Configurazione dell'SSO

Puoi configurare il servizio SSO con Google come fornitore di servizi in diversi modi, a seconda delle esigenze della tua organizzazione. Google Workspace supporta i protocolli SSO basati sia su SAML che su OIDC.

I profili SSO, che contengono le impostazioni dell'IdP, ti offrono la flessibilità di applicare impostazioni SSO differenti ai diversi utenti della tua organizzazione. Crea profili basati su SAML, profili OIDC personalizzati o utilizza il profilo OIDC predefinito di Microsoft Entra, che non richiede configurazione.
Dopo aver creato i profili SSO, assegnali a unità organizzative o gruppi per impostare l'IdP per questi utenti. Puoi anche disattivare l'SSO per unità organizzative o gruppi specifici.

Se gli utenti utilizzano URL di servizio specifici del dominio per accedere ai servizi Google (ad esempio, https://mail.google.com/a/example.com), puoi anche gestire il modo in cui funzionano questi URL con il servizio SSO.

Se la tua organizzazione ha bisogno di un reindirizzamento SSO condizionale in base all'indirizzo IP o dell'SSO per i super amministratori, puoi anche configurare il profilo SSO legacy.

Configurare l'SSO con SAML

Prima di iniziare

Per configurare un profilo SSO SAML, avrai bisogno di una configurazione di base fornita dal team di assistenza o della documentazione dell'IdP:

URL pagina di accesso: noto anche come URL SSO o SAML 2.0 Endpoint (HTTP). È qui che gli utenti accedono al tuo IdP.
URL pagina di uscita: la posizione dell'utente dopo l'uscita dall'app o dal servizio Google.
URL di modifica della password: la pagina in cui gli utenti SSO potranno cambiare la password (anziché cambiarla con Google).
Certificato: certificato X.509 PEM fornito dal tuo IdP. Il certificato contiene la chiave pubblica che verifica l'accesso dall'IdP.

Requisiti per i certificati

Creare un profilo SSO SAML

Segui questi passaggi per creare un profilo SSO di terze parti. Puoi creare fino a 1000 profili nella tua organizzazione.

Accedi a Console di amministrazione Google con un account amministratore.
Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.
Vai a Menu Sicurezza > Autenticazione > SSO con IdP terzo.
È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.
Nella sezione Profili SSO di terze parti, fai clic su Aggiungi profilo SAML.
Assegna un nome al profilo.
(Facoltativo) Se hai un file di metadati XML del tuo provider di identità, fai clic su Carica file XML per fornire le informazioni del provider di identità, quindi vai al passaggio 8.
Inserisci l'URL della pagina di accesso e le altre informazioni ottenute dall'IdP.
Inserisci un URL per la modifica della password per l'IdP. Per reimpostare le password, gli utenti accederanno a questo URL anziché alla pagina di modifica della password di Google.
Fai clic su Carica certificato per caricare il file del certificato.-
Puoi caricare fino a due certificati, dandoti la possibilità di ruotare i certificati, se necessario.
Fai clic su Salva.
Nella sezione Dettagli del fornitore di servizi, copia e salva i valori ID entità e URL ACS. Questi valori sono necessari per configurare il servizio SSO con Google nel pannello di controllo dell'amministratore dell'IdP.
(Facoltativo) Se il tuo IdP supporta la crittografia delle asserzioni, puoi generare e condividere un certificato con l'IdP per attivare la crittografia. Ogni profilo SSO SAML può avere fino a 2 certificati SP.
1. Fai clic sulla sezione Dettagli fornitore di servizi per accedere alla modalità di modifica.
2. In Certificato SP, fai clic su Genera certificato. Il certificato verrà visualizzato dopo il salvataggio.
3. Fai clic su Salva. Vengono visualizzati il nome, la data di scadenza e i contenuti del certificato.
4. Utilizza i pulsanti sopra un certificato per copiarne i contenuti o scaricarlo come file, quindi condividi il certificato con il tuo IdP.
5. (Facoltativo) Se devi eseguire la rotazione di un certificato, torna ai dettagli del fornitore di servizi e fai clic su Genera un altro certificato, quindi condividi il nuovo certificato con l'IdP. Una volta che hai la certezza che l'IdP lo utilizzi, puoi eliminare il certificato originale.

