Benutzerdefinierte SAML-App einrichten

SAML-basierte Einmalanmeldung

Bei der Einmalanmeldung (SSO) melden sich Nutzer nur einmal mit den Anmeldedaten ihres verwalteten Google-Kontos an und haben dann Zugriff auf alle geschäftlichen Cloud-Apps. Google bietet bei über 200 beliebten Cloud-Apps eine vorintegrierte SSO an.

Wenn Sie die SAML-basierte SSO auch für Anwendungen einrichten möchten, die nicht in der Liste der vorinstallierten Anwendungen aufgeführt sind, gehen Sie wie hier beschrieben vor.

Benutzerdefinierte SAML-App einrichten

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ ""und dann"" Appsund dannWeb- und mobile Apps.
  3. Klicken Sie auf App hinzufügen und dannBenutzerdefinierte SAML-App hinzufügen.
  4. Auf der Seite App-Details:
    1. Geben Sie den Namen der benutzerdefinierten App ein.
    2. Optional: Laden Sie ein App-Symbol hoch. Das App-Symbol wird in der Liste mit den Web- und mobilen Apps, auf der Seite mit den App-Einstellungen und auf dem App Launcher angezeigt. Wenn Sie kein Symbol hochladen, wird eines aus den ersten zwei Buchstaben des App-Namens erstellt.
  5. Klicken Sie auf Weiter.
  6. Rufen Sie auf der Seite mit den Details zum Google-Identitätsanbieter die Einrichtungsinformationen ab, die der Dienstanbieter benötigt. Sie haben dazu folgende Optionen:
    • Laden Sie die IdP-Metadaten herunter.
    • Kopieren Sie die SSO-URL und die Entitäts-ID und laden Sie das Zertifikat (oder gegebenenfalls den SHA-256-Fingerabdruck) herunter.
  7. Optional: Melden Sie sich in einem separaten Browsertab oder -fenster bei Ihrem Dienstanbieter an und geben Sie die Informationen aus Schritt 4 auf der entsprechenden SSO-Konfigurationsseite ein. Kehren Sie dann zur Admin-Konsole zurück.
  8. Klicken Sie auf Weiter.
  9. Geben Sie im Fenster Details zum Dienstanbieter Folgendes ein:
    • ACS-URL: Die Assertion Control Service-URL des Dienstanbieters ist für den Empfang der SAML-Antwort zuständig und muss mit https:// beginnen.
    • Entitäts-ID: Dies ist ein global eindeutiger Name, den Sie vom Dienstanbieter erhalten.
    • Start-URL: (Optional) Hiermit wird der RelayState-Parameter in einer SAML-Anfrage festgelegt. Dabei kann es sich um eine URL handeln, zu der die Nutzer nach der Authentifizierung weitergeleitet werden.
    Der Dienstanbieter stellt alle diese Werte bereit.
  10. Optional: Wenn Ihr Dienstanbieter die Signatur der gesamten SAML-Authentifizierungsantwort verlangt, klicken Sie das Kästchen Signierte Antwort an. Wenn Sie die Option nicht anklicken (Standardeinstellung), wird nur die Assertion in der Antwort signiert. 
  11. Die standardmäßige Name-ID ist die primäre E-Mail-Adresse. Mehrere Eingaben sind nicht möglich.

    Tipp: Suchen Sie in den Anleitungen zur Einrichtung in unserem SAML-App-Katalog nach Name-ID-Zuordnungen, die für Apps im Katalog erforderlich sind. Bei Bedarf können Sie auch benutzerdefinierte Attribute in der Admin-Konsole oder über die Google Admin SDK-APIs erstellen und diesen zuordnen. Sie müssen benutzerdefinierte Attribute erstellen, bevor Sie die SAML-App einrichten.

  12. Klicken Sie auf Weiter.
  13. Optional: Klicken Sie auf der Seite Attributszuordnung auf Weitere Zuordnung hinzufügen, um zusätzliche Attribute zuzuordnen.

    Hinweis: Sie können für alle Apps insgesamt 1500 Attribute definieren. Da jede App ein Standardattribut hat, umfasst die Gesamtzahl die Standardattribute plus alle benutzerdefinierten Attribute, die Sie hinzufügen.

    1. Klicken Sie unter Google-Verzeichnisattribute auf das Menü Feld auswählen und wählen Sie einen Feldnamen aus.

      In der Drop-down-Liste sind nicht alle Google-Verzeichnisattribute verfügbar. Wenn ein Attribut, das Sie zuordnen möchten (z. B. die E-Mail-Adresse des Managers), nicht verfügbar ist, können Sie dieses Attribut als benutzerdefiniertes Attribut hinzufügen. Es kann dann hier ausgewählt werden.

