Konfigurera SSO för organisationen

Du kan konfigurera SSO med Google som tjänsteleverantör på flera sätt beroende på organisationens behov. SSO-profiler, som innehåller inställningarna för din IdP, ger dig flexibiliteten att tillämpa olika SSO-inställningar för olika användare i organisationen.

Google Workspace har stöd för både SAML-baserade och OIDC-baserade SSO-protokoll:

Om alla användare loggar in via en IdP med SAML:

1. Följ stegen nedan i Konfigurera en SSO-profil för organisationen.
2. Om du vill utesluta vissa användare från att använda SSO (och låta dem logga in direkt på Google) kan du följa stegen i Välja vilka användare som ska använda SSO, där du kan välja att tilldela Ingen för SSO-profil. 

Om du använder flera IdP:er för användarna eller använder OIDC:

Vilka steg du följer beror på protokollet som används av IdP (SAML eller OIDC):

• SAML
  1. Följ stegen nedan för att skapa SSO-profiler för varje IdP. 
  2. Välja vilka användare som ska använda SSO.
• OIDC
  1. Se till att du har konfigurerat följande förutsättningar för OIDC i organisationens Azure AD-klient:
     • Azure AD-klienten måste vara domänverifierad.
     • Slutanvändare måste ha Microsoft 365-licenser.
  2. Följ stegen i Välja vilka användare som ska använda SSO för att tilldela den förkonfigurerade OIDC-profilen till valda organisationsenheter/grupper.

     Obs! Google Cloud Command Line Interface har för närvarande inte stöd för omautentisering med OIDC.

• Om du har användare inom en organisationsenhet (till exempel en underorganisationsenhet) som inte behöver SSO kan du även använda tilldelningar för att inaktivera SSO för dessa användare.

Om användarna använder domänspecifika webbadresser för tjänster för att få åtkomst till Googles tjänster (exempelvis https://mail.google.com/a/exempel.com) kan du även hantera hur dessa Webbadresser fungerar med SSO.

Innan du börjar

Om du vill konfigurera en SAML SSO-profil behöver du grundläggande konfiguration från supportteamet eller dokumentationen för din IdP:

• Webbadress för inloggningssida Detta kallas även SSO-webbadress eller SAML 2.0-slutpunkt (HTTP). Det är här användarna loggar in på din IdP.
• Webbadress för utloggningssida: Där användaren kommer till Google-appen eller tjänsten.
• Certifikat X.509 PEM-certifikat från din IdP. Mer information om X.509-certifikat finns i SAML-nyckel och verifieringscertifikat.
• Ändra lösenordswebbadress: Sidan där SSO-användare byter lösenord (i stället för att byta lösenord med Google).

Konfigurera SSO-profilen för organisationen

Använd det här alternativet om alla användare som använder SSO ska använda en IdP. 

1. Logga in på Googles administratörskonsol.

   Logga in med ditt administratörskonto (slutar inte på @gmail.com).

2. Från administratörskonsolen öppnar du menyn SäkerhetAutentiseringSSO med IdP från tredje part.
3. I Extern SSO-profil för organisationen klickar du på Lägg till SSO-profil.
4. Markera rutan Konfigurera enkel inloggning med extern identitetsleverantör.

Fyll i följande information för IdP:

• Ange webbadressen för inloggningssida och webbadressen för utloggningssidan för din IdP.

  Obs! Alla webbadresser måste använda HTTPS, till exempel https://sso.domain.com.

• Klicka på Ladda upp certifikat och leta upp och ladda upp X.509-certifikatet från IdP. Mer information om hur du skapar ett certifikat finns i SAML-nyckel och verifieringscertifikat.
• Välj om du vill använda en domänspecifik utfärdare i SAML-begäran från Google.

  Om du har flera domäner som använder SSO med din IdP kan du använda en domänspecifik utfärdare för att identifiera rätt domän som utfärdar SAML-begäran.

