Benutzerdefinierte SAML-App einrichten

1. Melden Sie sich mit einem Super Admin-Konto in Google Admin-Konsole an.

   Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.

2. Gehen Sie zu „Menü“  Apps > Web- und mobile Apps.
3. Klicken Sie auf App hinzufügenBenutzerdefinierte SAML-App hinzufügen.
   Geben Sie den App-Namen ein und laden Sie optional ein Symbol für Ihre App hoch. Das App-Symbol wird in der Liste „Web- und mobile Apps“, auf der Seite „App-Einstellungen“ und im App Launcher angezeigt. Wenn Sie kein Symbol hochladen, wird eines aus den ersten zwei Buchstaben des App-Namens erstellt.
4. Klicken Sie auf Weiter.
5. Rufen Sie auf der Seite mit den Details zum Google-Identitätsanbieter die Einrichtungsinformationen ab, die der Dienstanbieter benötigt. Sie haben dazu folgende Optionen:
   1. Laden Sie die IdP-Metadaten herunter.
   2. Kopieren Sie die SSO-URL und die Entitäts-ID und laden Sie das Zertifikat (oder gegebenenfalls den SHA-256-Fingerabdruck) herunter.
6. Optional: Wenn Sie die Informationen auf der entsprechenden SSO-Konfigurationsseite eingeben möchten, melden Sie sich in einem separaten Browsertab oder -fenster bei Ihrem Dienstanbieter an und geben Sie die Informationen aus Schritt 5 ein. Kehren Sie dann zur Admin-Konsole zurück.
7. Klicken Sie auf Weiter.
8. Fragen Sie Ihren Dienstanbieter nach diesen Feldwerten. Geben Sie im Fenster Details zum Dienstanbieter Folgendes ein:
   1. ACS-URL: Die Assertion Consumer Service-URL des Dienstanbieters, an die die SAML-Antwort gesendet wird. Sie muss mit https:// beginnen.
   2. Entitäts-ID: Der global eindeutige Name.
   3. Start-URL: (optional) Hiermit wird der Parameter RelayState in einer SAML-Anfrage festgelegt, bei der es sich um eine URL handeln kann, zu der die Nutzer nach der Authentifizierung weitergeleitet werden.
9. (Optional) Klicken Sie das Kästchen Signierte Antwort an, um anzugeben, dass bei Ihrem Dienstanbieter die gesamte SAML-Authentifizierungsantwort signiert werden muss. Wenn Sie die Option nicht anklicken (Standardeinstellung), wird nur die Assertion in der Antwort signiert.
10. (Optional) Legen Sie das Format der Name-ID und den Wert für die Name-ID für Ihre benutzerdefinierte SAML-App fest. Die standardmäßige Name-ID ist die primäre E-Mail-Adresse.
    Tipp: Suchen Sie in den Anleitungen zur Einrichtung in unserem SAML-App-Katalog nach Name-ID-Zuordnungen, die für Apps im Katalog erforderlich sind.  Sie können auch benutzerdefinierte Attribute in der Admin-Konsole oder über die Google Admin SDK-APIs erstellen und diesen zuordnen.
11. Klicken Sie auf Weiter.
12. Klicken Sie bei Bedarf auf Zuordnung hinzufügen, um Nutzerattribute gemäß den Anforderungen des Dienstanbieters zuzuordnen.
    Hinweis: Sie können für alle Apps insgesamt 10.000 Attribute definieren. Da jede App ein Standardattribut hat, umfasst die Anzahl die Standardattribute plus alle benutzerdefinierten Attribute, die Sie hinzufügen.
    1. Klicken Sie unter Google-Verzeichnisattribute auf das Menü Feld auswählen und wählen Sie einen Feldnamen aus. Nicht alle Google Unternehmensverzeichnis-Attribute sind in der Drop-down-Liste verfügbar. Wenn ein Attribut, das Sie zuordnen möchten, z. B. E-Mail-Adresse des Managers, nicht verfügbar ist, können Sie dieses Attribut als benutzerdefiniertes Attribut hinzufügen. Dadurch wird es hier zur Auswahl verfügbar gemacht.
    2. Geben Sie unter App-Attribute das entsprechende Attribut für Ihre benutzerdefinierte SAML-App ein.
13. Optional: So geben Sie Gruppennamen ein, die für diese App relevant sind:

    1. Klicken Sie unter Gruppenmitgliedschaft (optional) auf Nach einer Gruppe suchen, geben Sie einen oder mehrere Buchstaben des Gruppennamens ein und wählen Sie den Gruppennamen aus.
    2. Fügen Sie nach Bedarf weitere Gruppen hinzu (maximal 75 Gruppen).
    3. Geben Sie unter App-Attribut den Gruppenattributnamen des entsprechenden Dienstanbieters ein.

    Unabhängig davon, wie viele Gruppennamen Sie eingeben, enthält die SAML-Antwort nur Gruppen, in denen ein Nutzer direkt oder indirekt Mitglied ist. Weitere Informationen finden Sie unter Zuordnung von Gruppenmitgliedschaften.

14. Klicken Sie auf Beenden.

1. Melden Sie sich mit einem Super Admin-Konto in Google Admin-Konsole an.

   Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.

2. Gehen Sie zu „Menü“  Apps > Web- und mobile Apps.
3. Wählen Sie Ihre SAML-App aus.
4. Klicken Sie auf Nutzerzugriff.

5. Wenn Sie einen Dienst für alle Nutzer in Ihrer Organisation aktivieren oder deaktivieren möchten, klicken Sie auf Für alle aktiviert oder Für alle deaktiviert und anschließend auf Speichern.

6. Optional: Wenn Sie einen Dienst für eine Organisationseinheit aktivieren oder deaktivieren möchten:

   1. Wählen Sie links die Organisationseinheit aus.
   2. Wenn Sie den Dienststatus ändern möchten, wählen Sie An oder Aus aus.
   3. Wählen Sie eine Option aus:
      • Wenn der Dienststatus Übernommen lautet und Sie die aktualisierte Einstellung beibehalten möchten, auch wenn sich die übergeordnete Einstellung ändert, klicken Sie auf Überschreiben.
      • Wenn der Dienststatus auf Überschrieben festgelegt ist, klicken Sie auf Übernehmen, um die Einstellung des übergeordneten Elements wiederherzustellen, oder auf Speichern, um die neue Einstellung beizubehalten, auch wenn sich die übergeordnete Einstellung ändert.
        Hinweis: Weitere Informationen zur Organisationsstruktur
7. (Optional) Soll ein Dienst für eine Gruppe von Nutzern aktiviert werden, die zu einer oder zu mehreren Organisationseinheiten gehören, wählen Sie eine Zugriffsgruppe aus. Weitere Informationen finden Sie im Hilfeartikel Zugriff auf Dienste mithilfe von Zugriffsgruppen anpassen.
8. Achten Sie darauf, dass die E-Mail-Adressen, mit denen sich Ihre Nutzer in der SAML-App anmelden, mit denen übereinstimmen, die sie für die Anmeldung in Ihrer Google-Domain verwenden.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen