Einmalanmeldung (Single Sign-On – SSO) für Google Apps-Konten einrichten

In Domains mit Einmalanmeldung ohne Netzwerkmasken müssen sich Power User mit ihrem Google-Nutzernamen und Passwort anmelden. Nutzer, die keine Power User sind, werden auf die Seite für die Einmalanmeldung weitergeleitet.

Die Einmalanmeldung ist verfügbar für Google Apps for Work, Google Apps for Education und Google Apps for Government. Nutzer können dadurch, nachdem sie sich einmalig für alle Dienste angemeldet haben, auf alle ihre Google Apps zugreifen – und Administratoren auch auf die Admin-Konsole. Wenn die Einmalanmeldung eingerichtet ist, werden Nutzer, die sich in der Admin-Konsole oder in einem anderen Google-Dienst anmelden möchten, auf die SSO-Anmeldeseite weitergeleitet.

Wir bieten eine SSO-API auf SAML-Basis (Security Assertion Markup Language), die Sie für die Integration in Ihr LDAP (Lightweight Directory Access Protocol) oder in ein anderes SSO-System verwenden können. LDAP ist ein Netzwerkprotokoll zur Abfrage und Bearbeitung von Verzeichnisdiensten, die über TCP/IP ausgeführt werden.

Um die Einmalanmeldung zu verwenden, ist es erforderlich, einen Satz an öffentlichen und privaten Schlüsseln sowie ein X.509-Zertifikat zu erzeugen, das den öffentlichen Schlüssel enthält. Die öffentlichen Schlüssel und Zertifikate müssen mit dem RSA- oder DSA-Algorithmus erzeugt und bei Google registriert werden. Für die Registrierung laden Sie den Schlüssel und das Zertifikat über die Google Admin-Konsole hoch.

SSO einrichten und Schlüssel und Bestätigungszertifikat hochladen
  1. In der Google Admin-Konsole anmelden 
  2. Klicken Sie auf Sicherheit > Erweiterte Einstellungen. Wo finde ich das? 
  3. Aktivieren Sie das Kontrollkästchen Einmalanmeldung (SSO) mit Identität durch Drittanbieter einrichten.
  4. Geben Sie die entsprechenden URLs ein, um den Drittanbieter als Identitätsanbieter (Identity Provider – IdP) einzurichten.
  5. Laden Sie das Bestätigungszertifikat hoch.

    Die Zertifikatdatei muss den öffentlichen Schlüssel beinhalten, sodass Google Anmeldeanfragen bestätigen kann.

  6. Aktivieren Sie nach Bedarf das Kontrollkästchen Verwenden Sie einen Domain-spezifischen Bearbeiter, um einen domainspezifischen Aussteller zu verwenden. Wenn Sie diese Funktion aktivieren, sendet Google in der SAML-Anfrage den domainspezifischen Aussteller google.com/a/ihrebeispielurl.de, wobei ihrebeispielurl.de durch den tatsächlichen Namen Ihrer Domain ersetzt wird.

    Wenn Sie bei der Einrichtung der Einmalanmeldung das Kontrollkästchen für den domainspezifischen Aussteller nicht aktivieren, sendet Google in der SAML-Anfrage den Standardaussteller google.com.

  7. Klicken Sie auf Änderungen speichern.

Alle URLs müssen HTTPS verwenden, z. B. https://sso.ihrebeispielurl.de.

Weitere Informationen finden Sie unter SAML-SSO-Dienst für Google Apps.

Wie erstelle ich Schüssel und Zertifikate für die Einmalanmeldung von Google Apps?

Die Art der Erzeugung von Schlüsseln und Zertifikaten hängt häufig von der Entwicklungsplattform und der Programmiersprache ab. Sie können zum Erstellen öffentlicher und privater Schlüsselpaare OpenSSL, das Certificate Creation-Tool und das Pvk2pfx-Tool in .NET, das Keytool in Java und Java Cryptography Architecture verwenden. Details hierzu finden Sie unter Schlüssel und Zertifikate für die Google Apps-Einmalanmeldung erstellen.

Wie funktioniert das Bestätigungszertifikat?

Die Zertifikatdatei muss ein Zertifikat im X.509-Format mit einem eingebetteten öffentlichen Schlüssel sein. Der öffentliche Schlüssel muss mit dem DSA- oder RSA-Algorithmus erstellt werden. Anhand dieses Schlüssels wird die SAML-Antwort geprüft, die Sie an Google senden. So wird sichergestellt, dass die SSO-Assertion auch wirklich von Ihnen stammt und während der Übertragung nicht verändert wurde.

Dazu muss der im X.509-Zertifikat eingebettete öffentliche Schlüssel mit dem privaten Schlüssel übereinstimmen, mit dem Sie die SAML-Antwort signiert haben.