Configurare l'IdP

Per configurare l'IdP in modo che utilizzi questo profilo SSO, inserisci le informazioni della sezione Dettagli del fornitore di servizi (SP) del profilo nei campi appropriati delle impostazioni SSO dell'IdP. Sia l'URL ACS che l'ID entità sono univoci per questo profilo.

Configurare il profilo SSO legacy

Il profilo SSO legacy è supportato per gli utenti che non hanno eseguito la migrazione ai profili SSO. Supporta l'utilizzo solo con un singolo provider di identità.

Accedi a Console di amministrazione Google con un account amministratore.
Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.
Vai a Menu Sicurezza > Autenticazione > SSO con IdP terzo.
È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.
Nella sezione Profili SSO di terze parti, fai clic su Aggiungi profilo SAML.
Nella parte inferiore della pagina Dettagli provider di identità, fai clic su Vai alle impostazioni del profilo SSO precedente.
Nella pagina Profilo SSO precedente, seleziona la casella Attiva SSO con provider di identità di terze parti.
Inserisci le seguenti informazioni per il tuo IdP:
- Inserisci l'URL della pagina di accesso e l'URL della pagina di uscita per il tuo IdP.
  Nota: è necessario inserire tutti gli URL. Gli URL devono utilizzare il protocollo HTTPS, ad esempio https://sso.example.com.
- Fai clic su Carica certificato e individua e carica il certificato X.509 fornito dall'IdP. Per ulteriori informazioni, consulta i Requisiti dei certificati.
- Scegli se utilizzare un emittente specifico per il dominio nella richiesta SAML di Google.
  Se hai più domini che usano SSO con il tuo IdP, utilizza un emittente specifico del dominio per identificare il dominio corretto che emette la richiesta SAML.
  - Opzione selezionata: Google invia un emittente specifico per il tuo dominio, google.com/a/example.com (doveexample.com è il tuo nome di dominio principale di Google Workspace)
  - Opzione deselezionata: Google invia l'emittente standard nella richiesta SAML: google.com
- (Facoltativo) Per applicare il servizio SSO a un insieme di utenti in intervalli di indirizzi IP specifici, inserisci una maschera di rete. Per ulteriori informazioni, vedi Risultati della mappatura della rete.
  Nota: puoi configurare il servizio SSO parziale anche assegnando il profilo SSO a unità organizzative o gruppi specifici.
- Inserisci un URL per la modifica della password per l'IdP. Per reimpostare le password, gli utenti accederanno a questo URL anziché alla pagina di modifica della password di Google.
  Nota: se inserisci un URL qui, gli utenti vengono indirizzati a questa pagina anche se non attivi SSO per la tua organizzazione.
Fai clic su Salva.

Dopo il salvataggio, il profilo SSO legacy viene visualizzato nella tabella Profili SSO.

Configurare l'IdP

Per configurare l'IdP in modo che utilizzi questo profilo SSO, inserisci le informazioni della sezione Dettagli del fornitore di servizi (SP) del profilo nei campi appropriati delle impostazioni SSO dell'IdP. Sia l'URL ACS che l'ID entità sono univoci per questo profilo.

	Formato
URL ACS	https://accounts.google.com/a/{domain.com}/acs Dove {domain.com} è il nome di dominio Workspace della tua organizzazione
ID entità	Uno dei seguenti: google.com google.com/a/customerprimarydomain (se scegli di utilizzare un emittente specifico per il dominio durante la configurazione del profilo legacy).

Disattivare il profilo SSO legacy

Nell'elenco Profili SSO di terze parti, fai clic su Profilo SSO legacy.
Nelle impostazioni del profilo SSO legacy, deseleziona Attiva SSO con provider di identità di terze parti.
Conferma di voler continuare, quindi fai clic su Salva.

