Configurazione del servizio SSO

Puoi configurare il servizio SSO con Google come fornitore di servizi in diversi modi, a seconda delle esigenze della tua organizzazione. Google Workspace supporta i protocolli SSO basati sia su SAML che su OIDC. 

Se gli utenti utilizzano URL di servizio specifici del dominio per accedere ai servizi Google (ad esempio, https://mail.google.com/a/example.com), puoi anche gestire il modo in cui funzionano questi URL con il servizio SSO.

Se la tua organizzazione ha bisogno del reindirizzamento SSO condizionale in base all'indirizzo IP o dell'SSO per i super amministratori, hai anche la possibilità di configurare il profilo SSO legacy.

Configurare l'SSO con SAML

Prima di iniziare

Per configurare un profilo SSO SAML, avrai bisogno di una configurazione di base fornita dal team di assistenza o della documentazione dell'IdP:

  • ID entità IdP: in questo modo l'IdP si identifica quando comunica con Google.
  • URL pagina di accesso: noto anche come URL SSO o SAML 2.0 Endpoint (HTTP). È qui che gli utenti accedono al tuo IdP.
  • URL pagina di uscita: la pagina a cui viene indirizzato l'utente dopo l'uscita dall'app o dal servizio Google.
  • URL di modifica della password: la pagina in cui gli utenti SSO potranno cambiare la password (anziché cambiarla con Google).
  • Certificato: certificato X.509 PEM fornito dal tuo IdP. Il certificato contiene la chiave pubblica che verifica l'accesso dall'IdP.
Requisiti di certificato
  • Il certificato deve essere un certificato X.509 in formato PEM o DER con una chiave pubblica incorporata.
  • La chiave pubblica deve essere stata generata con gli algoritmi DSA o RSA.
  • La chiave pubblica nel certificato deve corrispondere alla chiave privata utilizzata per firmare la risposta SAML.

In genere, ricevi questi certificati dal tuo IdP. Tuttavia, puoi anche generarli autonomamente.

Creare un profilo SSO SAML

Segui questi passaggi per creare un profilo SSO di terze parti. Puoi creare fino a 1000 profili nella tua organizzazione.

  1. Accedi a Console di amministrazione Google con un account amministratore.

    Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

  2. Vai a Menu e poi Sicurezza > Autenticazione > SSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  3. Nella sezione Profili SSO di terze parti, fai clic su Aggiungi profilo SAML.
  4. In Profilo SSO SAML, inserisci un nome per il profilo.
  5. (Facoltativo) Per Compilazione automatica email, seleziona l'opzione che corrisponde al formato dei suggerimenti di accesso supportato dal tuo IdP. Per maggiori dettagli, vedi Utilizzare la compilazione automatica dell'email per semplificare gli accessi SSO.
  6. Nella sezione Dettagli IdP , completa i seguenti passaggi:
    1. Inserisci l'ID entità IdP, l'URL della pagina di accesso e l'URL della pagina di uscita che hai ottenuto dal tuo IdP.
    2. In URL per la modifica della password, inserisci un URL per la modifica della password per l'IdP.
      Gli utenti accederanno a questo URL per reimpostare le password.
  7. Fai clic su Carica certificato.

    Puoi caricare fino a due certificati, dandoti la possibilità di ruotarli quando necessario.

  8. Fai clic su Salva.
  9. Nella sezione Dettagli del fornitore di servizi, copia e salva i valori ID entità e URL ACS.
    Questi valori sono necessari per configurare il servizio SSO con Google nel pannello di controllo dell'amministratore dell'IdP.
  10. (Facoltativo) Se il tuo IdP supporta la crittografia delle asserzioni, puoi generare e condividere un certificato con l'IdP per attivare la crittografia. Ogni profilo SSO SAML può avere fino a due certificati SP.
    1. Fai clic sulla sezione Dettagli fornitore di servizi per accedere alla modalità di modifica.
    2. In Certificato SP, fai clic su Genera certificato
    3. Fai clic su Salva.
      Copia i contenuti del certificato o scaricalo come file.
    4. Condividi il certificato con il tuo IdP. 
    5. (Facoltativo) Per eseguire la rotazione di un certificato, torna a Dettagli SP e fai clic su Genera un altro certificato, quindi condividi il nuovo certificato con il tuo IdP. Quando avrai la certezza che il tuo IdP utilizza il nuovo certificato, elimina quello originale.

