U kunt SSO op verschillende manieren instellen met Google als uw serviceprovider, afhankelijk van de behoeften van uw organisatie. Google Workspace ondersteunt zowel op SAML gebaseerde als op OIDC gebaseerde SSO.
- Met SSO-profielen die de instellingen voor uw IdP bevatten, kunt u verschillende SSO-instellingen toepassen op verschillende gebruikers in uw organisatie. Maak op SAML gebaseerde profielen, aangepaste OIDC-profielen of gebruik het standaard OIDC-profiel van Microsoft Entra, dat niet hoeft te worden ingesteld.
- Nadat u SSO-profielen heeft gemaakt, wijst u profielen toe aan organisatie-eenheden of groepen om de IdP voor die gebruikers in te stellen. U kunt SSO ook uitzetten voor specifieke organisatie-eenheden of groepen.
Als uw gebruikers domeinspecifieke service-URL's gebruiken voor toegang tot Google-services (bijvoorbeeld https://mail.google.com/a/example.com), kunt u ook beheren hoe deze URL's werken met SSO.
Als uw organisatie voorwaardelijke SSO-omleiding op basis van IP-adres of SSO voor hoofdbeheerders nodig heeft, kunt u ook het verouderde SSO-profiel instellen.
SSO met SAML instellen
Voordat u begint
Als u een SAML SSO-profiel wilt instellen, heeft u enkele basisinstellingen nodig van het supportteam of uit de documentatie van uw IdP:
- Inlogpagina-URL: Dit wordt ook wel de SSO-URL of het SAML 2.0-eindpunt (HTTP) genoemd. Hier loggen gebruikers in bij uw IdP.
- Uitlogpagina-URL: Waar de gebruiker terechtkomt nadat de Google-app of -service is verlaten.
- URL voor wachtwoord wijzigen: De pagina waarop SSO-gebruikers hun wachtwoord wijzigen (in plaats van hun wachtwoord wijzigen via Google).
- Certificaat: X.509 PEM-certificaat van uw IdP. Het certificaat bevat de openbare sleutel waarmee de inloggegevens van de IdP worden geverifieerd.
- Het certificaat moet een X.509-certificaat zijn dat de indeling PEM of DER heeft en een ingesloten openbare sleutel bevat.
- De openbare sleutel moet zijn gegenereerd met het DSA- of RSA-algoritme.
- De openbare sleutel van het certificaat moet overeenkomen met de privésleutel waarmee de SAML-reactie wordt ondertekend.
U krijgt deze certificaten meestal van uw IdP. U kunt ze ook zelf genereren.
Een SAML SSO-profiel maken
Volg deze stappen om een SSO-profiel van derden te maken. U kunt maximaal 1000 profielen maken in uw organisatie.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
Beveiliging
Verificatie
- Klik onder SSO-profielen van derden op SAML-profiel toevoegen.
- Geef een naam voor het profiel op.
- (Optioneel) Als u een XML-metadatabestand van uw IdP heeft, klikt u op XML-bestand uploaden om IdP-gegevens op te geven en gaat u verder met stap 8.
- Voer de inlogpagina-URL en andere informatie die u heeft gekregen van uw IdP in.
- Vul een URL voor wachtwoord wijzigen in voor uw IdP. Gebruikers worden doorgestuurd naar de pagina van deze URL (in plaats van naar de Google-pagina voor wachtwoord wijzigen) om hun wachtwoord te resetten.
- Klik op Certificaat uploaden om uw certificaatbestand te uploaden.
U kunt maximaal 2 certificaten uploaden. Zo kunt u certificaten rouleren als dat nodig is.
- Klik op Opslaan.
- Kopieer in het gedeelte SP-gegevens de Entiteits-ID en ACS-URL (ACS-URL) en sla deze op. U heeft deze waarden nodig om SSO te configureren met Google in het beheerdersdashboard van de IdP.
- (Optioneel) Als uw IdP het versleutelen van asserties ondersteunt, kunt u een certificaat genereren en delen met de IdP om versleuteling aan te zetten. Elk SAML SSO-profiel kan maximaal 2 SP-certificaten hebben.
