In dieser Artikelreihe wird beschrieben, wie Sie die SSO mit einem externen Identitätsanbieter (IdP) einrichten, wenn Google der Serviceprovider (SP) ist. Falls Google auch Ihr IdP ist, finden Sie eine Anleitung zur SSO-Einrichtung im Hilfeartikel Benutzerdefinierte SAML-App einrichten.
Wenn Sie die SAML-basierte SSO mit einem Drittanbieter-IdP einrichten möchten, führen Sie die folgenden Schritte aus. Klicken Sie hierzu auf die blauen Linktexte oder die Pfeile oben:
- Dienstanbieter-SSO einrichten
- SAML-Schlüssel und Bestätigungszertifikat
- Anmeldung mit SSO
- Ergebnisse der Netzwerkzuordnung
- Optional: SSO für ausgewählte Organisationseinheiten oder Gruppen überschreiben
Weitere Informationen zur Einrichtung der teilweisen SSO finden Sie in dieser Videoübersicht.
Informationen zur Einmalanmeldung (SSO)
Über die SSO melden sich Nutzer nur einmal an und haben dann Zugriff auf alle ihre geschäftlichen Cloudanwendungen. Wenn die SSO eingerichtet ist, können sich Nutzer bei ihrem Drittanbieter-IdP anmelden und dann ohne zweite Anmeldung direkt auf Google Apps zugreifen, mit folgenden Ausnahmen:
- Auch wenn sie sich bereits bei ihrem IdP angemeldet haben, fordert Google sie als zusätzliche Sicherheitsmaßnahme gelegentlich auf, ihre Identität zu bestätigen. Weitere Informationen und Details dazu, wie Sie diese Überprüfung ggf. deaktivieren, finden Sie unter Sichere SAML-Anmeldung.
- Sie können für Nutzer, die auf Google-Dienste zugreifen, zusätzlich eine Bestätigung in zwei Schritten einrichten. Die Bestätigung in zwei Schritten wird normalerweise umgangen, wenn SSO aktiviert ist. Weitere Informationen finden Sie im Hilfeartikel Identitätsbestätigungen mit SSO aktivieren.
Die SSO ist auch auf Chrome-Geräten verfügbar. Weitere Informationen finden Sie im Hilfeartikel SAML-Einmalanmeldung für Chrome-Geräte konfigurieren.
Geräte mit einer älteren Version als Android 2.1 verwenden die Google-Authentifizierung. Wenn Sie sich auf einem dieser Geräte anmelden, werden Sie aufgefordert, die vollständige E-Mail-Adresse für Ihr verwaltetes Google-Konto einschließlich Nutzername und Domain anzugeben. Nachdem Sie sich angemeldet haben, werden Sie direkt zur Anwendung weitergeleitet. Google leitet Sie nicht auf die SSO-Anmeldeseite weiter, unabhängig von der Netzwerkmaske.
Wenn bei iOS-Anwendungen die URL der SSO-Anmeldeseite mit „google.“ oder einer Abwandlung davon beginnt, wird die Google iOS-App zu Safari weitergeleitet. Dadurch treten Fehler beim SSO-Vorgang auf. Folgende Präfixe sollten daher nicht verwendet werden:
- googl.
- google.
- www.googl.
- www.google.
URLs für Seiten zur Einmalanmeldung (SSO), die mit diesen Präfixen beginnen, müssen geändert werden.
Welche Auswirkungen hat die URL zur Passwortänderung auf Passwortänderungen?
Wenn Sie im Feld URL zur Passwortänderung eine URL eingeben, werden alle Nutzer, die ihr Passwort auf der Seite https://myaccount.google.com/ ändern möchten und keine Super Admins sind, an die angegebene URL weitergeleitet. Diese Einstellung gilt auch, wenn Sie die SSO nicht aktivieren. Außerdem werden Netzwerkmasken nicht angewendet.
Fehlerbehebung bei der Einmalanmeldung (SSO)
Im Hilfeartikel Fehlerbehebung bei der Einmalanmeldung (SSO) erfahren Sie, wie Sie häufige Probleme beheben. Darüber hinaus gibt es auch einige kommerzielle Produkte und Systemintegratoren, die SSO-Produkte und zugehörige Dienstleistungen anbieten. Suchen Sie im Google Workspace Marketplace nach Partnern oder anderen Dritten, die Unterstützung bei der Einmalanmeldung anbieten.
Hinweis: Der Google Workspace-Support beinhaltet keinen technischen Support für die Implementierung der SSO mit Drittanbieter-IdPs.