    2. Geben Sie unter App-Attribute das entsprechende Attribut für Ihre benutzerdefinierte SAML-App ein.
  14. Optional: Wenn Sie die Informationen zur Gruppenmitgliedschaft eines Nutzers in der SAML-Antwort senden möchten, geben Sie die für diese App relevanten Gruppennamen in das Feld Gruppenmitgliedschaft ein.
    1. Klicken Sie unter Google-Gruppen in das Eingabefeld Nach einer Gruppe suchen.
    2. Geben Sie mindestens einen Buchstaben des Gruppennamens ein.
    3. Wählen Sie den Gruppennamen aus der Liste aus.
    4. Fügen Sie nach Bedarf weitere Gruppen hinzu. Die Gesamtzahl der Gruppen darf 75 nicht überschreiten.
    5. Geben Sie unter App-Attribut den entsprechenden Gruppenattributnamen des Dienstanbieters ein.

    Hinweis: Unabhängig davon, wie viele Gruppennamen Sie eingeben, enthält die SAML-Antwort nur Gruppen, in denen ein Nutzer direkt oder indirekt Mitglied ist. Weitere Informationen finden Sie unter Gruppenmitgliedschaftszuordnung (in englischer Sprache).

  15. Klicken Sie auf Beenden.

SAML-App aktivieren

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ ""und dann"" Appsund dannWeb- und mobile Apps.
  3. Wählen Sie Ihre SAML-App aus.
  4. Klicken Sie auf Nutzerzugriff.
  5. Wenn Sie einen Dienst für alle Nutzer in Ihrer Organisation aktivieren oder deaktivieren möchten, klicken Sie auf Für alle aktiviert oder Für alle deaktiviert und anschließend auf Speichern.

  6. Optional: Wenn Sie einen Dienst für eine Organisationseinheit aktivieren oder deaktivieren möchten:
    1. Wählen Sie links die Organisationseinheit aus.
    2. Wenn Sie den Dienststatus ändern möchten, wählen Sie An oder Aus aus.
    3. Wählen Sie eine Option aus:
      • Wenn der Dienststatus auf Übernommen gesetzt ist und Sie die aktualisierte Einstellung beibehalten möchten, auch wenn sich die übergeordnete Einstellung ändert, klicken Sie auf Überschreiben.
      • Wenn der Dienststatus auf Überschrieben festgelegt ist, klicken Sie auf Übernehmen, um die Einstellung des übergeordneten Elements wiederherzustellen, oder auf Speichern, um die neue Einstellung beizubehalten, auch wenn sich die übergeordnete Einstellung ändert.
        Hinweis: Weitere Informationen zur Organisationsstruktur
  7. Soll ein Dienst für eine Gruppe von Nutzern aktiviert werden, die sich innerhalb einer Organisationseinheit oder über mehrere verteilt befinden, wählen Sie eine Zugriffsgruppe aus. Weitere Informationen
  8. Achten Sie darauf, dass die E-Mail-Adressen, mit denen sich Ihre Nutzer in der SAML-App anmelden, mit denen übereinstimmen, die sie für die Anmeldung in Ihrer Google-Domain verwenden.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Prüfen Sie, ob die SSO mit Ihrer benutzerdefinierten App funktioniert

Sie können sowohl die vom Identitätsanbieter (Identity Provider, IdP) initiierte SSO als auch, falls Ihre App dies unterstützt, die vom Dienstanbieter (Service Provider, SP) initiierte SSO testen.

Vom IdP initiiert

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ ""und dann"" Appsund dannWeb- und mobile Apps.
  3. Wählen Sie Ihre benutzerdefinierte SAML-App aus. 
  4. Klicken Sie links oben auf SAML-Testanmeldung

    Ihre App sollte in einem separaten Tab geöffnet werden. Ist das nicht der Fall, aktualisieren Sie die IdP- und SP-Einstellungen anhand der Informationen in den entsprechenden SAML-App-Fehlermeldungen und testen Sie die SAML-Anmeldung noch einmal.

Vom SP initiiert

  1. Öffnen Sie die SSO-URL für Ihre neue SAML-App. Sie werden automatisch zur Google-Anmeldeseite weitergeleitet.
  2. Geben Sie Ihren Nutzernamen und Ihr Passwort ein.

    Nach der Authentifizierung werden Sie automatisch zurück zur neuen SAML-App geleitet.

Cloud-Apps konfigurieren, bei denen die Einmalanmeldung vorintegriert ist

Google bietet bei über 200 Cloud-Apps eine vorintegrierte Einmalanmeldung (SSO) an. So konfigurieren Sie diese Apps:

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ ""und dann"" Appsund dannWeb- und mobile Apps.
  3. Klicken Sie auf App hinzufügen und dann Nach Apps suchen.
  4. Geben Sie den Namen der SAML-App in das Suchfeld ein.
  5. Bewegen Sie den Mauszeiger in den Suchergebnissen auf die SAML-App und klicken Sie dann auf Auswählen.
  6. Folgen Sie den Schritten im Assistenten, um die SSO für die App zu konfigurieren.
War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben

Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
Suchen in der Hilfe
true
true
false
true
true
73010
false
false