Einmalanmeldung (SSO) einrichten

In Domains mit Einmalanmeldung ohne Netzwerkmasken müssen sich Power User jetzt mit ihrem Google-Nutzernamen und Passwort anmelden. Nutzer, die keine Power User sind, werden auf die Seite für die Einmalanmeldung weitergeleitet.

Google Apps bietet die Einmalanmeldung (SSO) Kunden von Google Apps for Work, Education oder ISPs an. Mit der Einmalanmeldung können Nutzer auf ihre gesamten Google Apps einschließlich der Admin-Konsole zugreifen, nachdem sie sich einmalig auf einer SSO-Anmeldeseite angemeldet haben. Nutzer werden von Google zur SSO-Anmeldeseite weitergeleitet, wenn sie sich in der Admin-Konsole oder einem anderen Google-Dienst anmelden.

Google Apps bietet eine auf SAML basierende SSO-API, die sich in Ihr LDAP-System oder ein anderes SSO-System integrieren lässt. LDAP (Lightweight Directory Access Protocol) ist ein Netzwerkprotokoll zur Abfrage und Bearbeitung von Verzeichnisdiensten, die über TCP/IP ausgeführt werden.

SSO akzeptiert öffentliche Schlüssel und Zertifikate, die mit dem RSA- oder DSA-Algorithmus erzeugt wurden. Zum Verwenden des Service ist es erforderlich, einen Satz an öffentlichen und privaten Schlüsseln sowie ein X.509-Zertifikat zu erzeugen, das den öffentlichen Schlüssel enthält. Sobald Sie einen öffentlichen Schlüssel oder ein Zertifikat haben, müssen diese bei Google registriert werden. Laden Sie hierfür einfach den Schlüssel oder das Zertifikat über die Admin-Konsole von Google hoch.

Wie lade ich Schlüssel und Zertifikate über die Google Admin-Konsole hoch?
  1. In der Google Admin-Konsole anmelden 
  2. Klicken Sie auf Sicherheit > Erweiterte Einstellungen. Wo finde ich das? 
  3. Klicken Sie auf Einmalanmeldung (SSO) einrichten.
  4. Geben Sie die entsprechenden URLs ein und laden Sie Ihr Bestätigungszertifikat hoch.

Eine weitere Anleitung erhalten Sie im Verweis zur Einmalanmeldung (SSO).

Wie erstelle ich Schüssel und Zertifikate für die Einmalanmeldung (SSO) von Google Apps?

Die Art der Erzeugung von Schlüsseln und Zertifikaten hängt häufig von der Entwicklungsplattform und der Programmiersprache ab. Sie können OpenSSL, Certificate Creation-Tool und Pvk2pfx-Tool in .NET, Keytool in Java und Java Cryptography Architecture zum Erstellen öffentlicher und privater Schlüsselpaare verwenden. Weitere Informationen

Wie funktioniert das Bestätigungszertifikat?

Die Zertifikatdatei ist ein Zertifikat im X.509-Format mit einem eingebetteten öffentlichen Schlüssel. Der öffentliche Schlüssel kann DSA- oder RSA-Algorithmen verwenden. Google bestätigt anhand dieses Schlüssels Ursprung (stammt die SSO-Assertion von Ihnen?) und Integrität (wurde die Assertion während der Übertragung verändert?) der SAML-Antwort, die Sie an uns senden.

Dazu muss der im X.509-Zertifikat eingebettete öffentliche Schlüssel mit dem privaten Schlüssel übereinstimmen, mit dem Sie die SAML-Antwort signiert haben.

Obwohl wir aktuell keine Best Practices für Administratoren ohne vorhandenes Zertifikat unterstützen, kann die Erstellung von X.509-Zertifikaten über den Befehl "openssl" vorgenommen werden. Weitere Informationen

Wie funktioniert das "Aussteller"-Element (d. h. die Entitäts-ID) in der SAML-Anfrage?