Nell'elenco Profili SSO, il profilo SSO legacy ora viene visualizzato come Disattivato.

Le unità organizzative a cui è stato assegnato il profilo SSO legacy mostreranno un avviso nella colonna Profilo assegnato.
L'unità organizzativa di primo livello mostrerà Nessuna nella colonna Profilo assegnato.
In Gestisci assegnazione di profili SSO, il profilo SSO legacy è contrassegnato come non attivo.

Esegui la migrazione dai profili SAML legacy ai profili SSO

Se la tua organizzazione utilizza il profilo SSO precedente, ti consigliamo di eseguire la migrazione ai profili SSO, che offrono diversi vantaggi, tra cui il supporto di OIDC, API più moderne e una maggiore flessibilità nell'applicazione delle impostazioni SSO ai gruppi di utenti. Ulteriori informazioni.

Configurare l'SSO con OIDC

Per utilizzare l'SSO basato su OIDC:

Scegli un'opzione OIDC: crea un profilo OIDC personalizzato, in cui fornisci le informazioni per il tuo partner OIDC, oppure utilizza il profilo OIDC di Microsoft Entra preconfigurato.
Segui i passaggi descritti in Decidere quali utenti devono utilizzare il servizio SSO per assegnare il profilo OIDC preconfigurato a unità organizzative/gruppi selezionati.

Se hai utenti all'interno di un'unità organizzativa (ad esempio in un'unità organizzativa secondaria) che non hanno bisogno del servizio SSO, puoi anche utilizzare le assegnazioni per disattivare il servizio SSO per questi utenti.

Nota: al momento l'interfaccia a riga di comando di Google Cloud non supporta la riautenticazione con OIDC.

Prima di iniziare

Per configurare un profilo OIDC personalizzato, avrai bisogno di una configurazione di base fornita dal team di assistenza o della documentazione dell'IdP:

URL emittente: l'URL completo del server di autorizzazione dell'IdP.
Un client OAuth, identificato dal suo ID client e autenticato da un client secret.
URL di modifica della password La pagina in cui gli utenti SSO potranno cambiare la password (anziché cambiarla con Google).

Inoltre, Google ha bisogno che la tua IdP:

L'affermazione email del tuo provider di identità deve corrispondere all'indirizzo email principale dell'utente lato Google.
Deve utilizzare il flusso del codice di autorizzazione.

Creare un profilo OIDC personalizzato

Accedi a Console di amministrazione Google con un account amministratore.
Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.
Vai a Menu Sicurezza > Autenticazione > SSO con IdP terzo.
È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.
Nella sezione Profili SSO di terze parti, fai clic su Aggiungi profilo OIDC.
Assegna un nome al profilo OIDC.
Inserisci i dettagli OIDC: ID cliente, URL emittente, client secret.
Fai clic su Salva.
Nella pagina delle impostazioni SSO OIDC per il nuovo profilo, copia l'URI di reindirizzamento. Per rispondere alle richieste che utilizzano questo URI, devi aggiornare il client OAuth nell'IdP.

Per modificare le impostazioni, passa il mouse sopra Dettagli OIDC e poi fai clic su Modifica .

Utilizzare il profilo OIDC di Microsoft Entra

Assicurati di aver configurato i seguenti prerequisiti per OIDC nel tenant di Microsoft Entra ID dell'organizzazione:

Il tenant di Entra ID Microsoft deve essere un dominio verificato.
Gli utenti finali devono disporre di licenze Microsoft 365.
Il nome utente (email principale) dell'amministratore di Google Workspace che assegna il profilo SSO deve corrispondere all'indirizzo email principale del tuo account amministratore del tenant Azure AD.

