Notifica

Duet AI ha cambiato nome in Gemini per Google Workspace. Scopri di più

Panoramica tecnica del servizio SSO basato su SAML

Grazie al Single Sign-On (SSO), gli utenti possono accedere a molte applicazioni senza dover inserire nome utente e password ogni volta. SAML (Security Assertion Markup Language) è uno standard XML che consente ai domini web protetti di scambiare dati relativi all'autenticazione e all'autorizzazione degli utenti.

I ruoli dei fornitore di servizi e dei provider di identità

Google offre un servizio SSO basato su SAML che consente alle aziende partner di autorizzare e autenticare gli utenti ospitati che tentano di accedere a contenuti protetti. Google agisce come fornitore di servizi online e fornisce servizi, come Google Calendar e Gmail. I partner di Google svolgono la funzione online di provider di identità e controllano i nomi utente, le password e le altre informazioni utilizzate per identificare, autenticare e autorizzare gli utenti per le applicazioni web ospitate da Google.

Molti provider di identità open source e commerciali possono aiutarti a implementare il servizio SSO con Google.

I client desktop richiedono ancora l'accesso

È importante sottolineare che la soluzione SSO si applica solo alle applicazioni web. Puoi consentire ai tuoi utenti di accedere ai servizi Google con i client desktop. Ad esempio, per consentire l'accesso POP a Gmail utilizzando Outlook, devi fornire agli utenti le password utilizzabili e sincronizzarle con il database utente interno utilizzando l'API Directory di SDK Admin. Quando sincronizzi le password, è necessario comprendere in che modo gli utenti vengono autenticati utilizzando l'URL di accesso al pannello di controllo dell'amministratore.

Informazioni sul servizio Single Sign-On basato su SAML gestito da partner

La Figura 1 illustra il processo mediante il quale un utente accede a un'applicazione Google, ad esempio Gmail, tramite un servizio SSO basato su SAML gestito da un partner. L'elenco numerato che segue l'immagine mostra i dettagli di ogni passaggio.

Importante: Prima dell'esecuzione di questo processo, il partner deve fornire a Google l'URL del proprio servizio SSO e la chiave pubblica che Google dovrà utilizzare per verificare le risposte SAML.

Figura 1: mostra la procedura per accedere a Google utilizzando un servizio SSO basato su SAML. 

L'immagine illustra i seguenti passaggi.

  1. L'utente tenta di accedere a un'applicazione Google ospitata, come Gmail, Google Calendar o un altro servizio Google.
  2. Google genera una richiesta di autenticazione SAML, che viene codificata e incorporata nell'URL del servizio SSO del partner. Anche il parametro RelayState contenente l'URL codificato dell'applicazione Google che l'utente sta tentando di raggiungere è incorporato nell'URL SSO. Questo parametro RelayState è un identificatore opaco che viene restituito senza alcuna modifica o ispezione.
  3. Google invia un reindirizzamento al browser dell'utente. L'URL di reindirizzamento include la richiesta di autenticazione SAML codificata che dovrà essere inoltrata al servizio SSO del partner.
  4. Il browser reindirizza all'URL SSO.
  5. Il partner decodifica la richiesta SAML ed estrae sia l'URL del servizio ACS (Assertion Consumer Service) di Google sia l'URL di destinazione dell'utente (parametro RelayState).
  6. A questo punto il partner esegue l'autenticazione dell'utente. I partner possono autenticare gli utenti richiedendo credenziali di accesso valide o verificando la presenza di cookie di sessione validi.
  7. Il partner genera una risposta SAML contenente il nome utente dell'utente autenticato. In conformità alla specifica SAML v2.0, questa risposta include una firma digitale con le chiavi DSA/RSA pubbliche e private del partner.
  8. Il partner codifica la risposta SAML e il parametro RelayState e restituisce le informazioni al browser dell'utente. Il partner fornisce un meccanismo che consente al browser di inoltrare tali informazioni al servizio ACS di Google. Ad esempio, il partner potrebbe incorporare la risposta SAML e l'URL di destinazione in un modulo e fornire un pulsante su cui l'utente può fare clic per inviare il modulo a Google. Il partner potrebbe anche includere JavaScript nella pagina che invia il modulo a Google.
  9. Il browser invia una risposta all'URL ACS. Il servizio ACS di Google verifica la risposta SAML utilizzando la chiave pubblica del partner. Se la verifica della risposta ha esito positivo, il servizio ACS reindirizza l'utente all'URL di destinazione. 
  10. L'utente ha eseguito l'accesso all'app Google.

Argomento correlato

Specifiche SAML v2.0

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
5569329725697346598
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false