Du kan konfigurera SSO med Google som tjänsteleverantör på flera sätt beroende på organisationens behov. Google Workspace har stöd för både SAML-baserad och OIDC-baserad SSO.
- Med SSO-profiler, som innehåller inställningarna för IdP, kan du tillämpa olika SSO-inställningar på olika användare i organisationen. Skapa SAML-baserade profiler, anpassade OIDC-profiler eller använd standardprofilen för Microsoft Entra OIDC som inte behöver konfigureras.
- När du har skapat SSO-profiler tilldelar du profiler till organisationsenheter eller grupper för att ange IdP för dessa användare. Du kan även inaktivera SSO för specifika organisationsenheter eller grupper.
Om användarna använder domänspecifika webbadresser för tjänst för att få åtkomst till Googles tjänster (till exempel https://mail.google.com/a/example.com) kan du även hantera hur dessa webbadresser fungerar med SSO.
Om organisationen behöver villkorsstyrd SSO-omdirigering baserat på IP-adress eller SSO för avancerade administratörer kan du även konfigurera den äldre SSO-profilen.
Konfigurera SSO med SAML
Innan du börjar
Om du vill konfigurera en SAML SSO-profil behöver du grundläggande konfiguration från IdP:s supportteam eller dokumentation:
- Webbadress för inloggningssida Detta kallas även SSO-webbadress eller SAML 2.0-ändpunkt (HTTP). Här loggar användarna in på IdP:n.
- Webbadress för utloggningssida: Där användaren kommer till Google-appen eller tjänsten.
- Ändra lösenordswebbadress: Sidan där SSO-användare byter lösenord (i stället för att byta lösenord med Google).
- Certifikat X.509 PEM-certifikat från din IdP. Certifikatet innehåller den offentliga nyckeln som verifierar inloggning från IdP.
- Certifikatet måste vara ett PEM- eller DER-formaterat X.509-certifikat med en inbäddad offentlig nyckel.
- Den offentliga nyckeln måste skapas med DSA- eller RSA-algoritmer.
- Den offentliga nyckeln i certifikatet måste stämma överens med den privata nyckel som används för att signera SAML-svaret.
Du får vanligtvis dessa certifikat från IdP. Du kan även skapa dem själv.
Skapa en SAML SSO-profil
Följ de här stegen för att skapa en extern SSO-profil. Du kan skapa upp till 1 000 profiler i organisationen.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
Från administratörskonsolen öppnar du menyn SäkerhetAutentiseringSSO med IdP från tredje part.
- Under SSO-profiler från tredje part klickar du på Lägg till SAML-profil.
- Ge profilen ett namn.
- (Valfritt) Om du har en XML-metadatafil från IdP:n klickar du på Ladda upp XML-fil för att ange IdP-information och fortsätter sedan med steg 8.
- Fyll i webbadressen till inloggningssidan och annan information från din IdP.
- Ange en webbadress för lösenordsändring för IdP. Användarna besöker den här webbadressen (i stället för Googles sida för att ändra lösenord) för att återställa sina lösenord.
- Klicka på Ladda upp certifikat för att ladda upp certifikatfilen.
Du kan ladda upp upp till två certifikat så att du kan rotera certifikat vid behov.
- Klicka på Spara.
- I avsnittet Tjänsteleverantörsinformation kopierar och sparar du Enhets-id och ACS-webbadress. Du behöver dessa värden för att konfigurera SSO med Google i IdP-administratörens kontrollpanel.
- (Valfritt) Om IdP har stöd för kryptering av kontroller kan du generera och dela ett certifikat med IdP för att aktivera kryptering. Varje SAML SSO-profil kan ha upp till två SP-certifikat.
- Klicka på avsnittet SP Details för att öppna redigeringsläget.
- Klicka på Skapa certifikat under SP-certifikat. (Certifikatet visas när du har sparat det.)
- Klicka på Spara. Certifikatets namn, sista giltighetsdatum och innehåll visas.
- Använd knapparna ovanför ett certifikat för att kopiera certifikatets innehåll eller ladda ned som en fil. Dela sedan certifikatet med din IdP.
- (Valfritt) Om du behöver rotera ett certifikat återgår du till SP-information och klickar på Skapa ett annat certifikat. Dela sedan det nya certifikatet med IdP. När du är säker på att IdP använder det nya certifikatet kan du radera det ursprungliga.
Konfigurera IdP
Om du vill konfigurera IdP:n för att använda den här SSO-profilen anger du informationen från avsnittet Information om tjänsteleverantör (SP) i profilen i lämpliga fält i IdP:ns SSO-inställningar. Både ACS-webbadressen och enhets-id:t är unika för den här profilen.