Configura il tuo IdP

Per configurare l'IdP in modo che utilizzi questo profilo SSO, inserisci le informazioni della sezione Dettagli del fornitore di servizi (SP) del profilo nei campi appropriati delle impostazioni SSO dell'IdP. Sia l'URL ACS che l'ID entità sono univoci per questo profilo.

Configurare il profilo SSO legacy

Il profilo SSO legacy è supportato per gli utenti che non hanno eseguito la migrazione ai profili SSO. Supporta solo l'utilizzo con un singolo IdP.

  1. Accedi a Console di amministrazione Google con un account amministratore.

    Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

  2. Vai a Menu e poi Sicurezza > Autenticazione > SSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  3. Nella sezione Profili SSO di terze parti, fai clic su Aggiungi profilo SAML.
  4. Nella parte inferiore della pagina Dettagli IdP, fai clic su Vai alle impostazioni del profilo SSO legacy.
  5. Nella pagina Profilo SSO legacy, seleziona la casella Attiva SSO con provider di identità di terze parti.
  6. Inserisci le seguenti informazioni per il tuo IdP:
    • Inserisci l'URL della pagina di accesso e l'URL della pagina di uscita per il tuo IdP.

      Nota: è necessario inserire tutti gli URL. Gli URL devono utilizzare il protocollo HTTPS, ad esempio https://sso.example.com.

    • Fai clic su Carica certificato e individua e carica il certificato X.509 fornito dall'IdP. Per maggiori informazioni, consulta la sezione Requisiti dei certificati.
    • Scegli se utilizzare un emittente specifico per il dominio nella richiesta SAML di Google.

      Se hai più domini che usano SSO con il tuo IdP, utilizza un emittente specifico del dominio per identificare il dominio corretto che emette la richiesta SAML.

      • Opzione selezionata: Google invia un emittente specifico per il tuo dominio, google.com/a/example.com (doveexample.com è il tuo nome di dominio principale di Google Workspace)
      • Opzione deselezionata: Google invia l'emittente standard nella richiesta SAML: google.com
    • (Facoltativo) Per applicare il servizio SSO a un insieme di utenti in intervalli di indirizzi IP specifici, inserisci una maschera di rete. Per ulteriori informazioni, vedi Risultati della mappatura della rete.

      Nota: puoi configurare il servizio SSO parziale anche assegnando il profilo SSO a unità organizzative o gruppi specifici.

    • Inserisci un URL per la modifica della password per l'IdP. Per reimpostare le password, gli utenti accederanno a questo URL anziché alla pagina di modifica della password di Google.

      Nota: se inserisci un URL qui, gli utenti vengono indirizzati a questa pagina anche se non attivi SSO per la tua organizzazione.

  7. Fai clic su Salva.

Dopo il salvataggio, il profilo SSO legacy viene elencato nella tabella Profili SSO.

Configura il tuo IdP

Per configurare l'IdP in modo che utilizzi questo profilo SSO, inserisci le informazioni della sezione Dettagli del fornitore di servizi (SP) del profilo nei campi appropriati delle impostazioni SSO dell'IdP. Sia l'URL ACS che l'ID entità sono univoci per questo profilo.

  Formato
URL ACS https://accounts.google.com/a/{domain.com}/acs
Dove {domain.com} è il nome di dominio Workspace della tua organizzazione
ID entità Uno dei seguenti:
  • google.com
  • google.com/a/customerprimarydomain (se scegli di utilizzare un emittente specifico per il dominio durante la configurazione del profilo legacy).