Der "Aussteller" ist in der SAML-Anfrage an den IdP (Identity Provider) enthalten. Sie können auswählen, ob ein Standardaussteller oder ein domainspezifischer Aussteller genommen werden soll. Wenn mehrere Domains SSO mit demselben IdP-Aggregator verwenden, kann der IdP-Aggregator nach einem spezifischen Aussteller suchen, um den richtigen Domainnamen für die SAML-Anforderung zu ermitteln. Wenn Sie das Kontrollkästchen zur Aktivierung eines domainspezifischen Ausstellers nicht aktivieren, sendet Google den Standardaussteller (google.de) in der SAML-Anforderung. Wenn Sie das Kontrollkästchen zur Aktivierung dieser Funktion aktivieren, sendet Google einen für Ihre Domain spezifischen Aussteller (google.de/a/ihre_musterdomain.de), wobei "ihre_musterdomain.de" für den Namen Ihrer Domain steht.

Wie funktionieren Netzwerkmasken?

Netzwerkmasken sind IP-Adressen, die unter Verwendung der Spezifikation "Classless Inter-Domain Routing (CIDR)" dargestellt werden. Die CIDR-Spezifikation bestimmt, wie viele Bits der IP-Adresse angegeben werden sollen. Google ermittelt mithilfe von Netzwerkmasken, welche IP-Adressen oder IP-Adressbereiche mit der SSO-Funktion dargestellt werden.

Netzwerkmasken müssen dem richtigen Format entsprechen. Nachstehend ein IPv6-Beispiel:

  • 2001:db8::/32 (der Schrägstrich und die Nummer danach stehen für die CIDR)
In diesem Beispiel würden die letzten 96 Bit entfallen. Somit würden alle IP-Adressen berücksichtigt, die sich in diesem Netzwerkbereich befinden.

Hier ein IPv4-Beispiel:
  • 64.233.187.0/24

In diesem Beispiel würden die letzten acht Bit (d. h. die 0) entfallen. Somit würden alle IP-Adressen berücksichtigt, die sich im Bereich zwischen 64.233.187.0 und 64.233.187.255 befinden.

In Domains ohne Netzwerkmaske müssen Nutzer, die keine Power User sind, zum Identitätsanbieter (Identity Provider – IdP) hinzugefügt werden.

Wie wirkt sich die Einmalanmeldung (SSO) auf den Anmeldevorgang der Nutzer aus?

Die Anmeldeseite für die Admin-Konsole lautet admin.google.com (Weiterleitung auf accounts.google.com). Die Anmeldeseite für einen einzelnen Google-Dienst hingegen lautet <Dienst>.google.com/a/<ihre_beispielurl>.de. Wenn Sie die Einmalanmeldung (SSO) für Ihre Domain konfigurieren, hängt das Verhalten dieser Seiten davon ab, ob der Nutzer, der sich anmeldet, die Rechte eines Power Users hat und ob die Domain eine Netzwerkmaske besitzt.

In Domains mit aktivierter Einmalanmeldung (SSO) und mit Netzwerkmaske:

  • Wenn Nutzer (mit und ohne Rechte eines Power Users) sich bei accounts.google.com anmelden, werden sie von Google zur Eingabe der vollständigen Google-E-Mail-Adresse (einschließlich Nutzername und Domain) sowie des Passworts aufgefordert. Sie werden nach der Anmeldung direkt zur Admin-Konsole weitergeleitet. Unabhängig von der Netzwerkmaske werden sie von Google nicht zum SSO-Server weitergeleitet.
  • Wenn Nutzer (mit oder ohne Rechte eines Power Users) sich innerhalb der Netzwerkmaske bei <Dienst>.google.com/a/<ihre_beispielurl>.de anmelden, werden sie von Google an den SSO-Server weitergeleitet.
  • Wenn Nutzer (mit oder ohne Rechte eines Power Users) sich außerhalb der Netzwerkmaske bei <Dienst>.google.com/a/<ihre_beispielurl>.de anmelden, werden sie von Google nicht an den SSO-Server weitergeleitet.

In Domains mit Einmalanmeldung (SSO) und ohne Netzwerkmaske:

