Benutzerdefinierte SAML-App einrichten

SAML-basierte Einmalanmeldung

Bei der Einmalanmeldung (SSO) melden sich Nutzer nur einmal mit den Anmeldedaten ihres verwalteten Google-Kontos an und haben dann Zugriff auf alle geschäftlichen Cloud-Apps. Google bietet bei über 200 beliebten Cloud-Apps eine vorintegrierte SSO an.

Wenn Sie die SAML-basierte SSO auch für Anwendungen einrichten möchten, die nicht in der Liste der vorinstallierten Anwendungen aufgeführt sind, gehen Sie wie hier beschrieben vor.

Benutzerdefinierte SAML-App einrichten

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Klicken Sie auf der Startseite der Admin-Konsole auf Apps und dann Web- und mobile Apps.
  3. Klicken Sie auf App hinzufügenund dannBenutzerdefinierte SAML-App hinzufügen.
  4. Auf der Seite App-Details:
    1. Geben Sie den Namen der benutzerdefinierten App ein.
    2. Optional: Laden Sie ein App-Symbol hoch. Das App-Symbol wird in der Liste mit den Web- und mobilen Apps, auf der Seite mit den App-Einstellungen und auf dem App Launcher angezeigt. Wenn Sie kein Symbol hochladen, wird eines aus den ersten zwei Buchstaben des App-Namens erstellt.
  5. Klicken Sie auf Weiter.
  6. Rufen Sie auf der Seite mit den Details zum Google-Identitätsanbieter die Einrichtungsinformationen ab, die der Dienstanbieter benötigt. Sie haben dazu folgende Optionen:
    • Laden Sie die IdP-Metadaten herunter.
    • Kopieren Sie die SSO-URL und die Entitäts-ID und laden Sie das Zertifikat (oder gegebenenfalls den SHA-256-Fingerabdruck) herunter.
  7. Optional: Melden Sie sich in einem separaten Browsertab oder -fenster bei Ihrem Dienstanbieter an und geben Sie die Informationen aus Schritt 4 auf der entsprechenden SSO-Konfigurationsseite ein. Kehren Sie dann zur Admin-Konsole zurück.
  8. Klicken Sie auf Weiter.
  9. Geben Sie im Fenster Details zum Dienstanbieter eine ACS-URL, eine Entitäts-ID und gegebenenfalls eine Start-URL für Ihre benutzerdefinierte App ein. Diese Werte erhalten Sie alle vom Dienstanbieter. 

    Hinweis: Die ACS-URL muss mit „https://“ beginnen.

  10. Optional: Klicken Sie das Kästchen Signierte Antwort an, wenn Ihr Dienstanbieter die Signatur der gesamten SAML-Authentifizierungsantwort verlangt. Wenn Sie die Option nicht anklicken (Standardeinstellung), wird nur die Assertion in der Antwort signiert. 
  11. Die standardmäßige Name-ID ist die primäre E-Mail-Adresse. Mehrere Eingaben sind nicht möglich.

    Tipp: Suchen Sie in den Anleitungen zur Einrichtung in unserem SAML-App-Katalog nach Name-ID-Zuordnungen, die für Apps im Katalog erforderlich sind. Bei Bedarf können Sie auch benutzerdefinierte Attribute in der Admin-Konsole oder über die Google Admin SDK-APIs erstellen und diesen zuordnen. Benutzerdefinierte Attribute müssen vor der Einrichtung der SAML-App erstellt werden. 

  12. Klicken Sie auf Weiter.
  13. Optional: Klicken Sie auf der Seite Attributszuordnung auf Weitere Zuordnung hinzufügen, um zusätzliche Attribute zuzuordnen.

    Hinweis: Sie können für alle Apps insgesamt 1500 Attribute definieren. Da jede App ein Standardattribut hat, umfasst die Gesamtzahl die Standardattribute plus alle benutzerdefinierten Attribute, die Sie hinzufügen.

    1. Klicken Sie unter Google-Verzeichnisattribute auf das Menü Feld auswählen und wählen Sie einen Feldnamen aus.
    2. Geben Sie unter App-Attribute das entsprechende Attribut für Ihre benutzerdefinierte SAML-App ein.
  14. Optional: Wenn Sie die Informationen zur Gruppenmitgliedschaft eines Nutzers in der SAML-Antwort senden möchten, geben Sie die für diese App relevanten Gruppennamen in das Feld Gruppenmitgliedschaft ein.
    1. Klicken Sie unter Google-Gruppen in das Eingabefeld Nach einer Gruppe suchen.
    2. Geben Sie mindestens einen Buchstaben des Gruppennamens ein.
    3. Wählen Sie den Gruppennamen aus dem Drop-down-Menü aus.
    4. Fügen Sie nach Bedarf weitere Gruppen hinzu. Die Gesamtzahl der Gruppen darf 75 nicht überschreiten.
    5. Geben Sie unter App-Attribut den entsprechenden Gruppenattributnamen des Dienstanbieters ein.