- Klik op het gedeelte SP-gegevens om de bewerkingsmodus te openen.
- Klik onder SP-certificaat op Certificaat genereren. (Het certificaat wordt getoond nadat u het heeft opgeslagen.)
- Klik op Opslaan. De naam, vervaldatum en inhoud van het certificaat worden getoond.
- Gebruik de knoppen boven een certificaat om de inhoud van het certificaat te kopiëren of het certificaat als bestand te downloaden. Daarna deelt u het certificaat met uw IdP.
- (Optioneel) Als u een certificaat wilt roteren, gaat u terug naar SP-gegevens en klikt u op Nog een certificaat genereren. Deel het nieuwe certificaat vervolgens met uw IdP. Zodra u zeker weet dat uw IdP het nieuwe certificaat gebruikt, kunt u het oorspronkelijke certificaat verwijderen.
Uw IdP instellen
Als u uw IdP wilt instellen om dit SSO-profiel te gebruiken, voert u de informatie uit het gedeelte Gegevens van serviceprovider (SP) van het profiel in de juiste velden in de SSO-instellingen van uw IdP in. Zowel de ACS-URL als de entiteits-ID zijn uniek voor dit profiel.
Het verouderde SSO-profiel instellenHet verouderde SSO-profiel wordt ondersteund voor gebruikers die niet zijn gemigreerd naar SSO-profielen. Het ondersteunt alleen gebruik met één IdP.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
- Klik onder SSO-profielen van derden op SAML-profiel toevoegen.
- Klik onderaan de pagina IdP-gegevens op Naar instellingen voor verouderd SSO-profiel.
- Vink op de pagina Verouderd SSO-profiel het vakje aan voor SSO aanzetten met identiteitsprovider van derden.
- Vul de volgende gegevens in voor uw IdP:
- Voer de inlogpagina-URL en de uitlogpagina-URL van de IdP in.
Opmerking: Alle URL's moeten worden ingevoerd en moeten beginnen met HTTPS, bijvoorbeeld https://sso.example.com.
- Klik op Certificaat uploaden en zoek en upload het X.509-certificaat dat wordt geleverd door uw IdP. Ga naar Certificatevereisten voor meer informatie.
- Kies of u een domeinspecifieke uitgever wilt gebruiken in de SAML-aanvraag van Google.
Als u meerdere domeinen met SSO gebruikt bij uw IdP, gebruikt u een domeinspecifieke uitgever om te bepalen welk domein de SAML-aanvraag heeft verstuurd.
- Aangevinkt: Google stuurt een uitgever die specifiek is voor uw domein: google.com/a/example.com (waarbij example.com uw primaire Google Workspace-domeinnaam is)
- Niet aangevinkt: Google stuurt de standaarduitgever in het SAML-verzoek: google.com
- (Optioneel) Als u SSO wilt toepassen op een reeks gebruikers binnen specifieke IP-adresbereiken, voert u een netwerkmasker in. Ga naar Resultaten netwerktoewijzingen voor meer informatie.
Opmerking: U kunt ook gedeeltelijke SSO instellen door het SSO-profiel toe te wijzen aan specifieke organisatie-eenheden of groepen.
- Vul een URL voor wachtwoord wijzigen in voor uw IdP. Gebruikers worden doorgestuurd naar de pagina van deze URL (in plaats van naar de Google-pagina voor wachtwoord wijzigen) om hun wachtwoord te resetten.
Opmerking: Als u hier een URL invult, worden gebruikers doorgestuurd naar de pagina van de URL, zelfs als u SSO niet aanzet voor uw organisatie.
- Voer de inlogpagina-URL en de uitlogpagina-URL van de IdP in.
- Klik op Opslaan.
Nadat u het verouderde SSO-profiel heeft opgeslagen, staat het in de tabel SSO-profielen.