Decidere quali utenti devono utilizzare l'SSO

Attiva l'SSO per un'unità organizzativa o un gruppo assegnando un profilo SSO e l'IdP associato. In alternativa, disattiva SSO assegnando "Nessuno" al profilo SSO. Puoi anche applicare un criterio SSO misto all'interno di un'unità organizzativa o di un gruppo, ad esempio attivando SSO per l'intera unità organizzativa e poi disattivandolo per un'unità organizzativa secondaria.

Se non hai creato un profilo, fallo prima di continuare. In alternativa, puoi assegnare il profilo OIDC preconfigurato.

Fai clic su Gestisci assegnazioni di profili SSO.
Se è la prima volta che assegni il profilo SSO, fai clic su Inizia. In caso contrario, fai clic su Gestisci assegnazioni.
A sinistra, seleziona l'unità organizzativa o il gruppo a cui vuoi assegnare il profilo SSO.
- Se l'assegnazione del profilo SSO per un'unità organizzativa o un gruppo è diversa da quella per l'intero dominio, viene visualizzato un avviso di override quando selezioni l'unità organizzativa o il gruppo.
- Non puoi assegnare il profilo SSO a livello di singolo utente. La visualizzazione Utenti consente di controllare l'impostazione per un utente specifico.
Scegli un'assegnazione del profilo SSO per l'unità organizzativa o il gruppo selezionati:
- Per escludere l'unità organizzativa o il gruppo dal servizio SSO, scegli Nessuno. Gli utenti dell'unità organizzativa o del gruppo accederanno direttamente con Google.
- Per assegnare un altro IdP all'unità organizzativa o al gruppo, scegli Un altro profilo SSO, quindi seleziona il profilo SSO dall'elenco a discesa.
(Solo profili SSO con SAML) Dopo aver selezionato un profilo SAML, scegli un'opzione di accesso per gli utenti che vanno direttamente a un servizio Google senza prima accedere all'IdP di terze parti del profilo SSO. Puoi chiedere agli utenti di inserire il proprio nome utente Google e poi di reindirizzarli all'IdP oppure richiedere agli utenti di inserire il nome utente e la password di Google.
Nota: se scegli di richiedere agli utenti di inserire il nome utente e la password di Google, l'impostazione URL per la modifica della password per questo profilo SSO SAML (disponibile in Profilo SSO > Dettagli dell'IdP) viene ignorata. In questo modo gli utenti possono modificare le proprie password di Google in base alle loro esigenze.
Fai clic su Salva.
(Facoltativo) Assegna i profili SSO ad altre unità organizzative o gruppi in base alle esigenze.

Dopo aver chiuso la scheda Gestisci assegnazione di profili SSO, vedrai le assegnazioni aggiornate per le unità organizzative e i gruppi nella sezione Gestisci assegnazione di profili SSO.

Rimuovere un'assegnazione del profilo SSO

Fai clic sul nome di un gruppo o di un'unità organizzativa per aprire le relative impostazioni di assegnazione del profilo.
Sostituisci l'impostazione di assegnazione esistente con l'impostazione dell'unità organizzativa principale:
- Per le assegnazioni delle unità organizzative, fai clic su Eredita.
- Per i compiti di gruppo, fai clic su Annulla impostazioni.

Nota: l'unità organizzativa di primo livello è sempre presente nell'elenco di assegnazione del profilo, anche se il profilo è impostato su Nessuno.

Vedi anche

_{Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.}

Scegli una sezione sulla quale fornire un feedback.

È stato utile?

Come possiamo migliorare l'articolo?

Configurazione dell'SSO

Configurare l'SSO con SAML

Prima di iniziare

Creare un profilo SSO SAML

Configurare l'IdP

Esegui la migrazione dai profili SAML legacy ai profili SSO

Configurare l'SSO con OIDC

Prima di iniziare

Creare un profilo OIDC personalizzato

Utilizzare il profilo OIDC di Microsoft Entra

Decidere quali utenti devono utilizzare l'SSO

Rimuovere un'assegnazione del profilo SSO

Vedi anche

È stato utile?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Che tipo di problema è associato a questa selezione?

Condividi ulteriori informazioni o suggerimenti