  • Markerad Google skickar en utfärdare som är specifik för din domän: google.com/a/exempel.com (där exempel.com är ditt primära domännamn för Google Workspace)
  • Avmarkerat Google skickar standardutfärdaren i SAML-begäran: google.com
• (Valfritt) Om du vill tillämpa SSO på en uppsättning användare inom specifika IP-adressintervall anger du en nätverksmask. Mer information finns i Resultat från nätverksmappning.

  Obs! Du kan även konfigurera partiell SSO genom att tilldela specifika organisationsenheter eller grupper SSO-profilen.

• Ange en webbadress för att ändra lösenord för IdP. Användarna besöker den här webbadressen (i stället för sidan för ändring av Google-lösenord) för att återställa sina lösenord.

  Obs! Om du anger en webbadress här dirigeras användarna till den här sidan även om du inte aktiverar SSO för organisationen.

Inaktivera SSO för alla användare

Om du behöver stänga av autentisering via tredje part för alla användare utan att ändra SSO-profiltilldelningen för organisationsenheter eller grupper kan du inaktivera den tredje partens SSO-profil.

1. Avmarkera Konfigurera enkel inloggning med extern identitetsleverantör.
2. Klicka på Spara.

Skapa en SAML SSO-profil

Följ de här stegen om du vill skapa en SSO-profil från tredje part. Du kan skapa upp till 1 000 profiler i organisationen.

1. Logga in på Googles administratörskonsol.

   Logga in med ditt administratörskonto (slutar inte på @gmail.com).

2. Från administratörskonsolen öppnar du menyn SäkerhetAutentiseringSSO med IdP från tredje part.
3. Under SSO-profiler från tredje part klickar du på Lägg till SAML-profil.
4. Ge profilen ett namn.
5. Fyll i webbadressen till inloggningssidan och annan information från din IdP.
6. Ange en webbadress för att ändra lösenord för IdP. Användarna besöker den här webbadressen (i stället för sidan för ändring av Google-lösenord) för att återställa sina lösenord.
7. Klicka på Ladda upp certifikat och leta upp och ladda upp certifikatfilen. Mer information om hur du skapar ett certifikat finns i SAML-nyckel och verifieringscertifikat.
8. Klicka på Spara.
9. I avsnittet SP-information kopierar och sparar du Enhets-id och ACS-webbadress. Du behöver dessa värden för att konfigurera SSO med Google på IdP-administratörskontrollpanelen.
10. (Valfritt) Om din IdP har stöd för kryptering av kontroller kan du skapa och dela ett certifikat med din IdP för att aktivera kryptering. Varje SAML SSO-profil kan ha upp till två SP-certifikat.
    1. Klicka på avsnittet SP-information för att öppna redigeringsläget.
    2. Under SP-certifikat klickar du på Skapa certifikat. (Certifikatet visas när du har sparat det.)
    3. Klicka på Spara. Certifikatets namn, utgångsdatum och innehåll visas.
    4. Använd knapparna ovanför ett certifikat för att kopiera certifikatets innehåll eller ladda ned som en fil. Dela sedan certifikatet med din IdP. 
    5. (Valfritt) Om du måste rotera ett certifikat återgår du till SP-information och klickar på Skapa ett till certifikat. Dela sedan det nya certifikatet med din IdP. När du är säker på att IdP använder den nya kan du ta bort det ursprungliga certifikatet.

Välja vilka användare som ska använda SSO.

Aktivera SSO för en organisationsenhet eller grupp genom att tilldela en SSO-profil och dess kopplade IdP. Du kan även inaktivera SSO genom att tilldela SSO-profilen Ingen. Du kan även tillämpa en policy för blandad enkel inloggning inom en organisationsenhet eller grupp, till exempel genom att aktivera SSO för organisationsenheten i sin helhet och sedan inaktivera den för en underorganisationsenhet. 

