Bei der Einmalanmeldung (SSO) melden sich Nutzer nur einmal mit den Anmeldedaten ihres verwalteten Google-Kontos an und haben dann Zugriff auf alle geschäftlichen Cloud-Apps. Google bietet bei über 200 beliebten Cloud-Apps eine vorintegrierte Einmalanmeldung (SSO).
Führen Sie die folgenden Schritte aus, um die SAML-basierte SSO für eine benutzerdefinierte App einzurichten, die nicht im Katalog der vorinstallierten Apps enthalten ist.
Benutzerdefinierte SAML-App einrichten
Alle maximieren | Alle minimieren
Schritt 1: Benutzerdefinierte SAML-App hinzufügen-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
-
Gehen Sie in der Admin-Konsole zu „Menü“ AppsWeb- und mobile Apps.
- Klicken Sie auf App hinzufügenBenutzerdefinierte SAML-App hinzufügen.
Geben Sie den App-Namen ein und laden Sie optional ein Symbol für Ihre App hoch. Das App-Symbol wird in der Liste „Web- und mobile Apps“, auf der Seite „App-Einstellungen“ und im App Launcher angezeigt. Wenn Sie kein Symbol hochladen, wird eines aus den ersten zwei Buchstaben des App-Namens erstellt. - Klicken Sie auf Weiter.
- Rufen Sie auf der Seite mit den Details zum Google-Identitätsanbieter die Einrichtungsinformationen ab, die der Dienstanbieter benötigt. Sie haben dazu folgende Optionen:
- Laden Sie die IdP-Metadaten herunter.
- Kopieren Sie die SSO-URL und die Entitäts-ID und laden Sie das Zertifikat (oder gegebenenfalls den SHA-256-Fingerabdruck) herunter.
- Optional: Wenn Sie die Informationen auf der entsprechenden SSO-Konfigurationsseite eingeben möchten, melden Sie sich in einem separaten Browsertab oder -fenster bei Ihrem Dienstanbieter an und geben Sie die Informationen aus Schritt 5 ein. Kehren Sie dann zur Admin-Konsole zurück.
- Klicken Sie auf Weiter.
- Fragen Sie Ihren Dienstanbieter nach diesen Feldwerten. Geben Sie im Fenster Details zum Dienstanbieter Folgendes ein:
- ACS-URL: Die Assertion Consumer Service-URL des Dienstanbieters, an die die SAML-Antwort gesendet wird. Sie muss mit https:// beginnen.
- Entitäts-ID: Der global eindeutige Name.
- Start-URL: (optional) Hiermit wird der Parameter RelayState in einer SAML-Anfrage festgelegt, bei der es sich um eine URL handeln kann, zu der die Nutzer nach der Authentifizierung weitergeleitet werden.
- (Optional) Klicken Sie das Kästchen Signierte Antwort an, um anzugeben, dass bei Ihrem Dienstanbieter die gesamte SAML-Authentifizierungsantwort signiert werden muss. Wenn Sie die Option nicht anklicken (Standardeinstellung), wird nur die Assertion in der Antwort signiert.
- (Optional) Legen Sie das Format der Name-ID und den Wert für die Name-ID für Ihre benutzerdefinierte SAML-App fest. Die standardmäßige Name-ID ist die primäre E-Mail-Adresse.
Tipp: Suchen Sie in den Anleitungen zur Einrichtung in unserem SAML-App-Katalog nach Name-ID-Zuordnungen, die für Apps im Katalog erforderlich sind. Sie können auch benutzerdefinierte Attribute in der Admin-Konsole oder über die Google Admin SDK-APIs erstellen und diesen zuordnen. - Klicken Sie auf Weiter.
- Klicken Sie bei Bedarf auf Zuordnung hinzufügen, um Nutzerattribute gemäß den Anforderungen des Dienstanbieters zuzuordnen.
Hinweis: Sie können für alle Apps insgesamt 10.000 Attribute definieren. Da jede App ein Standardattribut hat, umfasst die Anzahl die Standardattribute plus alle benutzerdefinierten Attribute, die Sie hinzufügen.- Klicken Sie unter Google-Verzeichnisattribute auf das Menü Feld auswählen und wählen Sie einen Feldnamen aus. Nicht alle Google Unternehmensverzeichnis-Attribute sind in der Drop-down-Liste verfügbar. Wenn ein Attribut, das Sie zuordnen möchten, z. B. E-Mail-Adresse des Managers, nicht verfügbar ist, können Sie dieses Attribut als benutzerdefiniertes Attribut hinzufügen. Dadurch wird es hier zur Auswahl verfügbar gemacht.