    Hinweis: Unabhängig davon, wie viele Gruppennamen Sie eingeben, enthält die SAML-Antwort nur Gruppen, in denen ein Nutzer direkt oder indirekt Mitglied ist. Weitere Informationen finden Sie unter Gruppenmitgliedschaftszuordnung (in englischer Sprache).

  15. Klicken Sie auf Beenden.

SAML-App aktivieren

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Klicken Sie auf der Startseite der Admin-Konsole auf Apps und dann Web- und mobile Apps.
  3. Wählen Sie Ihre SAML-App aus.
  4. Klicken Sie auf Nutzerzugriff.
  5. Um einen Dienst für alle Nutzer in Ihrer Organisation zu aktivieren oder zu deaktivieren, klicken Sie auf Für alle aktivieren oder Für alle deaktivieren und anschließend auf Speichern.

  6. Optional: Wenn Sie einen Dienst für eine Organisationseinheit aktivieren oder deaktivieren möchten:
    1. Wählen Sie links die Organisationseinheit aus.
    2. Wenn Sie den Dienststatus ändern möchten, wählen Sie An oder Aus aus.
    3. Wählen Sie eine Option aus:
      • Wenn der Dienststatus auf Übernommen gesetzt ist und Sie die aktualisierte Einstellung beibehalten möchten, auch wenn sich die übergeordnete Einstellung ändert, klicken Sie auf Überschreiben.
      • Wenn der Dienststatus auf Überschrieben festgelegt ist, klicken Sie auf Übernehmen, um die Einstellung des übergeordneten Elements wiederherzustellen, oder auf Speichern, um die neue Einstellung beizubehalten, auch wenn sich die übergeordnete Einstellung ändert.
        Hinweis: Weitere Informationen zur Organisationsstruktur
  7. Soll ein Dienst für eine Gruppe von Nutzern aktiviert werden, die sich innerhalb einer Organisationseinheit oder über mehrere verteilt befinden, wählen Sie eine Zugriffsgruppe aus. Weitere Informationen
  8. Achten Sie darauf, dass die E-Mail-Adressen, mit denen sich Ihre Nutzer in der SAML-App anmelden, mit denen übereinstimmen, die sie für die Anmeldung in Ihrer Google-Domain verwenden.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Prüfen Sie, ob die SSO mit Ihrer benutzerdefinierten App funktioniert

Sie können sowohl die vom Identitätsanbieter (Identity Provider, IdP) initiierte SSO als auch, falls Ihre App dies unterstützt, die vom Dienstanbieter (Service Provider, SP) initiierte SSO testen.

Vom IdP initiiert

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Klicken Sie auf der Startseite der Admin-Konsole auf Apps und dann Web- und mobile Apps.
  3. Wählen Sie Ihre benutzerdefinierte SAML-App aus. 
  4. Klicken Sie links oben auf SAML-Testanmeldung

    Ihre App sollte in einem separaten Tab geöffnet werden. Ist das nicht der Fall, aktualisieren Sie die IdP- und SP-Einstellungen anhand der Informationen in den entsprechenden Fehlermeldungen zu SAML-Apps und testen Sie die SAML-Anmeldung noch einmal.

Vom SP initiiert

  1. Öffnen Sie die SSO-URL für Ihre neue SAML-App. Sie werden automatisch zur Google-Anmeldeseite weitergeleitet.
  2. Geben Sie Ihren Nutzernamen und Ihr Passwort ein.

    Nach der Authentifizierung werden Sie automatisch zurück zur neuen SAML-App geleitet.

Cloud-Apps konfigurieren, bei denen die Einmalanmeldung vorintegriert ist

Google bietet bei über 200 Cloud-Apps eine vorintegrierte Einmalanmeldung (SSO) an. So konfigurieren Sie diese Apps:

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Klicken Sie auf der Startseite der Admin-Konsole auf Apps und dann Web- und mobile Apps.
  3. Klicken Sie auf App hinzufügen und dann Nach Apps suchen.
  4. Geben Sie den Namen der SAML-App in das Suchfeld ein.
  5. Bewegen Sie den Mauszeiger in den Suchergebnissen auf die SAML-App und klicken Sie dann auf Auswählen.
  6. Folgen Sie den Schritten im Assistenten, um die SSO für die App zu konfigurieren.
War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben

Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
Suchen in der Hilfe
true
73010
false
false