1. Klicka på Hantera SSO-profiltilldelningar.
2. Om SSO-profilen inte har tilldelats tidigare klickar du på Kom igång. Annars klickar du på Hantera.
3. Välj organisationsenheten eller gruppen som ska tilldelas SSO-profilen till vänster.
   • Om en organisationsenhet eller grupp har en annan SSO-profiltilldelning än den som gäller för domänen som helhet visas en varning om åsidosättning när du väljer denna organisationsenhet eller grupp.
   • Det går inte att tilldela enskilda användare en SSO-profil. Du kan kontrollera vilken inställning som gäller för enskilda användare i vyn Användare.
4. Välj en SSO-profiltilldelning för den valda organisationsenheten eller gruppen:
   • Om du vill utesluta organisationsenheten eller gruppen från SSO väljer du Ingen. Användarna i denna organisationsenhet eller grupp loggar in direkt med Google.
   • Om du vill tilldela organisationen en annan IdP eller grupp väljer du En annan SSO-profil och väljer sedan SSO-profilen från rullgardinsmenyn.
5. (Enbart SAML SSO-profiler) När du har valt en SAML-profil väljer du ett inloggningsalternativ för användare som går direkt till en Google-tjänst utan att först logga in på SSO-profilens externa IdP. Du kan uppmana användarna att ange sitt användarnamn för Google och sedan omdirigera dem till IdP eller kräva att användarna anger sitt användarnamn och lösenord för Google. 

   Obs! Om du väljer att kräva att användarna anger sitt användarnamn och lösenord för Google är inställningen Ändra webbadress för lösenord för denna SAML SSO-profil (tillgänglig på SSO-profil > IDP-uppgifter) ignoreras. Detta säkerställer att användarna kan ändra sina Google-lösenord efter behov.

6. (Endast Microsoft OIDC SSO-profil) Ange lösenordet för ditt Microsoft-konto och klicka på Logga in för att verifiera din Microsoft SSO-konfiguration.

   Om du är Azure AD-organisationsadministratör kan du välja att godkänna samtycke för organisationens räkning. Det innebär att slutanvändarna inte uppmanas att ge OAuth-samtycke.

7. Klicka på Spara.
8. Tilldela SSO-profiler till andra organisationsenheter eller grupper efter behov.

När du har stängt kortet Hantera SSO-profiltilldelningar ser du de uppdaterade tilldelningarna för organisationsenheter och grupper i avsnittet Hantera SSO-profiltilldelningar. 

Ta bort en hemuppgift från listan över SSO-profiltilldelning

1. Klicka på ett namn på en grupp eller organisationsenhet för att öppna inställningarna för profiltilldelning.
2. Ersätt den befintliga tilldelningsinställningen med inställningen för den överordnade organisationsenheten:
   • För tilldelningar av organisationsenheter klickar du på Ärv.
   • För grupptilldelningar klickar du på Inte angivet.  
   • För tilldelningar av rotorganisationsenheter anger du tilldelningen till Ingen (eller organisationens externa SSO-profil) om du vill använda den externa SSO-profilen för organisationen.

Hantera domänspecifika tjänstwebbadresser

Med inställningen Domänspecifika webbadresser för tjänst kan du styra vad som händer när användare loggar in med tjänstwebbadresser som https://mail.google.com/a/exempel.com. Det finns två alternativ:

• Omdirigera användarna till IdP från tredje part. Välj det här alternativet om du alltid vill dirigera dessa användare till den externa IdP som du väljer på rullgardinsmenyn för SSO-profil. Detta kan vara SSO-profilen för din organisation eller en annan tredjepartsprofil (om du har lagt till en).

  Viktigt! Om du har organisationsenheter eller grupper som inte använder SSO ska du inte välja den här inställningen. Dina användare utan SSO dirigeras automatiskt till IdP och kan inte logga in.

• Kräv att användarna anger användarnamn på Googles inloggningssida först. Med det här alternativet skickas användare som anger domänspecifika webbadresser först till Googles inloggningssida. Om de är SSO-användare omdirigeras de till IdP-inloggningssidan.

Se även

Logga in med enkel inloggning

Felsöka SSO