Einmalanmeldung (SSO) implementieren

In Domains mit Einmalanmeldung ohne Netzwerkmasken müssen sich Power User jetzt mit ihrem Google-Nutzernamen und Passwort anmelden. Nutzer, die keine Power User sind, werden auf die Seite für die Einmalanmeldung weitergeleitet.

Google Apps bietet für Kunden, die Google Apps for Business, Google Apps for Education oder Google Apps for ISP nutzen, die Einmalanmeldung (SSO) an. Mit der Einmalanmeldung können Nutzer auf ihre gesamten Google Apps einschließlich der Admin-Konsole zugreifen, nachdem sie sich einmalig auf einer SSO-Anmeldeseite angemeldet haben. Nutzer werden von Google zur SSO-Anmeldeseite weitergeleitet, wenn sie sich in der Admin-Konsole oder einem anderen Google-Dienst anmelden.

Google Apps bietet eine auf SAML basierende SSO-API, die sich in Ihr LDAP-System oder ein anderes SSO-System integrieren lässt. LDAP (Lightweight Directory Access Protocol) ist ein Netzwerkprotokoll zur Abfrage und Bearbeitung von Verzeichnisdiensten, die über TCP/IP ausgeführt werden.

SSO akzeptiert öffentliche Schlüssel und Zertifikate, die mit dem RSA- oder DSA-Algorithmus erzeugt wurden. Zum Verwenden des Service ist es erforderlich, einen Satz an öffentlichen und privaten Schlüsseln sowie ein X.509-Zertifikat zu erzeugen, das den öffentlichen Schlüssel enthält. Sobald Sie einen öffentlichen Schlüssel oder ein Zertifikat haben, müssen diese bei Google registriert werden. Laden Sie hierfür einfach den Schlüssel oder das Zertifikat über die Admin-Konsole von Google hoch.

Wie kann ich Schlüssel und Zertifikate über die Admin-Konsole von Google hochladen?

  1. In der Google Admin-Konsole anmelden
  2. Klicken Sie auf Sicherheit > Erweiterte Einstellungen. Wo finde ich das?
  3. Klicken Sie auf Einmalanmeldung (SSO) einrichten.
  4. Geben Sie die entsprechenden URLs ein und laden Sie Ihr Bestätigungszertifikat hoch.

Weitere Informationen finden Sie in der SSO-Referenz.

Wie werden Schlüssel und Zertifikate für den Einmalanmeldungsservice (SSO) von Google Apps erzeugt?

Die Art der Erzeugung von Schlüsseln und Zertifikaten hängt häufig von der Entwicklungsplattform und der Programmiersprache ab. Sie können OpenSSL, Certificate Creation-Tool und Pvk2pfx-Tool in .NET, Keytool in Java und Java Cryptography Architecture zum Erstellen öffentlicher und privater Schlüsselpaare verwenden. Weitere Informationen

Wie funktioniert das Bestätigungszertifikat?

Die Zertifikatdatei ist ein Zertifikat im X.509-Format mit einem eingebetteten öffentlichen Schlüssel. Der öffentliche Schlüssel kann DSA- oder RSA-Algorithmen verwenden. Anhand dieses Schlüssels verifiziert Google die Herkunft (stammt die SSO-Assertion von Ihnen?) und Integrität (wurde die Assertion während der Übertragung verändert?) der von Ihnen an uns gesendeten SAML-Antwort.

Dazu muss der im X.509-Zertifikat eingebettete öffentliche Schlüssel mit dem privaten Schlüssel übereinstimmen, mit dem Sie die SAML-Antwort signiert haben.

X509-Zertifikate können mit dem Befehl "openssl" erzeugt werden. Derzeit gibt es jedoch keine von uns empfohlene Vorgehensweise für Administratoren ohne vorhandenes Zertifikat. Weitere Informationen

Wie funktioniert das "Aussteller"-Element (d. h. die Entitäts-ID) in der SAML-Anforderung?

Der "Aussteller" ist in der SAML-Anfrage an den IdP (Identity Provider) enthalten. Sie können auswählen, ob ein Standardaussteller oder ein domainspezifischer Aussteller genommen werden soll. Wenn mehrere Domains SSO mit demselben IdP-Aggregator verwenden, kann der IdP-Aggregator nach einem spezifischen Aussteller suchen, um den richtigen Domainnamen für die SAML-Anforderung zu ermitteln. Wenn Sie das Kontrollkästchen zur Aktivierung eines domainspezifischen Ausstellers nicht aktivieren, sendet Google den Standardaussteller (google.de) in der SAML-Anforderung. Wenn Sie das Kontrollkästchen zur Aktivierung dieser Funktion aktivieren, sendet Google einen für Ihre Domain spezifischen Aussteller (google.de/a/ihre_musterdomain.de), wobei "ihre_musterdomain.de" für den Namen Ihrer Domain steht.

Wie funktionieren Netzwerkmasken?

Netzwerkmasken sind IP-Adressen, die unter Verwendung der Spezifikation "Classless Inter-Domain Routing (CIDR)" dargestellt werden. Die CIDR-Spezifikation bestimmt, wie viele Bits der IP-Adresse angegeben werden sollen. Google ermittelt mithilfe von Netzwerkmasken, welche IP-Adressen oder IP-Adressbereiche mit der SSO-Funktion dargestellt werden.

Netzwerkmasken müssen dem richtigen Format entsprechen. Nachstehend ein IPv6-Beispiel:

    2001:db8::/32 (der Schrägstrich und die Nummer danach stehen für die CIDR)
In diesem Beispiel würden die letzten 96 Bit entfallen. Somit würden alle IP-Adressen berücksichtigt, die sich in diesem Netzwerkbereich befinden.