Uw IdP instellen
Als u uw IdP wilt instellen om dit SSO-profiel te gebruiken, voert u de informatie uit het gedeelte Gegevens van serviceprovider (SP) van het profiel in de juiste velden in de SSO-instellingen van uw IdP in. Zowel de ACS-URL als de entiteits-ID zijn uniek voor dit profiel.
| Indeling | |
| ACS-URL | https://accounts.google.com/a/{domain.com}/acs waarbij {domain.com} de Workspace-domeinnaam van uw organisatie is |
| Entiteits-ID | Een van de volgende:
|
Het verouderde SSO-profiel uitzetten
- Klik in de lijst SSO-profielen van derden op Verouderd SSO-profiel.
- Vink SSO aanzetten met identiteitsprovider van derden in de instellingen van het Verouderde SSO-profiel uit.
- Bevestig dat u wilt doorgaan en klik op Opslaan.
In de lijst SSO-profielen staat het Verouderd SSO-profiel nu Uitgezet.
- Bij organisatie-eenheden waaraan het verouderde SSO-profiel is toegewezen, staat een waarschuwing in de kolom Toegewezen profiel.
- Bij de organisatie-eenheid op het hoogste niveau staat Geen in de kolom Toegewezen profiel.
- In SSO-profieltoewijzingen beheren staat het Verouderde SSO-profiel als inactief.
Migreren van verouderde SAML-profielen naar SSO-profielen
Als uw organisatie het verouderde SSO-profiel gebruikt, raden we aan te migreren naar SSO-profielen. Deze bieden verschillende voordelen, waaronder OIDC-ondersteuning, modernere API's en meer flexibiliteit bij het toepassen van SSO-instellingen op uw gebruikersgroepen. Meer informatie
SSO instellen met OIDC
Volg deze stappen om op OIDC gebaseerde SSO te gebruiken:
- Kies een OIDC-optie: maak een aangepast OIDC-profiel waarin u informatie voor uw OIDC-partner opgeeft of gebruik het vooraf ingestelde OIDC-profiel van Microsoft Entra.
- Volg de stappen in Bepalen welke gebruikers SSO moeten gebruiken om het vooraf ingestelde OIDC-profiel toe te wijzen aan geselecteerde organisatie-eenheden/groepen.
Als u binnen een organisatie-eenheid (bijvoorbeeld in een suborganisatie-eenheid) gebruikers heeft die SSO niet nodig hebben, kunt u toewijzingen ook gebruiken om SSO uit te zetten voor deze gebruikers.
Opmerking: Opnieuw verifiëren met OIDC wordt momenteel niet ondersteund in de Google Cloud Command Line Interface.
Voordat u begint
Als u een aangepast OIDC-profiel wilt instellen, heeft u enkele basisinstellingen nodig van het supportteam of uit de documentatie van uw IdP:
- URL van Uitgever: De volledige URL van de IdP-autorisatieserver.
- Een OAuth-client, geïdentificeerd aan de hand van de client-ID en geverifieerd door een clientgeheim.
- URL voor wachtwoord wijzigen: De pagina waarop SSO-gebruikers hun wachtwoord wijzigen (in plaats van hun wachtwoord wijzigen via Google).
Google heeft je IdP ook nodig voor het volgende:
- De claim
emailvan uw IdP moet overeenkomen met het primaire e-mailadres van de gebruiker aan de Google-kant. - Het moet het autorisatiecodeproces gebruiken.
Een aangepast OIDC-profiel maken
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
- Klik onder SSO-profielen van derden op OIDC-profiel toevoegen.
- Geef het OIDC-profiel een naam.
- Voer OIDC-gegevens in: client-ID, URL van uitgever, clientgeheim.
- Klik op Opslaan.
- Kopieer de Omleidings-URI op de pagina met OIDC SSO-instellingen voor het nieuwe profiel. Update uw OAuth-client bij uw IdP om verzoeken met deze URI te beantwoorden.
Als u de instellingen wilt bewerken, plaatst u de cursor op OIDC-gegevens en klikt u op Bewerken .
Het OIDC-profiel van Microsoft Entra gebruiken
Zorg dat u de volgende vereisten voor OIDC heeft ingesteld in de Microsoft Entra ID-tenant van uw organisatie:
- De Microsoft Entra ID-tenant moet domeingeverifieerd zijn.
- Eindgebruikers moeten een Microsoft 365-licentie hebben.
- De gebruikersnaam (primair e-mailadres) van de Google Workspace-beheerder die het SSO-profiel toewijst, moet overeenkomen met het primaire e-mailadres van het beheerdersaccount van uw Azure AD-tenant.
Bepalen welke gebruikers SSO moeten gebruiken
Zet SSO aan voor een organisatie-eenheid of groep door een SSO-profiel en de bijbehorende IdP toe te wijzen. Of zet SSO uit door 'Geen' toe te wijzen aan het SSO-profiel. U kunt ook een gemengd SSO-beleid toepassen binnen een organisatie-eenheid of groep. U kunt bijvoorbeeld SSO aanzetten voor de hele organisatie-eenheid maar uitzetten voor een suborganisatie-eenheid.
Als u nog geen profiel heeft gemaakt, doet u dat voordat u doorgaat. U kunt ook het vooraf ingestelde OIDC-profiel toewijzen.
- Klik op SSO-profieltoewijzingen beheren.
- Als dit de eerste keer is dat u het SSO-profiel toewijst, klikt u op Aan de slag. Klik anders op Toewijzingen beheren.
- Selecteer links de organisatie-eenheid of groep waarvoor u het SSO-profiel toewijst.
- Als de SSO-profieltoewijzing voor een organisatie-eenheid of groep verschilt van de domeinbrede profieltoewijzing, ziet u een overschrijfwaarschuwing als u die organisatie-eenheid of groep selecteert.
- U kunt het SSO-profiel niet per gebruiker toewijzen. In de weergave Gebruikers kunt u de instelling voor een specifieke gebruiker controleren.
- Kies een SSO-profieltoewijzing voor de geselecteerde organisatie-eenheid of groep:
- Als u de organisatie-eenheid of groep wilt uitsluiten van SSO, kiest u Geen. Gebruikers in de organisatie-eenheid of groep loggen rechtstreeks bij Google in.
- Als u een andere IdP wilt toewijzen aan de organisatie-eenheid of groep, kiest u Een ander SSO-profiel en selecteert u het SSO-profiel in het dropdownmenu.
- (Alleen SAML SSO-profielen) Nadat u een SAML-profiel heeft geselecteerd, kiest u een inlogoptie voor gebruikers die rechtstreeks naar een Google-service gaan zonder eerst in te loggen bij de IdP van derden van het SSO-profiel. U kunt gebruikers om hun Google-gebruikersnaam vragen en ze vervolgens omleiden naar de IdP. U kunt ook vereisen dat gebruikers hun Google-gebruikersnaam en -wachtwoord invoeren.
Opmerking: Als u vereist dat gebruikers hun Google-gebruikersnaam en -wachtwoord opgeven, wordt de instelling URL voor wachtwoord wijzigen van dit SAML SSO-profiel (beschikbaar via SSO-profiel > IdP-gegevens) genegeerd. Zo kunnen gebruikers hun Google-wachtwoorden zo nodig wijzigen.
- Klik op Opslaan.
- (Optioneel) Wijs indien nodig SSO-profielen toe aan andere organisatie-eenheden of groepen.
Nadat u de kaart SSO-profieltoewijzingen beheren heeft gesloten, ziet u de geüpdatete toewijzingen voor organisatie-eenheden en groepen in het gedeelte SSO-profieltoewijzingen beheren.
Een SSO-profieltoewijzing verwijderen
- Klik op de naam van een groep of organisatie-eenheid om de instellingen voor profieltoewijzing te openen.
- Vervang de bestaande instelling voor toewijzing door de instelling van de bovenliggende organisatie-eenheid:
- Klik voor toewijzingen van organisatie-eenheden op Overnemen.
- Klik voor toewijzingen van groepen op Niet ingesteld.
Opmerking: Uw organisatie-eenheid op het hoogste niveau staat altijd in de lijst met profieltoewijzingen, ook als het profiel is ingesteld op Geen.
Zie ook
- Optionele SSO-instellingen en onderhoud
- Problemen met SSO oplossen
- Goedkeuring door meerdere partijen voor gevoelige acties
Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.
