Med enkel inloggning (SSO) kan användarna logga in på många molnappar för företag med en enda uppsättning användaruppgifter. Workspace (och Google Cloud Platform) har stöd för SSO från externa identitetsleverantörer (IdP:er).
Workspace har stöd för både SAML- och OIDC-SSO-protokoll. SAML SSO har stöd för alla IdP:er. För närvarande har OIDC endast stöd för Microsoft Entra ID.
Om du vill använda SSO konfigurerar du SSO-profiler och tilldelar dem sedan användargrupper eller organisationsenheter. Detta möjliggör stöd för flera IdP:er och för att testa SSO-konfigurationer. Det här är det rekommenderade systemet för SSO. Vår äldre äldre SSO-profil för organisationer är också tillgänglig (endast för SAML).
SSO finns även på Chrome-enheter. Mer information finns i Konfigurera SAML-baserad enkel inloggning för Chrome-enheter.
Ytterligare verifiering efter SSONär SSO har konfigurerats kan användare som loggar in på sin externa IdP få åtkomst till Google-appar utan ytterligare verifiering, med följande undantag:
- Även om de redan har loggat in på sin IdP uppmanas de ibland av Google att verifiera sin identitet. Mer information (och information om hur du inaktiverar verifieringen vid behov) finns i Så här fungerar säker inloggning med SAML.
- Du kan konfigurera ytterligare tvåstegsverifiering för användare som har åtkomst till Googles tjänster. Tvåstegsverifiering hoppas normalt över normalt när SSO är aktiverat. Mer information finns i Aktivera utmaningar med SSO.
Bild 1 visar hur en användare loggar in på en Google-app, till exempel Gmail, via en SAML-baserad SSO-tjänst som drivs av en partner. Den numrerade listan efter bilden beskriver varje steg.
Obs! Innan detta görs måste partnern tillhandahålla Google webbadressen till sin SSO-tjänst samt den offentliga nyckel som Google ska använda för att verifiera SAML-svar.
Bild 1: Visar hur du loggar in på Google med en SAML-baserad SSO-tjänst.
Den här bilden illustrerar stegen nedan.
- Användaren försöker att nå en app som Google är värd för, exempelvis Gmail, Google Kalender eller en annan Google-tjänst.
- Google genererar en begäran om SAML-autentisering som kodas och bäddas in i webbadressen för partnerns SSO-tjänst. Den RelayState-parameter som innehåller den kodade webbadressen till Google-applikationen som användaren försöker nå är också inbäddad i SSO-webbadressen. RelayState-parametern är en ogenomskinlig identifierare som skickas tillbaka utan ändringar eller inspektion.
- Google skickar en omdirigering till användarens webbläsare. Webbadressen för omdirigering inkluderar den kodade begäran om SAML-autentisering som ska skickas till partnerns SSO-tjänst.
- Webbläsaren omdirigeras till SSO-webbadressen.
- Partnern avkodar SAML-begäran och extraherar webbadressen för både Googles ACS (Assertion Consumer Service) och användarens måladress (RelayState-parameter).
- Partnern autentiserar sedan användaren. Partner kan autentisera användare genom att antingen be om giltiga inloggningsuppgifter eller genom att söka efter giltiga sessionscookies.
- Partnern genererar ett SAML-svar som innehåller den autentiserade användarens användarnamn. I enlighet med SAML v2.0-specifikationen signeras detta svar digitalt med partnerns offentliga och privata DSA/RSA-nycklar.
- Partnern kodar SAML-svaret och RelayState-parametern och returnerar denna information till användarens webbläsare. Partnern tillhandahåller en mekanism så att webbläsaren kan vidarebefordra denna information till Googles ACS. Till exempel kan partnern bädda in SAML-svar och målwebbadress i ett formulär och tillhandahålla en knapp som användaren kan klicka på för att skicka formuläret till Google. Partnern kan också inkludera JavaScript på sidan som skickar formuläret till Google.
- Webbläsaren skickar ett svar till ACS-webbadressen. Googles ACS verifierar SAML-svaret med hjälp av partnerns offentliga nyckel. Om svaret verifieras omdirigerar ACS användaren till måladressen.
- Användaren är inloggad i Google-appen.
Synkronisera användarkonton mellan IdP och Google
För att förenkla hanteringen av användarlivscykeln synkroniserar de flesta organisationer som använder SSO även sin användarkatalog från IdP till Google. När synkroniseringen har konfigurerats läggs nya (eller raderade) användare på IdP-sidan automatiskt till eller raderas som Workspace-användare. Googles Directory Sync har stöd för Active Directory och Entra ID. De flesta IdP:er har stöd för synkronisering med Google. Anvisningar om hur du konfigurerar IdP finns i IdP-dokumentationen.
SSO och Säker LDAP
Säker LDAP kräver ett Google-lösenord och är inkompatibelt med SSO.