Nachstehend ein IPv4-Beispiel:
    64.233.187.0/24
In diesem Beispiel würden die letzten acht Bit (d. h. die 0) entfallen. Somit würden alle IP-Adressen berücksichtigt, die sich im Bereich zwischen 64.233.187.0 und 64.233.187.255 befinden.

In Domains ohne Netzwerkmaske müssen Nutzer, die keine Power User sind, zum Identitätsanbieter (Identity Provider – IdP) hinzugefügt werden.

Wie wirkt sich die Aktivierung von SSO auf die Nutzer-Anmeldung aus?

Die Seite admin.google.com ist die Anmeldeseite für die Admin-Konsole. Von hier werden Nutzer zur Seite accounts.google.com weitergeleitet. Die Anmeldeseite für einen einzelnen Google-Dienst ist die Seite &ltservice>.google.com/a/&ltIhre_Domain>.com. Wenn Sie SSO für Ihre Domain konfigurieren, variiert das Verhalten dieser Seiten, je nachdem, ob der sich anmeldende Nutzer über Superadministratorrechte verfügt und ob die Domain eine Netzwerkmaske hat.

In Domains mit SSO mit einer Netzwerkmaske:

  • Wenn Nutzer – mit oder ohne Superadministratorrechte – sich auf der Seite accounts.google.com anmelden, werden sie von Google dazu aufgefordert, ihre vollständige Google-E-Mail-Adresse, einschließlich Nutzername und Domain, sowie das Passwort einzugeben und werden dann direkt zur Admin-Konsole weitergeleitet, nachdem sie sich angemeldet haben. Unabhängig von der Netzwerkmaske werden sie von Google nicht zum SSO-Server weitergeleitet.
  • Wenn Nutzer – mit oder ohne Superadministratorrechte – sich innerhalb der Netzwerkmaske auf der Seite &ltservice>.google.com/a/&ltIhre_Domain>.com anmelden, werden sie von Google zum SSO-Server weitergeleitet.
  • Wenn Nutzer – mit oder ohne Superadministratorrechte – sich außerhalb der Netzwerkmaske auf der Seite &ltservice>.google.com/a/&ltIhre_Domain>.com anmelden, werden sie von Google nicht zum SSO-Server weitergeleitet.

In Domains mit SSO ohne Netzwerkmaske:

  • Wenn Superadministratoren sich auf der Seite accounts.google.com anmelden, werden sie von Google dazu aufgefordert, ihre vollständige Google-E-Mail-Adresse, einschließlich Nutzername und Domain, sowie das Passwort einzugeben und werden dann direkt zur Admin-Konsole weitergeleitet, nachdem sie sich angemeldet haben. Sie werden von Google nicht zum SSO-Server weitergeleitet.
  • Wenn Nutzer ohne Superadministratorrechte, beispielsweise delegierte Administratoren, sich auf der Seite admin.google.com anmelden, werden sie von Google zum SSO-Server weitergeleitet, nachdem sie ihren Google-Nutzernamen eingegeben und auf Anmelden geklickt haben.
  • Wenn Nutzer – mit oder ohne Superadministratorrechte – sich auf der Seite &ltservice>.google.com/a/&ltIhre_Domain>.com anmelden, werden sie von Google zum SSO-Server weitergeleitet.

Welche Auswirkungen hat SSO auf Superadministratoren?

SSO hat nur Auswirkungen auf Superadministratoren, die sich bei einem Google-Dienst auf der Seite &ltservice>.google.com/a/&ltIhre_Domain>.com anmelden. SSO hat keine Auswirkungen auf Superadministratoren, die sich in einer Domain mit Einmalanmeldung auf der Seite admin.google.com anmelden.

 

Wenn Superadministratoren sich in einer Domain mit Einmalanmeldung – mit oder ohne Netzwerkmaske – auf der Seite admin.google.com anmelden, müssen sie ihre vollständige E-Mail-Adresse und das zugehörige Google-Passwort des Google Administratorkontos eingeben (und nicht den SSO-Nutzernamen und Passwort) und auf Anmelden klicken, um direkt auf die Admin-Konsole zuzugreifen. Sie werden von Google nicht zur SSO-Anmeldeseite weitergeleitet. Dies gilt für Anmeldeversuche über Browser, mobile Apps wie die iOS Drive App und die Gmail App, den Android-Konto-Aktivierungsprozess usw.

Wenn Superadministratoren sich in einem anderen Google-Dienst auf der Seite &ltservice>.google.com/a/&ltIhre_Domain>.com anmelden, werden sie von Google nur dann zur SSO-Anmeldeseite weitergeleitet, wenn sie sich innerhalb der Netzwerkmaske ihrer Domain anmelden. Wenn sie außerhalb der Netzwerkmaske ihrer Domain sind oder wenn ihre Domain keine Netzwerkmaske hat, werden sie von Google dazu aufgefordert, Ihren Google-Nutzernamen und das Passwort einzugeben.

Ich habe eine oben nicht behandelte Frage.

Weitere Informationen sowie Antworten auf häufig gestellte Fragen erhalten Sie auf der Seite zu häufig gestellten Fragen zur Einmalanmeldung (SSO) oder in den Artikeln zur Einmalanmeldung (SSO). Darüber hinaus bieten einige kommerzielle Produkte und Systemintegratoren SSO-Produkte und professionelle Services an. Durchsuchen Sie die professionellen Services auf Google Apps Marketplace nach Google Enterprise-Partnern und anderen Drittanbietern von Hilfe für SSO.

Unter Fehlerbehebung bei der Einmalanmeldung (SSO) finden Sie Informationen zum Beheben von häufig auftretenden Problemen bei der Integration von Google Apps mit SSO.