  • Wenn Power User sich auf der Seite accounts.google.com anmelden, werden sie von Google dazu aufgefordert, ihre vollständige Google-E-Mail-Adresse, einschließlich Nutzername und Domain, sowie das Passwort einzugeben und werden dann direkt zur Admin-Konsole weitergeleitet, nachdem sie sich angemeldet haben. Sie werden von Google nicht zum SSO-Server weitergeleitet.
  • Wenn Nutzer ohne die Rechte eines Power Users sich auf der Seite accounts.google.com anmelden, werden sie von Google an den SSO-Server weitergeleitet.
  • Wenn Nutzer ohne Rechte eines Power Users, beispielsweise delegierte Administratoren, sich auf der Seite admin.google.com anmelden, werden sie von Google zum SSO-Server weitergeleitet, nachdem sie ihren Google-Nutzernamen eingegeben und auf Anmelden geklickt haben.
  • Wenn Nutzer (mit oder ohne Rechte eines Power Users) sich auf der Seite <Dienst>.google.com/a/<ihre_beispielurl>.de anmelden, werden sie an den SSO-Server weitergeleitet.
Welche Auswirkungen hat die Einmalanmeldung (SSO) auf Power User?

SSO hat keine Auswirkungen auf Power User, die sich in einer Domain mit Einmalanmeldung auf der Seite admin.google.com anmelden.

Nachdem Sie die Einmalanmeldung (SSO) für eine Domain aktiviert haben (statt der Aufforderung zur Eingabe eines Nutzernamens und Passworts), werden Power User nach Eingabe der E-Mail-Adresse zur Anmeldeseite weitergeleitet, die in der Admin-Konsole festgelegt ist. In diesem Fall können Power User sich 48 Stunden lang nicht anmelden. Nach Ablauf von 48 Stunden können Power User diese Einstellung korrekt umgehen. Dies gilt für jedes Konto, bei dem die Einmalanmeldung (SSO) aktiviert wird.

Wenn Power User sich im Drive-Sync-Client anmelden, umgehen sie die Einmalanmeldung (SSO).

Wenn Power User sich in einer Domain mit Einmalanmeldung – mit oder ohne Netzwerkmaske – auf der Seite admin.google.com anmelden, müssen sie ihre vollständige E-Mail-Adresse und das zugehörige Google-Passwort des Google-Administratorkontos eingeben (und nicht den SSO-Nutzernamen und Passwort) und auf Anmelden klicken, um direkt auf die Admin-Konsole zuzugreifen. Sie werden von Google nicht zur SSO-Anmeldeseite weitergeleitet. Dies gilt für Anmeldeversuche über Browser, mobile Apps wie die iOS Drive App und die Gmail App, den Android-Konto-Aktivierungsprozess usw.

Wenn Power User sich unter <Dienst>.google.com/a/<ihre_beispielurl>.de bei einem anderen Google-Dienst anmelden, werden sie nur dann auf die SSO-Anmeldeseite weitergeleitet, wenn sie sich innerhalb der Netzwerkmaske ihrer Domain anmelden. Wenn sie außerhalb der Netzwerkmaske ihrer Domain sind oder wenn ihre Domain keine Netzwerkmaske hat, werden sie von Google dazu aufgefordert, Ihren Google-Nutzernamen und das Passwort einzugeben.

Clients wie Gmail App for iOS, Drive App for iOS, Chrome Browser-Synchronisierung, die Android-Einrichtung usw. verwenden die Google-Authentifizierung. Wenn Sie sich über einen dieser Clients anmelden, werden Sie von Google zur Eingabe Ihrer vollständigen Google-E-Mail-Adresse (einschließlich Nutzername und Domain) aufgefordert. Sie gelangen nach der Anmeldung direkt zur Anwendung. Google leitet Sie nicht an den SSO-Server weiter, unabhängig von der Netzwerkmaske.

Wie richte ich die Einmalanmeldung (SSO) auf Chrome-Geräten ein?

Weitere Informationen dazu erhalten Sie unter SAML-SSO für Chrome-Geräte.

Ich habe eine oben nicht behandelte Frage.

Weitere Informationen sowie Antworten auf häufig gestellte Fragen erhalten Sie auf der Seite zu häufig gestellten Fragen zur Einmalanmeldung (SSO) oder in den Artikeln zur Einmalanmeldung (SSO). Darüber hinaus bieten einige kommerzielle Produkte und Systemintegratoren SSO-Produkte und professionelle Services an. Suchen Sie in den professionellen Services im Google Apps Marketplace nach Google for Work-Partnern oder anderen Dritten, die Unterstützung bei der Einmalanmeldung (SSO) bieten.

In der Fehlerbehebung zur Einmalanmeldung (SSO) erfahren Sie, wie Sie häufige Probleme bei der Integration von Google Apps mit der Einmalanmeldung (SSO) beheben können.