Konfigurera den äldre SSO-profilenDen äldre SSO-profilen stöds för användare som inte har migrerat till SSO-profiler. Det har bara stöd för användning med en enda IdP.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
Från administratörskonsolen öppnar du menyn SäkerhetAutentiseringSSO med IdP från tredje part.
- Under SSO-profiler från tredje part klickar du på Lägg till SAML-profil.
- Klicka på Gå till äldre inställningar för SSO-profil längst ned på sidan IdP-information.
- På sidan Äldre SSO-profil markerar du rutan Aktivera SSO med extern identitetsleverantör.
- Fyll i följande information för IdP:
- Ange webbadressen till inloggningssidan och webbadressen till utloggningssidan för IdP:n.
Obs! Alla webbadresser måste använda HTTPS, till exempel https://sso.domain.com.
- Klicka på Ladda upp certifikat och leta reda på och ladda upp X.509-certifikatet som tillhandahålls av IdP. Mer information finns i Krav på certifikat.
- Välj om du vill använda en domänspecifik utfärdare i SAML-begäran från Google.
Om du har flera domäner som använder SSO med din IdP kan du använda en domänspecifik utfärdare för att identifiera rätt domän som utfärdar SAML-begäran.
- Markerad Google skickar en utfärdare som är specifik för din domän: google.com/a/exempel.com (där example.com är ditt primära Google Workspace-domännamn)
- Avmarkerad Google skickar standardutgivaren i SAML-begäran: google.com
- (Valfritt) Om du vill tillämpa SSO på en uppsättning användare inom specifika IP-adressintervall anger du en nätverksmask. Mer information finns i Resultat av nätverkskartläggning.
Obs! Du kan även konfigurera partiell SSO genom att tilldela SSO-profilen till specifika organisationsenheter eller grupper.
- Ange en webbadress för lösenordsändring för IdP:n. Användarna besöker den här webbadressen (i stället för Googles sida för att ändra lösenord) för att återställa sina lösenord.
Obs! Om du anger en webbadress här omdirigeras användarna till den här sidan även om du inte aktiverar SSO för organisationen.
- Ange webbadressen till inloggningssidan och webbadressen till utloggningssidan för IdP:n.
- Klicka på Spara.
När du har sparat visas den äldre SSO-profilen i tabellen SSO-profiler.
Konfigurera IdP
Om du vill konfigurera IdP för att använda den här SSO-profilen anger du informationen från avsnittet Information om tjänsteleverantör (SP) i profilen i lämpliga fält i IdP:s SSO-inställningar. Både ACS-webbadressen och enhets-id:t är unika för den här profilen.
Format | |
Webbadress för ACS | https://accounts.google.com/a/{domain.com}/acs Där {domain.com} är organisationens Workspace-domännamn |
Enhets-id | Något av följande:
|
Inaktivera den äldre SSO-profilen
- Klicka på Äldre SSO-profil i listan SSO-profiler från tredje part.
- Avmarkera Aktivera SSO med extern identitetsleverantör i inställningarna för Äldre SSO-profil.
- Bekräfta att du vill fortsätta och klicka på Spara.
I listan SSO-profiler visas nu Äldre SSO-profil som Inaktiverad.
- Organisationsenheter som har tilldelats den äldre SSO-profilen visar en varning i kolumnen Tilldelad profil.
- Organisationsenheten på toppnivå visar Ingen i kolumnen Tilldelad profil.
- I Hantera SSO-profiltilldelningar visas den äldre SSO-profilen som inaktiv.
Migrera från äldre SAML till SSO-profiler
Om organisationen använder den äldre SSO-profilen rekommenderar vi att du migrerar till SSO-profiler. De har flera fördelar, bland annat stöd för OIDC, modernare API:er och större flexibilitet när det gäller att tillämpa SSO-inställningar på användargrupper. Läs mer.
Konfigurera SSO med OIDC
Så här använder du OIDC-baserad SSO:
- Välj ett OIDC-alternativ – antingen skapa en anpassad OIDC-profil där du anger information för din OIDC-partner eller använd den förkonfigurerade Microsoft Entra OIDC-profilen.
- Följ stegen i Välja vilka användare som ska använda SSO för att tilldela den förkonfigurerade OIDC-profilen till valda organisationsenheter/grupper.
Om du har användare i en organisationsenhet (till exempel i en underordnad organisationsenhet) som inte behöver SSO kan du även använda tilldelningar för att inaktivera SSO för dessa användare.
Obs! Google Cloud Command Line Interface har för närvarande inte stöd för ny autentisering med OIDC.
Innan du börjar
Om du vill konfigurera en anpassad OIDC-profil behöver du grundläggande konfiguration från IdP:s supportteam eller dokumentation:
- Issuer URL (utfärdarens webbadress) Den fullständiga webbadressen till IdP-auktoriseringsservern.
