine OE oder Gruppe von dem abweicht, das domainweit zugewiesen ist, wird bei der Auswahl der OE oder Gruppe mit einer Warnung auf die Überschreibung hingewiesen.
- Das SSO-Profil kann nicht auf Nutzerbasis zugewiesen werden. In der Ansicht "Nutzer" können Sie die Einstellung für einen bestimmten Nutzer prüfen.
- Wählen Sie für die ausgewählte Organisationseinheit oder Gruppe eine SSO-Profilzuweisung aus:
- Wenn Sie die OE oder Gruppe aus der SSO ausschließen möchten, wählen Sie Keine aus. Nutzer in der OE oder Gruppe melden sich direkt mit Google an.
- Wenn Sie der OE oder Gruppe einen weiteren IdP zuweisen möchten, wählen Sie Anderes SSO-Profil und dann das SSO-Profil aus der Drop-down-Liste aus.
- Nur SAML-SSO-Profile: Wählen Sie nach der Auswahl eines SAML-Profils eine Anmeldeoption für Nutzer aus, die einen Google-Dienst direkt aufrufen, ohne sich zuerst beim externen IdP des SSO-Profils anzumelden. Sie können Nutzer dazu auffordern, ihren Google-Nutzernamen einzugeben und sie dann an den IdP weiterleiten, oder die Eingabe ihres Google-Nutzernamens und -Passworts erzwingen.
Hinweis: Wenn Sie festgelegt haben, dass Nutzer ihren Google-Nutzernamen und ihr Google-Passwort eingeben müssen, wird die Einstellung Passwort-URL ändern für dieses SAML-SSO-Profil (verfügbar unter SSO-Profil > IDP-Details) ignoriert. Dadurch wird sichergestellt, dass Nutzer ihre Google-Passwörter nach Bedarf ändern können.
- Nur Microsoft OIDC-SSO-Profil: Geben Sie das Passwort für Ihr Microsoft-Konto ein und klicken Sie auf Anmelden, um die Konfiguration zu überprüfen.
Als Administrator einer Azure AD-Organisation können Sie die Einwilligung im Namen der Organisation akzeptieren. Das bedeutet, dass Endnutzer nicht aufgefordert werden, Ihre OAuth-Zustimmung zu erteilen.
- Klicken Sie auf Speichern.
- Weisen Sie anderen Organisationseinheiten oder Gruppen nach Bedarf SSO-Profile zu.
Nachdem Sie die Karte SSO-Profilzuweisungen verwalten geschlossen haben, sehen Sie im Bereich SSO-Profilzuweisungen die aktualisierten Zuweisungen für OEs und Gruppen.
Zuweisung aus der Zuweisungsliste für das SSO-Profil entfernen
- Klicken Sie auf den Namen einer Gruppe oder Organisationseinheit, um die Einstellungen für die Profilzuweisung zu öffnen.
- Ersetzen Sie die vorhandene Zuweisungseinstellung durch die Einstellung der übergeordneten Organisationseinheit:
- Klicken Sie bei Zuweisungen von Organisationseinheiten auf Übernehmen.
- Klicken Sie bei Gruppenzuweisungen auf Aufheben.
- Legen Sie bei Zuweisungen von Stamm-OEs die Zuweisung auf Keine (oder Externes SSO-Profil der Organisation) fest, wenn Sie das externe SSO-Profil für Ihre Organisation verwenden möchten.
Domainspezifische Dienst-URLs verwalten
Mit der Einstellung Domainspezifische Dienst-URLs können Sie steuern, was passiert, wenn Nutzer sich mit Dienst-URLs wie https://mail.google.com/a/beispiel.de anmelden. Sie haben dafür zwei Optionen:
- Leiten Sie Nutzer an den externen IdP weiter. Wählen Sie diese Option aus, um diese Nutzer immer zum externen IdP weiterzuleiten, den Sie in der Drop-down-Liste für das SSO-Profil auswählen. Dies kann das SSO-Profil Ihrer Organisation oder ein anderes externes Profil (falls vorhanden) sein.
Wichtig: Wählen Sie diese Einstellung nicht aus, wenn Sie Organisationseinheiten oder Gruppen haben, die die Einmalanmeldung (SSO) nicht verwenden. Nutzer ohne SSO werden automatisch an den IdP weitergeleitet und können sich nicht anmelden.
- Nutzer müssen zuerst ihren Nutzernamen auf der Google-Anmeldeseite eingeben. Bei dieser Option werden Nutzer, die domainspezifische URLs eingeben, zuerst zur Google-Anmeldeseite weitergeleitet. SSO-Nutzer werden zur IdP-Anmeldeseite weitergeleitet.