Informazioni sull'SSO

Il Single Sign-On (SSO) consente agli utenti di accedere a molte applicazioni cloud aziendali utilizzando un unico set di credenziali. Workspace (e la piattaforma Google Cloud) supportano il servizio SSO di provider di identità (IdP) di terze parti. 

Workspace supporta i protocolli SSO SAML e OIDC. L'SSO SAML supporta qualsiasi IdP. Al momento OIDC supporta solo Microsoft Entra ID.

Per utilizzare l'SSO, configura i profili SSO, quindi assegnali a gruppi di utenti o unità organizzative. In questo modo è possibile supportare più IdP e testare le configurazioni SSO. Questo è il sistema consigliato per l'SSO. È disponibile anche il nostro precedente profilo SSO legacy per le organizzazioni (solo per SAML).

Il servizio SSO è disponibile anche sui dispositivi Chrome. Per informazioni dettagliate, vedi Configurare il servizio Single Sign-On basato su SAML per i dispositivi Chrome.

Verifica aggiuntiva dopo l'SSO

Una volta configurato l'SSO,  gli utenti che accedono al proprio IdP di terze parti possono accedere alle app Google senza ulteriore verifica, con le seguenti eccezioni:

  • Anche se hanno già eseguito l'accesso al proprio IdP, a volte Google chiederà agli utenti di verificare la loro identità come misura di sicurezza aggiuntiva. Per saperne di più e per informazioni dettagliate su come disattivare questa verifica, se necessario, vai a Informazioni sull'accesso sicuro SAML.
  • Puoi configurare un'ulteriore verifica in due passaggi per gli utenti che accedono ai servizi Google. La verifica in due passaggi viene normalmente ignorata quando il servizio SSO è attivo. Per saperne di più, vedi Attivare le verifiche con SSO.
Informazioni sull'SSO basato su SAML

La Figura 1 illustra la procedura con cui un utente accede a un'applicazione Google, come Gmail, tramite un servizio SSO basato su SAML gestito da un partner. L'elenco numerato che segue l'immagine descrive ogni passaggio.

Importante: Prima dell'esecuzione di questo processo, il partner deve fornire a Google l'URL del proprio servizio SSO e la chiave pubblica che Google dovrà utilizzare per verificare le risposte SAML.

Figura 1: questa immagine mostra la procedura di accesso a Google utilizzando un servizio SSO basato su SAML. 

L'immagine illustra i seguenti passaggi.

  1. L'utente tenta di raggiungere un'applicazione Google ospitata, come Gmail, Google Calendar o un altro servizio Google.
  2. Google genera una richiesta di autenticazione SAML, che viene codificata e incorporata nell'URL del servizio SSO del partner. Anche il parametro RelayState, che contiene l'URL codificato dell'applicazione Google alla quale l'utente sta cercando di accedere, viene incorporato nell'URL dell'SSO. Questo parametro RelayState è un identificatore opaco che viene restituito senza alcuna modifica o ispezione.
  3. Google invia un reindirizzamento al browser dell'utente. L'URL di reindirizzamento include la richiesta di autenticazione SAML codificata che dovrà essere inoltrata al servizio SSO del partner.
  4. Il browser reindirizza all'URL dell'SSO.
  5. Il partner decodifica la richiesta SAML ed estrae sia l'URL del servizio ACS (Assertion Consumer Service) di Google sia l'URL di destinazione dell'utente (parametro RelayState). 
  6. A questo punto il partner esegue l'autenticazione dell'utente. I partner possono autenticare gli utenti richiedendo credenziali di accesso valide o verificando la presenza di cookie di sessione validi.
  7. Il partner genera una risposta SAML contenente il nome utente dell'utente autenticato. In conformità alla specifica SAML v2.0, questa risposta include una firma digitale con le chiavi DSA/RSA pubbliche e private del partner.
  8. Il partner codifica la risposta SAML e il parametro RelayState e restituisce le informazioni al browser dell'utente. Il partner fornisce un meccanismo che consente al browser di inoltrare le informazioni al servizio ACS di Google. Ad esempio, il partner può incorporare la risposta SAML e l'URL di destinazione in un modulo e fornire un pulsante sul quale l'utente potrà fare clic per inoltrare il modulo a Google. Il partner potrebbe anche includere JavaScript nella pagina che invia il modulo a Google.
  9. Il browser invia una risposta all'URL ACS. Il servizio ACS di Google verifica la risposta SAML utilizzando la chiave pubblica del partner. Se la verifica della risposta ha esito positivo, il servizio ACS reindirizza l'utente all'URL di destinazione. 
  10. L'utente ha eseguito l'accesso all'app Google.

Sincronizzazione degli account utente tra il tuo IdP e Google

Per semplificare la gestione del ciclo di vita degli utenti, la maggior parte delle organizzazioni che utilizzano il Single Sign-On sincronizza anche la directory degli utenti dall'IdP a Google. Con la sincronizzazione attiva, gli utenti nuovi (o eliminati) lato IdP vengono aggiunti o eliminati automaticamente come utenti di Workspace. Directory Sync di Google supporta Active Directory ed Entra ID. La maggior parte degli IdP supporta la sincronizzazione con Google. Per istruzioni sulla configurazione, consulta la documentazione dell'IdP. 

SSO e LDAP sicuro

LDAP sicuro richiede una password Google ed è incompatibile con l'SSO.

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
70170292800081960
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false
false