- En OAuth-klient som identifieras av sitt klient-id och autentiseras av ett klientlösenord.
- Ändra lösenordswebbadress Sidan där SSO-användare byter lösenord (i stället för att byta lösenord med Google).
Google behöver även att IdP:n gör följande:
- Anspråket
email
från IdP måste matcha användarens primära e-postadress på Googles sida. - Det måste använda flödet med auktoriseringskod.
Skapa en anpassad OIDC-profil
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
Från administratörskonsolen öppnar du menyn SäkerhetAutentiseringSSO med IdP från tredje part.
- Under SSO-profiler från tredje part klickar du på Lägg till OIDC-profil.
- Ge OIDC-profilen ett namn.
- Ange OIDC-information: Klient-id, Utfärdarens webbadress, Klientlösenord.
- Klicka på Spara.
- Kopiera URI för omdirigering på sidan med OIDC SSO-inställningar för den nya profilen. Du måste uppdatera OAuth-klienten på IdP:et för att svara på förfrågningar med den här URI:n.
Om du vill redigera inställningarna håller du muspekaren över OIDC-information och klickar på Redigera .
Använda Microsoft Entra OIDC-profilen
Se till att du har konfigurerat följande förutsättningar för OIDC i organisationens Microsoft Entra ID-klient:
- Microsoft Entra ID-klienten måste vara domänverifierad.
- Slutanvändare måste ha Microsoft 365-licenser.
- Användarnamnet (primär e-postadress) för Google Workspace-administratören som tilldelar SSO-profilen måste matcha den primära e-postadressen för Azure AD-administratörskontot för klienten.
Välja vilka användare som ska använda SSO.
Aktivera SSO för en organisationsenhet eller grupp genom att tilldela en SSO-profil och dess tillhörande IdP. Du kan även inaktivera SSO genom att tilldela SSO-profilen Ingen. Du kan även tillämpa en blandad SSO-policy i en organisationsenhet eller grupp, till exempel genom att aktivera SSO för organisationsenheten som helhet och sedan inaktivera den för en underordnad organisationsenhet.
Om du inte har skapat en profil gör du det innan du fortsätter. Du kan även tilldela den fördefinierade OIDC-profilen.
- Klicka på Hantera SSO-profiltilldelningar.
- Om SSO-profilen inte har tilldelats tidigare klickar du på Kom igång. Annars klickar du på Hantera uppgifter.
- Välj organisationsenheten eller gruppen som ska tilldelas SSO-profilen till vänster.
- Om en organisationsenhet eller grupp har en annan SSO-profiltilldelning än den som gäller för domänen som helhet visas en varning om åsidosättning när du väljer denna organisationsenhet eller grupp.
- Det går inte att tilldela enskilda användare en SSO-profil. Du kan kontrollera vilken inställning som gäller för enskilda användare i vyn Användare.
- Välj en SSO-profiltilldelning för den valda organisationsenheten eller gruppen:
- Om du vill utesluta organisationsenheten eller gruppen från SSO väljer du Ingen. Användarna i organisationsenheten eller gruppen loggar in direkt med Google.
- Om du vill tilldela en annan IdP till organisationsenheten eller gruppen väljer du En annan SSO-profil och sedan SSO-profilen i rullgardinsmenyn.
- (Endast SAML SSO-profiler) När du har valt en SAML-profil väljer du ett inloggningsalternativ för användare som går direkt till en Google-tjänst utan att först logga in på SSO-profilens externa IdP. Du kan be användarna att ange sitt Google-användarnamn och sedan omdirigera dem till IdP:et eller kräva att användarna anger sitt användarnamn och lösenord för Google.
Obs! Om du väljer att kräva att användarna anger sitt användarnamn och lösenord för Google ignoreras inställningen Webbadress för att ändra lösenord för denna SAML SSO-profil (tillgänglig i SSO-profil > IdP-information). På så sätt kan användarna ändra sina Google-lösenord efter behov.
- Klicka på Spara.
- (Valfritt) Tilldela SSO-profiler till andra organisationsenheter eller grupper efter behov.
När du har stängt kortet Hantera SSO-profiltilldelningar visas de uppdaterade tilldelningarna för organisationsenheter och grupper i avsnittet Hantera SSO-profiltilldelningar.
Ta bort en SSO-profiltilldelning
- Klicka på namnet på en grupp eller organisationsenhet för att öppna inställningarna för profiltilldelning.
- Ersätt den befintliga hemuppgiftsinställningen med inställningen för den överordnade organisationsenheten:
- För organisationsenhetstilldelningar klickar du på Ärv.
- För gruppuppgifter klickar du på Inte angivet.
Obs! Den översta organisationsenheten finns alltid med i listan över profiltilldelningar, även om profilen är inställd på Ingen.
Se även
Google, Google Workspace och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.