Mit der Einmalanmeldung (SSO) können sich Nutzer mit denselben Anmeldedaten in vielen geschäftlichen Cloud-Anwendungen anmelden. Workspace und die Google Cloud Platform unterstützen die Einmalanmeldung über externe Identitätsanbieter (IdPs).
Workspace unterstützt sowohl SAML- als auch OIDC-SSO-Protokolle. SAML SSO unterstützt jeden IdP. Derzeit wird von OIDC nur die Microsoft Entra ID unterstützt.
Wenn Sie SSO verwenden möchten, konfigurieren Sie SSO-Profile und weisen Sie sie dann Nutzergruppen oder Organisationseinheiten zu. So können mehrere IdPs unterstützt und SSO-Konfigurationen getestet werden. Dies ist das empfohlene System für die SSO-Authentifizierung. Das ältere Legacy-SSO-Profil für Organisationen ist ebenfalls verfügbar (nur für SAML).
Die SSO ist auch auf Chrome-Geräten verfügbar. Weitere Informationen finden Sie im Hilfeartikel SAML-Einmalanmeldung für Chrome-Geräte konfigurieren.
Zusätzliche Bestätigung nach der EinmalanmeldungWenn die SSO eingerichtet ist, können sich Nutzer bei ihrem Drittanbieter-IdP anmelden und dann ohne zusätzliche Bestätigung auf Google-Apps zugreifen, mit folgenden Ausnahmen:
- Auch wenn sie sich bereits bei ihrem IdP angemeldet haben, fordert Google sie als zusätzliche Sicherheitsmaßnahme gelegentlich auf, ihre Identität zu bestätigen. Weitere Informationen und Details dazu, wie Sie diese Überprüfung ggf. deaktivieren, finden Sie unter "Sichere SAML-Anmeldung".
- Sie können für Nutzer, die auf Google-Dienste zugreifen, zusätzlich eine Bestätigung in zwei Schritten einrichten. Die Bestätigung in zwei Schritten wird normalerweise umgangen, wenn SSO aktiviert ist. Weitere Informationen finden Sie im Hilfeartikel "Identitätsbestätigungen" mit SSO aktivieren.
Abbildung 1 zeigt, wie sich ein Nutzer über einen von Partnern betriebenen SAML-basierten SSO-Dienst in einer Google-Anwendung wie Gmail anmeldet. In der nummerierten Liste unter der Abbildung sind die einzelnen Schritte im Detail erläutert.
Wichtig: Bevor dieser Vorgang stattfindet, muss der Partner Google die URL für seinen Dienst zur Einmalanmeldung sowie den öffentlichen Schlüssel zur Verfügung stellen, den Google zur Überprüfung der SAML-Antworten verwendet.
Abbildung 1: Hier sehen Sie die Anmeldung bei Google über einen SAML-basierten SSO-Dienst.
Dieses Bild stellt die folgenden Schritte dar:
- Der Nutzer versucht, eine Anwendung von Google aufzurufen, etwa Gmail, Google Kalender oder einen anderen Google-Dienst.
- Google generiert eine SAML-Authentifizierungsanfrage, die codiert und in die URL für den SSO-Dienst des Partners eingebettet wird. Auch der RelayState-Parameter, der die verschlüsselte URL der Google-Anwendung enthält, die der Nutzer aufrufen möchte, ist in die SSO-URL eingebettet. Dieser RelayState-Parameter ist eine intransparente Kennzeichnung, die ohne Änderung oder Prüfung zurückgegeben wird.
- Google sendet eine Weiterleitung an den Browser des Nutzers. Die Weiterleitungs-URL enthält die codierte SAML-Authentifizierungsanfrage, die an den SSO-Dienst des Partners gesendet wird.
- Der Browser wird zur SSO-URL weitergeleitet.
- Der Partner decodiert die SAML-Anfrage und extrahiert die URL für den Google-ACS (Assertion Consumer Service) und die Ziel-URL des Nutzers (RelayState-Parameter).
- Der Partner authentifiziert den Nutzer anschließend. Partner haben diese Möglichkeiten zur Authentifizierung: durch die Frage nach gültigen Anmeldedaten oder anhand gültiger Cookies für die Sitzung.
- Der Partner erstellt eine SAML-Antwort, die den Nutzernamen des authentifizierten Nutzers enthält. Gemäß der SAML v2.0-Spezifikation ist diese Antwort mit dem öffentlichen und privaten DSA-/RSA-Schlüssel des Partners digital signiert.
- Der Partner codiert die SAML-Antwort und den RelayState-Parameter und gibt diese Informationen an den Browser des Nutzers zurück. Der Partner stellt einen Mechanismus zur Verfügung, mit dem der Browser diese Informationen an den Google-ACS weiterleiten kann. Der Partner kann beispielsweise die SAML-Antwort und die Ziel-URL in ein Formular einbetten und eine Schaltfläche bereitstellen, über die der Nutzer das Formular an Google senden kann. Der Partner kann auch JavaScript auf der Seite verwenden, das das Formular an Google sendet.
- Der Browser sendet eine Antwort an die ACS-URL. Der ACS von Google verifiziert die SAML-Antwort anhand des öffentlichen Schlüssels des Partners. Wenn die Antwort erfolgreich verifiziert wurde, leitet ACS den Nutzer an die Ziel-URL weiter.
- Der Nutzer ist in der Google App angemeldet.
Nutzerkonten zwischen Ihrem IdP und Google synchronisieren
Um die Verwaltung des Nutzerlebenszyklus zu vereinfachen, synchronisieren die meisten Organisationen, die die Einmalanmeldung verwenden, auch ihr Nutzerverzeichnis vom IdP mit Google. Wenn die Synchronisierung eingerichtet ist, werden neue (oder gelöschte) Nutzer auf IdP-Seite automatisch als Workspace-Nutzer hinzugefügt oder gelöscht. Directory Sync von Google unterstützt Active Directory und Entra ID. Die meisten IdPs unterstützen die Synchronisierung mit Google. Eine Anleitung zur Einrichtung finden Sie in der Dokumentation Ihres Identitätsanbieters.
SSO und Secure LDAP
Secure LDAP erfordert ein Google-Passwort und ist nicht mit SSO kompatibel.