Obwohl wir aktuell keine Best Practices für Administratoren ohne vorhandenes Zertifikat unterstützen, kann die Erstellung von X.509-Zertifikaten über den Befehl openssl vorgenommen werden. Details hierzu finden Sie unter Schlüssel und Zertifikate für die Google Apps-Einmalanmeldung erstellen.

Wie funktioniert der Aussteller, d. h. das Entitäts-ID-Element in der SAML-Anfrage?

Der "Aussteller" ist in der SAML-Anfrage an den Identitätsanbieter (Identity Provider – IdP) enthalten. Sie können auswählen, ob ein Standardaussteller oder ein domainspezifischer Aussteller verwendet werden soll. Wenn mehrere Domains SSO mit demselben IdP-Aggregator verwenden, kann der IdP-Aggregator nach einem spezifischen Aussteller suchen, um den richtigen Domainnamen für die SAML-Anfrage zu ermitteln. Wenn Sie das Kontrollkästchen zur Aktivierung eines domainspezifischen Ausstellers nicht aktivieren, sendet Google den Standardaussteller (google.com) in der SAML-Anfrage. Wenn Sie die Funktion aktivieren, sendet Google einen domainspezifischen Aussteller (google.com/a/ihrebeispielurl.de), wobei ihrebeispielurl.de für den Namen Ihrer Domain steht.

Wie funktionieren Netzwerkmasken?

Netzwerkmasken sind IP-Adressen, die unter Verwendung der Spezifikation "Classless Inter-Domain Routing (CIDR)" dargestellt werden. Die CIDR-Spezifikation legt fest, wie viele Bits der IP-Adresse angegeben werden. Google ermittelt mithilfe von Netzwerkmasken, welche IP-Adressen oder IP-Adressbereiche mit dem SSO-Dienst dargestellt werden. In Domains ohne Netzwerkmaske müssen Sie Nutzer, die keine Power User sind, dem Identitätsanbieter hinzufügen.

Netzwerkmasken müssen dem richtigen Format entsprechen. Im folgenden IPv6-Beispiel stellen der Schrägstrich (/) und die darauf folgende Zahl die CIDR dar. Die letzten 96 Bit entfallen und es werden alle IP-Adressen berücksichtigt, die sich in diesem Netzwerkbereich befinden.

  • 2001:db8::/32

In diesem IPv4-Beispiel entfallen die letzten acht Bit (d. h. die 0) und es werden alle IP-Adressen berücksichtigt, die sich im Bereich zwischen 64.233.187.0 und 64.233.187.255 befinden.

  • 64.233.187.0/24

Hinweis:

Wenn Netzwerkmasken aktiviert sind, werden alle Nutzer und Power User auf der Google-Anmeldeseite (accounts.google.com) nicht zu ihrem SSO-System weitergeleitet.

Wie wirkt sich die Einmalanmeldung (SSO) auf den Anmeldevorgang der Nutzer aus?

Die Anmeldeseite für die Admin-Konsole lautet admin.google.com (Weiterleitung auf accounts.google.com). Die Anmeldeseite für einen einzelnen Google-Dienst hingegen lautet dienst.google.com/a/ihrebeispielurl.de. Wenn Sie die Einmalanmeldung (SSO) für Ihre Domain konfigurieren, hängt das Verhalten dieser Seiten davon ab, ob der Nutzer, der sich anmeldet, die Rechte eines Power Users hat und ob die Domain eine Netzwerkmaske besitzt.

In Domains mit Einmalanmeldung und ohne Netzwerkmaske:

  • Wenn Power User sich auf der Seite accounts.google.com anmelden, werden sie dazu aufgefordert, ihre vollständige Google Apps-E-Mail-Adresse, einschließlich Nutzername und Domain, sowie das Passwort einzugeben. Nachdem sie sich angemeldet haben, werden sie zur Admin-Konsole weitergeleitet. Sie werden von Google nicht zum SSO-Server weitergeleitet.
  • Wenn Nutzer ohne die Rechte eines Power Users sich auf der Seite accounts.google.com anmelden, werden sie auf die SSO-Anmeldeseite weitergeleitet.
  • Wenn Nutzer ohne die Rechte eines Power Users, beispielsweise delegierte Administratoren, sich auf der Seite admin.google.com anmelden, werden sie von Google zum SSO-Server weitergeleitet, nachdem sie sich mit ihrem Google Apps-Konto angemeldet haben.
  • Wenn Nutzer (mit oder ohne Rechte eines Power Users) sich auf der Seite dienst.google.com/a/ihrebeispielurl.de anmelden, werden sie von Google auf die SSO-Anmeldeseite weitergeleitet.

