Over SSO

Als SSO is ingesteld, hebben gebruikers die inloggen bij hun IdP van derden zonder aanvullende verificatie toegang tot Google-apps, met de volgende uitzonderingen:

• Zelfs als ze al zijn ingelogd bij hun IdP, vraagt Google ze als extra beveiligingsmaatregel soms om hun identiteit te bevestigen. Ga naar Over veilig inloggen met SAML voor meer informatie (en informatie over hoe u deze verificatie indien nodig kunt uitzetten).
• U kunt aanvullende verificatie in 2 stappen instellen voor gebruikers die Google-services gebruiken. Verificatie in 2 stappen wordt meestal overgeslagen als SSO aanstaat. Ga naar Inlogchallenges met SSO aanzetten voor meer informatie.

Figuur 1 toont het proces waarmee een gebruiker inlogt bij een Google-app, zoals Gmail, met een SAML-gebaseerde SSO-service die door een partner wordt beheerd. De genummerde lijst bij de afbeelding bevat meer informatie over elke stap.

Belangrijk: Voordat dit proces wordt uitgevoerd, moet de partner Google de URL van zijn SSO-service geven, samen met de openbare sleutel die Google moet gebruiken om SAML-reacties te verifiëren.

Afbeelding 1: Deze afbeelding toont hoe u inlogt bij Google met een SAML-gebaseerde SSO-service.

In deze afbeelding worden de volgende stappen weergegeven.

1. De gebruiker probeert een gehoste Google-app te bereiken, zoals Gmail, Google Agenda of een andere Google-service.
2. Google genereert een SAML-verificatieverzoek, dat wordt gecodeerd en ingevoegd in de URL van de SSO-service van de partner. De RelayState-parameter met de gecodeerde URL van de Google-app die de gebruiker probeert te openen, wordt ook ingesloten in de SSO-URL. Deze RelayState-parameter is een ondoorzichtige ID die wordt teruggestuurd zonder wijziging of inspectie.
3. Google stuurt een omleiding naar de browser van de gebruiker. De omleidings-URL bevat het gecodeerde SAML-verificatieverzoek dat moet worden verzonden naar de SSO-service van de partner.
4. De browser wordt omgeleid naar de SSO-URL.
5. De partner decodeert het SAML-verzoek en leidt de URL af voor zowel de ACS (Assertion Consumer Service) van Google als de bestemmings-URL van de gebruiker (parameter RelayState).
6. De partner verifieert vervolgens de gebruiker. Partners kunnen gebruikers verifiëren door om geldige inloggegevens te vragen of door te controleren op geldige sessiecookies.
7. De partner genereert een SAML-reactie met daarin de gebruikersnaam van de geverifieerde gebruiker. In overeenstemming met de SAML v2.0-specificaties wordt deze reactie digitaal ondertekend met de openbare en privé-DSA/RSA-sleutels van de partner.
8. De partner codeert de SAML-reactie en de RelayState-parameter en stuurt deze gegevens terug naar de browser van de gebruiker. De partner zorgt voor een mechanisme waarmee de browser die informatie kan doorsturen naar de ACS van Google. De partner kan bijvoorbeeld de SAML-reactie en bestemmings-URL insluiten in een formulier en een knop tonen waarmee de gebruiker het formulier naar Google kan sturen. De partner kan ook JavaScript toevoegen aan de pagina waarmee het formulier naar Google wordt gestuurd.
9. De browser stuurt een reactie naar de ACS-URL. De ACS van Google verifieert de SAML-reactie met de openbare sleutel van de partner. Als de reactie is geverifieerd, stuurt ACS de gebruiker naar de bestemmings-URL.
10. De gebruiker is ingelogd bij de Google-app.