Over SSO

Met Single sign-on (SSO) kunnen gebruikers met één set inloggegevens inloggen bij veel zakelijke cloud-apps. Workspace (en Google Cloud Platform) ondersteunen SSO van identiteitsproviders (IdP's) van derden.

Workspace ondersteunt zowel SAML- als OIDC-SSO-protocollen. SAML SSO ondersteunt elke IdP. OIDC ondersteunt op dit moment alleen Microsoft Entra ID.

Als u SSO wilt gebruiken, stelt u SSO-profielen in en wijst u ze toe aan gebruikersgroepen of organisatie-eenheden. Zo kunt u meerdere IdP's ondersteunen en SSO-configuraties testen. Dit is het aanbevolen systeem voor SSO. Ons verouderde SSO-profiel voor organisaties is ook beschikbaar (alleen voor SAML).

SSO is ook beschikbaar op Chrome-apparaten. Zie SAML Single sign-on instellen voor Chrome-apparaten voor meer informatie.

Aanvullende verificatie na SSO

Als SSO is ingesteld, hebben gebruikers die inloggen bij hun IdP van derden zonder aanvullende verificatie toegang tot Google-apps, met de volgende uitzonderingen:

  • Zelfs als ze al zijn ingelogd bij hun IdP, vraagt Google ze als extra beveiligingsmaatregel soms om hun identiteit te bevestigen. Ga naar Over veilig inloggen met SAML voor meer informatie (en informatie over hoe u deze verificatie indien nodig kunt uitzetten).
  • U kunt aanvullende verificatie in 2 stappen instellen voor gebruikers die Google-services gebruiken. Verificatie in 2 stappen wordt meestal overgeslagen als SSO aanstaat. Ga naar Inlogchallenges met SSO aanzetten voor meer informatie.
Door partners uitgevoerde SAML-gebaseerde SSO begrijpen

Figuur 1 toont het proces waarmee een gebruiker inlogt bij een Google-app, zoals Gmail, met een SAML-gebaseerde SSO-service die door een partner wordt beheerd. De genummerde lijst bij de afbeelding bevat meer informatie over elke stap.

Belangrijk: Voordat dit proces wordt uitgevoerd, moet de partner Google de URL van zijn SSO-service geven, samen met de openbare sleutel die Google moet gebruiken om SAML-reacties te verifiëren.

Afbeelding 1: Deze afbeelding toont hoe u inlogt bij Google met een SAML-gebaseerde SSO-service.

In deze afbeelding worden de volgende stappen weergegeven.

  1. De gebruiker probeert een gehoste Google-app te bereiken, zoals Gmail, Google Agenda of een andere Google-service.
  2. Google genereert een SAML-verificatieverzoek, dat wordt gecodeerd en ingevoegd in de URL van de SSO-service van de partner. De RelayState-parameter met de gecodeerde URL van de Google-app die de gebruiker probeert te openen, wordt ook ingesloten in de SSO-URL. Deze RelayState-parameter is een ondoorzichtige ID die wordt teruggestuurd zonder wijziging of inspectie.
  3. Google stuurt een omleiding naar de browser van de gebruiker. De omleidings-URL bevat het gecodeerde SAML-verificatieverzoek dat moet worden verzonden naar de SSO-service van de partner.
  4. De browser wordt omgeleid naar de SSO-URL.
  5. De partner decodeert het SAML-verzoek en leidt de URL af voor zowel de ACS (Assertion Consumer Service) van Google als de bestemmings-URL van de gebruiker (parameter RelayState).
  6. De partner verifieert vervolgens de gebruiker. Partners kunnen gebruikers verifiëren door om geldige inloggegevens te vragen of door te controleren op geldige sessiecookies.
  7. De partner genereert een SAML-reactie met daarin de gebruikersnaam van de geverifieerde gebruiker. In overeenstemming met de SAML v2.0-specificaties wordt deze reactie digitaal ondertekend met de openbare en privé-DSA/RSA-sleutels van de partner.
  8. De partner codeert de SAML-reactie en de RelayState-parameter en stuurt deze gegevens terug naar de browser van de gebruiker. De partner zorgt voor een mechanisme waarmee de browser die informatie kan doorsturen naar de ACS van Google. De partner kan bijvoorbeeld de SAML-reactie en bestemmings-URL insluiten in een formulier en een knop tonen waarmee de gebruiker het formulier naar Google kan sturen. De partner kan ook JavaScript toevoegen aan de pagina waarmee het formulier naar Google wordt gestuurd.
  9. De browser stuurt een reactie naar de ACS-URL. De ACS van Google verifieert de SAML-reactie met de openbare sleutel van de partner. Als de reactie is geverifieerd, stuurt ACS de gebruiker naar de bestemmings-URL.
  10. De gebruiker is ingelogd bij de Google-app.

Gebruikersaccounts synchroniseren tussen uw IdP en Google

De meeste organisaties die SSO gebruiken, synchroniseren ook hun gebruikersdirectory van de IdP naar Google om het beheer van de gebruikerscycli te vereenvoudigen. Als de synchronisatie is ingesteld, worden nieuwe (of verwijderde) gebruikers aan de IdP-kant automatisch toegevoegd of verwijderd als Workspace-gebruikers. Directory Sync van Google ondersteunt Active Directory en Entra ID. De meeste IdP's ondersteunen synchronisatie met Google. Bekijk de documentatie van uw IdP voor instructies.

SSO en Secure LDAP

Secure LDAP vereist een Google-wachtwoord en werkt niet met SSO.

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
8947648767142864424
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false