 

Disattivare il profilo SSO legacy

  1. Nell'elenco Profili SSO di terze parti, fai clic su Profilo SSO legacy.
  2. Nelle impostazioni del profilo SSO legacy, deseleziona Attiva SSO con provider di identità di terze parti.
  3. Conferma di voler continuare, quindi fai clic su Salva.

Nell'elenco Profili SSO, il Profilo SSO legacy ora viene visualizzato come Disabilitato.

  • Le unità organizzative a cui è assegnato il profilo SSO legacy mostreranno un avviso nella colonna Profilo assegnato.
  • L'unità organizzativa di primo livello mostrerà Nessuno nella colonna Profilo assegnato.
  • In Gestisci assegnazione di profili SSO, il profilo SSO legacy viene visualizzato come inattivo.

Eseguire la migrazione da SAML legacy ai profili SSO

Se la tua organizzazione utilizza il profilo SSO precedente, ti consigliamo di eseguire la migrazione ai profili SSO, che offrono diversi vantaggi, tra cui il supporto di OIDC, API più moderne e una maggiore flessibilità nell'applicazione delle impostazioni SSO ai gruppi di utenti. Ulteriori informazioni.

Configurare l'SSO con OIDC

Per utilizzare l'SSO basato su OIDC:

  1. Scegli un'opzione OIDC: crea un profilo OIDC personalizzato, in cui fornisci informazioni per il tuo partner OIDC, oppure utilizza il profilo OIDC Microsoft Entra preconfigurato.
  2. Segui i passaggi descritti in Decidere quali utenti devono utilizzare il servizio SSO per assegnare il profilo OIDC preconfigurato a unità organizzative/gruppi selezionati.

Se hai utenti all'interno di un'unità organizzativa (ad esempio in un'unità organizzativa secondaria) che non hanno bisogno del servizio SSO, puoi anche utilizzare le assegnazioni per disattivare il servizio SSO per questi utenti.

Nota: al momento l'interfaccia a riga di comando di Google Cloud non supporta la riautenticazione con OIDC.

Prima di iniziare

Per configurare un profilo OIDC personalizzato, avrai bisogno di una configurazione di base fornita dal team di assistenza o della documentazione dell'IdP:

  • URL emittente: l'URL completo del server di autorizzazione IdP.
  • Un client OAuth, identificato dal relativo ID client e autenticato da un client secret.
  • URL di modifica della password  La pagina in cui gli utenti SSO potranno cambiare la password (anziché cambiarla con Google). 

Inoltre, Google ha bisogno che il tuo IdP faccia quanto segue:

  • L'attestazione email del tuo IdP deve corrispondere all'indirizzo email principale dell'utente sul lato Google. 
  • Deve utilizzare il flusso del codice di autorizzazione.

Creare un profilo OIDC personalizzato (beta)

  1. Accedi a Console di amministrazione Google con un account amministratore.

    Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

  2. Vai a Menu e poi Sicurezza > Autenticazione > SSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  3. Nella sezione Profili SSO di terze parti, fai clic su Aggiungi profilo OIDC.
  4. Assegna un nome al profilo OIDC.
  5. Inserisci i dettagli di OIDC: ID client, URL emittente, client secret.
  6. Fai clic su Salva.
  7. Nella pagina delle impostazioni SSO OIDC per il nuovo profilo, copia l'URI di reindirizzamento. Devi aggiornare il client OAuth sul tuo IdP per rispondere alle richieste che utilizzano questo URI.

Per modificare le impostazioni, passa il mouse sopra Dettagli OIDC, quindi fai clic su Modifica .

Utilizzare il profilo OIDC di Microsoft Entra

Assicurati di aver configurato i seguenti prerequisiti per OIDC nel tenant di Microsoft Entra ID dell'organizzazione:

  • Il tenant di Entra ID Microsoft deve essere un dominio verificato.
  • Gli utenti finali devono disporre di licenze Microsoft 365.
  • Il nome utente (email principale) dell'amministratore di Google Workspace che assegna il profilo SSO deve corrispondere all'indirizzo email principale del tuo account amministratore tenant di Azure AD.