- Geben Sie unter App-Attribute das entsprechende Attribut für Ihre benutzerdefinierte SAML-App ein.
-
Optional: So geben Sie Gruppennamen ein, die für diese App relevant sind:
- Klicken Sie unter Gruppenmitgliedschaft (optional) auf Nach einer Gruppe suchen, geben Sie einen oder mehrere Buchstaben des Gruppennamens ein und wählen Sie den Gruppennamen aus.
- Fügen Sie nach Bedarf weitere Gruppen hinzu (maximal 75 Gruppen).
- Geben Sie unter App-Attribut den Gruppenattributnamen des entsprechenden Dienstanbieters ein.
Unabhängig davon, wie viele Gruppennamen Sie eingeben, enthält die SAML-Antwort nur Gruppen, in denen ein Nutzer direkt oder indirekt Mitglied ist. Weitere Informationen finden Sie unter Zuordnung von Gruppenmitgliedschaften.
- Klicken Sie auf Beenden.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
-
Gehen Sie in der Admin-Konsole zu „Menü“ AppsWeb- und mobile Apps.
- Wählen Sie Ihre SAML-App aus.
-
Klicken Sie auf Nutzerzugriff.
-
Wenn Sie einen Dienst für alle Nutzer in Ihrer Organisation aktivieren oder deaktivieren möchten, klicken Sie auf Für alle aktiviert oder Für alle deaktiviert und anschließend auf Speichern.
-
Optional: Wenn Sie einen Dienst für eine Organisationseinheit aktivieren oder deaktivieren möchten:
- Wählen Sie links die Organisationseinheit aus.
- Wenn Sie den Dienststatus ändern möchten, wählen Sie An oder Aus aus.
- Wählen Sie eine Option aus:
- Wenn der Dienststatus auf Übernommen gesetzt ist und Sie die aktualisierte Einstellung beibehalten möchten, auch wenn sich die übergeordnete Einstellung ändert, klicken Sie auf Überschreiben.
- Wenn der Dienststatus auf Überschrieben festgelegt ist, klicken Sie auf Übernehmen, um die Einstellung des übergeordneten Elements wiederherzustellen, oder auf Speichern, um die neue Einstellung beizubehalten, auch wenn sich die übergeordnete Einstellung ändert.
Hinweis: Weitere Informationen zur Organisationsstruktur
-
Soll ein Dienst für eine Gruppe von Nutzern aktiviert werden, die sich innerhalb einer Organisationseinheit oder über mehrere verteilt befinden, wählen Sie eine Zugriffsgruppe aus. Weitere Informationen
- Achten Sie darauf, dass die E-Mail-Adressen, mit denen sich Ihre Nutzer in der SAML-App anmelden, mit denen übereinstimmen, die sie für die Anmeldung in Ihrer Google-Domain verwenden.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
Sie können sowohl die vom Identitätsanbieter (Identity Provider, IdP) initiierte SSO als auch die vom Dienstanbieter (Service Provider, SP) initiierte SSO testen.
Vom IdP initiiert
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
-
Gehen Sie in der Admin-Konsole zu „Menü“ AppsWeb- und mobile Apps.
- Wählen Sie Ihre benutzerdefinierte SAML-App aus.
- Klicken Sie links oben auf Test SAML login (SAML-Testanmeldung).
Ihre App sollte in einem separaten Tab geöffnet werden. Ist das nicht der Fall, aktualisieren Sie die IdP- und SP-Einstellungen anhand der Informationen in den entsprechenden SAML-App-Fehlermeldungen und testen Sie die SAML-Anmeldung noch einmal.
Vom Dienstanbieter initiiert
- Öffnen Sie die SSO-URL für Ihre neue SAML-App. Sie werden automatisch zur Google-Anmeldeseite weitergeleitet.
- Geben Sie Ihren Nutzernamen und Ihr Passwort ein.
Nach der Authentifizierung werden Sie zurück zur neuen SAML-App geleitet.