Migreren van het verouderde SSO-profiel naar SSO-profielen

Google Workspace biedt 2 manieren om Single sign-on (SSO) in te stellen met Google als relying party voor uw identiteitsprovider:

  • Verouderd SSO-profiel: Hiermee kunt u maar één IdP instellen voor uw organisatie.
  • SSO-profielen: De nieuwere, aanbevolen manier om SSO in te stellen. Hiermee kunt u verschillende SSO-instellingen toepassen op verschillende gebruikers in uw organisatie. De SSO-profielen ondersteunen zowel SAML als OIDC, hebben modernere API's en vormen de focus van Google voor nieuwe functies.

We raden alle klanten aan over te stappen op SSO-profielen om gebruik te maken van deze voordelen. SSO-profielen kunnen naast het SSO-profiel voor uw organisatie bestaan, zodat u nieuwe SSO-profielen kunt testen voordat u uw hele organisatie overzet.

Overzicht van het migratieproces

  1. Maak een SSO-profiel voor uw IdP in de Beheerdersconsole en registreer het nieuwe profiel bij uw IdP.
  2. Wijs testgebruikers toe om het nieuwe profiel te gebruiken en te checken of het werkt.
  3. Wijs de organisatie-eenheid op het hoogste niveau toe aan het nieuwe profiel.
  4. Update domeinspecifieke URL's om het nieuwe profiel te gebruiken.
  5. Opschonen: maak de registratie van uw oude serviceprovider ongedaan en check of automatische gebruikersregistratie nog steeds werkt.

Stap 1: Maak een SSO-profiel

  1. Volg deze stappen om een nieuw SAML SSO-profiel te maken. Uw nieuwe profiel moet dezelfde IdP gebruiken als uw bestaande SSO-profiel voor uw organisatie.
  2. Registreer het nieuwe SSO-profiel bij uw IdP als nieuwe serviceprovider.

    Uw IdP beschouwt het nieuwe profiel als een afzonderlijke serviceprovider (deze kan dit 'Apps' of 'Relying Parties' noemen). Hoe u de nieuwe serviceprovider registreert, hangt af van uw IdP, maar meestal moet u de entiteits-ID en de Assertion Consumer Service-URL (ACS-URL) voor het nieuwe profiel instellen.

Opmerkingen voor API-gebruikers
  • Als u het SSO-profiel voor uw organisatie gebruikt, kunt u alleen de Google Workspace Admin Settings API gebruiken om SSO-instellingen te beheren.
  • De Cloud Identity API kan SSO-profielen beheren als inboundSamlSsoProfiles en ze toewijzen aan groepen of organisatie-eenheden met inboundSsoAssignments.
Verschillen tussen SSO-profielen en het verouderde SSO-profiel

Asserties van hoofdbeheerders

SSO-profielen accepteren geen asserties over hoofdbeheerders. Als u het SSO-profiel voor uw organisatie gebruikt, worden asserties geaccepteerd, maar worden hoofdbeheerders niet omgeleid naar de IdP. De volgende asserties worden bijvoorbeeld geaccepteerd:

  • De gebruiker volgt een link naar de app-launcher van uw IdP (door de IdP gestarte SAML)
  • De gebruiker gaat naar een domeinspecifieke service-URL (bijvoorbeeld https://drive.google.com/a/your_domain.com)
  • De gebruiker logt in op een Chromebook die is ingesteld om rechtstreeks naar uw IdP te gaan. Meer informatie

Instellingen voor verificatie na SSO

De instellingen voor verificatie na SSO (zoals inlogcontroles of verificatie in 2 stappen) zijn anders voor SSO-profielen dan voor het SSO-profiel voor uw organisatie. We raden u aan beide instellingen op dezelfde waarde in te stellen om verwarring te voorkomen. Meer informatie

Stap 2: Wijs testgebruikers toe aan het profiel

Het is een goed idee om uw nieuwe SSO-profiel eerst te testen op gebruikers in één groep of organisatie-eenheid voordat u alle gebruikers overzet. Gebruik een bestaande groep of organisatie-eenheid of maak zo nodig een nieuwe.

Als u beheerde ChromeOS-apparaten heeft, raden we u aan te testen op basis van organisatie-eenheden, omdat u ChromeOS-apparaten wel kunt toewijzen aan organisatie-eenheden, maar niet aan groepen.

  1. (Optioneel) Maak een nieuwe organisatie-eenheid of configuratiegroep en wijs testgebruikers toe.
  2. Volg deze stappen om gebruikers toe te wijzen aan het nieuwe SSO-profiel.
Opmerkingen voor organisaties met beheerde ChromeOS-apparaten

Als u SSO heeft ingesteld voor ChromeOS-apparaten zodat gebruikers rechtstreeks naar uw IDP gaan, moet u het SSO-gedrag afzonderlijk testen voor deze gebruikers.

Het SSO-profiel dat is toegewezen aan de organisatie-eenheid van het apparaat, moet overeenkomen met het SSO-profiel dat is toegewezen aan de organisatie-eenheid van de apparaatgebruiker om in te loggen.

Als u bijvoorbeeld op dit moment een organisatie-eenheid Verkoop heeft voor medewerkers die beheerde Chromebooks gebruiken en rechtstreeks inloggen bij uw IdP, maakt u een organisatie-eenheid zoals 'sales_sso_testing', wijst u deze toe aan het nieuwe profiel en verplaatst u bepaalde gebruikers en de Chromebooks die ze gebruiken naar die organisatie-eenheid.

Stap 3: Wijs uw organisatie-eenheid op het hoogste niveau toe en update de service-URL's

Nadat u het nieuwe SSO-profiel heeft getest in een testgroep of organisatie-eenheid, kunt u overstappen op andere gebruikers.

  1. Ga naar Beveiliging en dan SSO met IdP's van derden en dan SSO-profieltoewijzingen beheren.
  2. Klik op Beheren.
  3. Selecteer de organisatie-eenheid op het hoogste niveau en wijs deze toe aan het nieuwe SSO-profiel.
  4. (Optioneel) Als er andere organisatie-eenheden of groepen zijn toegewezen aan het SSO-profiel voor uw organisatie, wijst u die toe aan het nieuwe SSO-profiel.

Stap 4: Domeinspecifieke URL's updaten

Als uw organisatie domeinspecifieke URL's gebruikt (bijvoorbeeld https://mail.google.com/a/your_domain.com), updatet u die instelling om het nieuwe SSO-profiel te gebruiken:

  1. Ga naar Beveiliging en dan SSO met IdP's van derden en dan Domeinspecifieke service-URL's.
  2. Selecteer onder Gebruikers automatisch omleiden naar de IdP van derden in het volgende SSO-profiel het nieuwe SSO-profiel in het dropdownmenu.

Stap 5: Opschonen

  1. Klik bij Beveiliging en dan SSO met IdP's van derden en dan SSO-profielen op Verouderd SSO-profiel om de profielinstellingen te openen.
  2. Haal het vinkje weg voor Verouderd SSO-profiel aanzetten om het verouderde profiel uit te zetten.
  3. Controleer of automatische gebruikersregistratie die u bij uw IdP heeft ingesteld, correct werkt met uw nieuwe SSO-profiel.
  4. Schrijf de oude serviceprovider uit bij uw IdP.

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
1396038594172761711
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false