Met Single sign-on (SSO) kunnen gebruikers inloggen bij al hun zakelijke cloud-apps met de gegevens van hun beheerde Google-account. Google biedt vooraf geïntegreerde SSO voor meer dan 200 populaire cloud-apps.
Voer deze stappen uit om op SAML gebaseerde SSO in te stellen met een aangepaste app die niet in de catalogus met vooraf geïntegreerde apps staat.
Uw eigen aangepaste SAML-app instellen
Alles uitvouwen | Alles samenvouwen
Stap 1: De aangepaste SAML-app toevoegen
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu AppsWeb- en mobiele apps.
- Klik op App toevoegenAangepaste SAML-app toevoegen.
Voer de naam van de app in en upload optioneel een pictogram voor uw app. Het app-icoon wordt weergegeven in de lijst Web- en mobiele apps, op de pagina met app-instellingen en in de App Launcher. Als u geen icoon uploadt, wordt er een icoon gemaakt met de eerste 2 letters van de app-naam. - Klik op Doorgaan.
- Haal op de pagina Google-identiteitsprovidergegevens op een van deze manieren de installatiegegevens op die de serviceprovider nodig heeft:
- Download de IdP-metadata.
- Kopieer de SSO-URL en de Entiteits-ID. Download het Certificaat (of de SHA-256-vingerafdruk, indien nodig).
- (Optioneel) Om de gegevens op de juiste SSO-configuratiepagina in te voeren, logt u in een apart browsertabblad of -venster in bij uw serviceprovider en voert u de gegevens in die u in stap 5 heeft gekopieerd. Ga dan terug naar de Beheerdersconsole.
- Klik op Doorgaan.
- Neem contact op met uw serviceprovider voor deze veldwaarden. Voer in het venster Serviceprovidergegevens het volgende in:
- ACS-URL: De Assertion Consumer Service-URL van de serviceprovider ontvangt de SAML-reactie. Deze moet beginnen met https://.
- Entiteits-ID: De wereldwijd unieke naam.
- Start-URL (optioneel): Hiermee wordt de parameter RelayState in een SAML-verzoek ingesteld. Dit kan een URL zijn waarnaar wordt omgeleid na verificatie.
- (Optioneel) Vink het vakje aan voor Ondertekende reactie om aan te geven dat uw serviceprovider vereist dat de hele SAML-verificatiereactie wordt ondertekend. Als deze optie niet is aangevinkt (de standaardinstelling), wordt alleen de assertie in de reactie ondertekend.
- (Optioneel) Stel de indeling Naam-ID en de waarde Naam-ID in voor de aangepaste SAML-app. De standaard Naam-ID is het primaire e-mailadres.
Tip: Raadpleeg de installatieartikelen in de SAML-app-catalogus om te controleren of er Naam-ID-toewijzingen zijn voor apps in de catalogus. U kunt ook aangepaste kenmerken maken, via de Beheerdersconsole of de Google Admin SDK-API's, en hier toewijzingen voor maken. - Klik op Doorgaan.
- Klik indien nodig op Toewijzing toevoegen om gebruikerskenmerken toe te wijzen volgens de vereisten van de serviceprovider.
Opmerking: U kunt maximaal 1500 kenmerken definiëren voor alle apps. Omdat elke app één standaardkenmerk heeft, bevat het aantal het standaardkenmerk plus eventuele aangepaste kenmerken die u toevoegt.- Klik voor Google Directory-kenmerken op het menu Veld selecteren en kies een veldnaam. Niet alle Google-directorykenmerken zijn beschikbaar in het dropdownmenu. Als een kenmerk dat u wilt toewijzen (bijvoorbeeld het e-mailadres van de manager) niet beschikbaar is, kunt u dit kenmerk toevoegen als aangepast kenmerk. Hierdoor wordt het kenmerk hier beschikbaar voor selectie.
- Vul voorApp-kenmerken het overeenkomende kenmerk in voor de aangepaste SAML-app.
-
(Optioneel) Groepsnamen invoeren die relevant zijn voor deze app:
- Klik bij Groepslidmaatschap (optioneel) op Zoeken naar een groep. Voer een of meer letters van de groepsnaam in en selecteer de groepsnaam.
- Voeg naar wens extra groepen toe (maximaal 75 groepen).
- Vul bij App-kenmerk de naam in van het overeenkomstige groepskenmerk van de serviceprovider.
Ongeacht de hoeveelheid groepsnamen die u invult, bevat de SAML-reactie alleen groepen waarvan een gebruiker lid is (direct of indirect). Ga voor meer informatie naar Over het toewijzen van groepslidmaatschappen.
- Klik op Afronden.
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu AppsWeb- en mobiele apps.
- Selecteer de SAML-app.
-
Klik op Gebruikerstoegang.
-
Als u een service wilt aan- of uitzetten voor iedereen in uw organisatie, klikt u op Aan voor iedereen of Uit voor iedereen. Klik dan op Opslaan.
-
(Optioneel) Zo zet u service aan of uit voor een organisatie-eenheid:
- Selecteer links de organisatie-eenheid.
- Selecteer Aan of Uit om de servicestatus te wijzigen.
- Kies een van deze opties:
- Als de servicestatus is ingesteld op Overgenomen en u de geüpdatete instelling wilt behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd, klikt u op Overschrijven.
- Als de servicestatus is ingesteld op Overschrijven, klikt u op Overnemen om de instelling hetzelfde te maken als de instelling voor de bovenliggende organisatie-eenheid, of op Opslaan om de nieuwe instelling te behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd.
Opmerking: Bekijk meer informatie over de organisatiestructuur.
-
Als u een service wilt inschakelen voor een groep gebruikers binnen een organisatie-eenheid of in verschillende organisatie-eenheden, selecteert u een toegangsgroep. Zie Services inschakelen voor toegangsgroepen voor meer informatie.
- Zorg dat uw gebruikers inloggen bij de SAML-app met hetzelfde e-mailadres als waarmee ze inloggen bij uw Google-domein.
Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie
U kunt testen voor zowel door de identiteitsprovider gestarte (IdP) als door de serviceprovider gestarte (SP) SSO.
Door IdP gestart
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu AppsWeb- en mobiele apps.
- Selecteer de aangepaste SAML-app.
- Klik linksboven op Test SAML login (SAML-login testen).
De app wordt geopend op een nieuw tabblad. Als dit niet het geval is, gebruikt u de informatie in de foutmeldingen voor SAML-apps die worden weergegeven om de IdP- en SP-instellingen te updaten en test u de SAML-login opnieuw.
Door SP gestart
- Open de SSO-URL voor de nieuwe SAML-app. Als het goed is, wordt u automatisch doorgestuurd naar de inlogpagina van Google.
- Voer uw gebruikersnaam en wachtwoord in.
Nadat uw inloggegevens zijn geverifieerd, wordt u teruggestuurd naar de nieuwe SAML-app.