Decidere quali utenti devono utilizzare l'SSO

Attiva l'SSO per un'unità organizzativa o un gruppo assegnando un profilo SSO e l'IdP associato. In alternativa, disattiva SSO assegnando "Nessuno" al profilo SSO. Puoi anche applicare una policy SSO mista all'interno di un'unità organizzativa o di un gruppo, ad esempio attivando SSO per l'intera unità organizzativa e poi disattivandolo per un'unità organizzativa secondaria. 

Se non hai creato un profilo SAML o OIDC, fallo prima di continuare. In alternativa, puoi assegnare il profilo OIDC preconfigurato. 

  1. Fai clic su Gestisci assegnazioni di profili SSO.
  2. Se è la prima volta che assegni il profilo SSO, fai clic su Inizia. In caso contrario, fai clic su Gestisci assegnazioni.
  3. A sinistra, seleziona l'unità organizzativa o il gruppo a cui vuoi assegnare il profilo SSO.
    • Se l'assegnazione del profilo SSO per un'unità organizzativa o un gruppo è diversa da quella per l'intero dominio, verrà visualizzato un avviso di override quando selezioni l'unità organizzativa o il gruppo.
    • Non puoi assegnare il profilo SSO a livello di singolo utente. La visualizzazione Utenti consente di controllare l'impostazione per un utente specifico.
  4. Scegli un'assegnazione del profilo SSO per l'unità organizzativa o il gruppo selezionati:
    • Per escludere l'unità organizzativa o il gruppo dal servizio SSO, scegli Nessuno. Gli utenti dell'unità organizzativa o del gruppo accederanno direttamente con Google.
    • Per assegnare un altro IdP all'unità organizzativa o al gruppo, scegli Un altro profilo SSO, quindi seleziona il profilo SSO dall'elenco a discesa.
  5. (Solo profili SSO con SAML) Dopo aver selezionato un profilo SAML, scegli un'opzione di accesso per gli utenti che vanno direttamente a un servizio Google senza prima accedere all'IdP di terze parti del profilo SSO. Puoi chiedere agli utenti di inserire il proprio nome utente Google e poi di reindirizzarli all'IdP oppure richiedere agli utenti di inserire il nome utente e la password di Google. 

    Nota: se scegli di richiedere agli utenti di inserire il nome utente e la password di Google, l'impostazione URL per la modifica della password per questo profilo SSO SAML (disponibile in Profilo SSO > Dettagli dell'IdP) viene ignorata. In questo modo gli utenti possono modificare le proprie password di Google in base alle loro esigenze.

  6. Fai clic su Salva.
  7. (Facoltativo) Assegna i profili SSO ad altre unità organizzative o gruppi in base alle esigenze.

Dopo aver chiuso la scheda Gestisci assegnazione di profili SSO, vedrai le assegnazioni aggiornate per le unità organizzative e i gruppi nella sezione Gestisci assegnazione di profili SSO

Rimuovere l'assegnazione di un profilo SSO

  1. Fai clic sul nome di un gruppo o di un'unità organizzativa per aprire le impostazioni di assegnazione del profilo.
  2. Sostituisci l'impostazione di assegnazione esistente con l'impostazione dell'unità organizzativa principale:
    • Per le assegnazioni di unità organizzative, fai clic su Eredita.
    • Per le assegnazioni di gruppo, fai clic su Annulla impostazioni.  

Nota: l'unità organizzativa di primo livello è sempre presente nell'elenco di assegnazione dei profili, anche se il profilo è impostato su Nessuno.

Vedi anche


Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

 

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
16386092945598688490
true
Cerca nel Centro assistenza
false
true
true
true
true
true
73010
false
false
false
false