In Domains mit aktivierter Einmalanmeldung und mit Netzwerkmaske:

  • Wenn Nutzer (mit oder ohne Rechte eines Power Users) sich bei accounts.google.com anmelden, werden sie aufgefordert, ihre vollständige Google-E-Mail-Adresse, einschließlich Nutzername und Domain, sowie das Passwort einzugeben. Nach der Anmeldung werden sie direkt zur Admin-Konsole weitergeleitet. Unabhängig von der Netzwerkmaske werden sie von Google nicht zum SSO-Server weitergeleitet.
  • Wenn Nutzer (mit oder ohne Rechte eines Power Users) sich innerhalb der Netzwerkmaske auf der Seite dienst.google.com/a/ihrebeispielurl.de anmelden, werden sie auf die SSO-Anmeldeseite weitergeleitet.
  • Wenn Nutzer (mit oder ohne Rechte eines Power Users) sich außerhalb der Netzwerkmaske auf der Seite dienst.google.com/a/ihrebeispielurl.de anmelden, werden sie von Google nicht auf die SSO-Anmeldeseite weitergeleitet.
Welche Auswirkungen hat die URL zur Passwortänderung auf Passwortänderungen?

Wenn Sie im Feld URL Passwortänderung eine URL angeben, werden alle Nutzer, die ihr Passwort auf der Seite https://myaccount.google.com/ ändern möchten, an die angegebene URL weitergeleitet. Diese Einstellung gilt auch, wenn Sie die Einmalanmeldung nicht aktivieren, und sie ist unabhängig von Netzwerkmasken.

Welche Auswirkungen hat die Einmalanmeldung auf Power User?
  • Die Einmalanmeldung (SSO) hat keine Auswirkungen auf Power User, die sich über admin.google.com in einer Domain mit Einmalanmeldung anmelden.
    Nachdem Sie die Einmalanmeldung für eine Domain aktiviert haben (statt der Aufforderung zur Eingabe eines Nutzernamens und Passworts), werden Power User nach Eingabe der E-Mail-Adresse zur Anmeldeseite weitergeleitet, die in der Admin-Konsole festgelegt ist.
  • Wenn Power User sich im Sync-Client für Google Drive anmelden, umgehen sie die SSO.
  • Wenn Power User sich in einer Domain mit SSO – mit oder ohne Netzwerkmaske – auf der Seite admin.google.com anmelden, müssen sie ihre vollständige E-Mail-Adresse und das zugehörige Google-Passwort des Google-Administratorkontos eingeben (und nicht den SSO-Nutzernamen und das Passwort) und auf Anmelden klicken, um direkt auf die Admin-Konsole zuzugreifen. Sie werden von Google nicht zur SSO-Anmeldeseite weitergeleitet. Dies gilt für Anmeldeversuche über Browser, mobile Apps wie die iOS Drive App und die Gmail App, den Android-Konto-Aktivierungsprozess usw.
  • Wenn Power User sich unter dienst.google.com/a/ihrebeispielurl.de in einem anderen Google-Dienst anmelden, werden sie von Google nur dann auf die SSO-Anmeldeseite weitergeleitet, wenn sie sich innerhalb der Netzwerkmaske ihrer Domain anmelden. Wenn sie außerhalb der Netzwerkmaske ihrer Domain sind oder wenn ihre Domain keine Netzwerkmaske hat, werden sie von Google dazu aufgefordert, ihren Google-Nutzernamen und das Passwort einzugeben.
  • Clients wie Gmail für iOS, Drive für iOS, Chrome Browser-Synchronisierung, Android-Einrichtung usw. verwenden die Google-Authentifizierung. Wenn Sie sich in einem dieser Clients anmelden, werden Sie aufgefordert, die vollständige E-Mail-Adresse für Ihr Google Apps-Konto einschließlich Nutzername und Domain anzugeben. Nachdem Sie sich angemeldet haben, werden Sie direkt zur Anwendung weitergeleitet. Google leitet Sie nicht auf die SSO-Anmeldeseite weiter, unabhängig von der Netzwerkmaske.
Wie richte ich die Einmalanmeldung auf Chrome-Geräten ein?

Ausführliche Informationen hierzu finden Sie unter SAML-Einmalanmeldung (SSO) für Chrome-Geräte konfigurieren.

Ich habe eine oben nicht behandelte Frage.

Antworten auf häufig gestellte Fragen erhalten Sie auf der Seite Häufig gestellte Fragen zur SAML-Einmalanmeldung oder in den Artikeln zur Einmalanmeldung. Darüber hinaus gibt es auch einige kommerzielle Produkte und Systemintegratoren, die SSO-Produkte und professionelle Dienste anbieten. Suchen Sie im Google Apps Marketplace nach Google for Work-Partnern oder anderen Dritten, die Unterstützung bei der Einmalanmeldung anbieten.

Im Artikel Fehlerbehebung bei der Einmalanmeldung erfahren Sie, wie Sie häufige Probleme beheben.