SAML-SSO für ChromeOS-Geräte konfigurieren

Auf ChromeOS-Geräten wird die Einmalanmeldung (SSO) mit SAML (Security Assertion Markup Language) unterstützt, sodass sich Nutzer auf Geräten mit den Authentifizierungsmechanismen anmelden können, die Sie sonst auch in Ihrer Organisation verwenden. Die jeweiligen Passwörter können beim Identitätsanbieter (Identity Provider, IdP) Ihrer Organisation verbleiben. Die Anmeldung erfolgt ähnlich wie die Anmeldung in einem Google Workspace-Konto über einen Browser per SAML-SSO. Da ein Nutzer sich jedoch auf einem Gerät anmeldet, sind weitere Aspekte zu beachten.

Weitere Informationen finden Sie im Hilfeartikel Einmalanmeldung (SSO) für verwaltete Google-Konten mit anderen Identitätsanbietern einrichten.

Voraussetzungen

ChromeOS-Gerät mit Version 36 oder höher
Domain, die für die SAML-SSO für Google Workspace konfiguriert ist
SAML-URL, die HTTPS (nicht HTTP) verwendet
ChromeOS-Lizenzen für Ihre Geräte

Schritt 1: SSO einrichten

Richten Sie die Einmalanmeldung (SSO) für verwaltete Google-Konten mit anderen Identitätsanbietern ein.

Schritt 2: SSO testen

Richten Sie die SAML-SSO auf einer Testdomain ein, deren Inhaber Sie sind, und testen Sie sie dort. Wenn Sie keine Testdomain haben, auf der Sie die SAML-SSO testen können, erstellen Sie eine Testgruppe mit wenigen Nutzern und aktivieren Sie SSO nur für diese Nutzer. Aktivieren Sie die SAML-SSO nach dem Test für etwa 5 % Ihrer Nutzer.

Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Geräte Chrome Einstellungen. Die Seite Nutzer‑ und Browsereinstellungen wird standardmäßig angezeigt.
Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü Chrome-Browser Einstellungen.
Wenn die Einstellung für alle Nutzer und registrierten Browser gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit an.
Gehen Sie zu Sicherheit.
Klicken Sie auf Single Sign on (Einmalanmeldung (SSO)).
Wählen Sie SAML-basierte Einmalanmeldung (SSO) für Chrome-Geräte aktivieren aus.
Klicken Sie auf Speichern.

Schritt 3(optional): SAML-SSO-Cookies aktivieren

Aktivieren Sie SAML-SSO-Cookies, damit sich Nutzer mit der Einmalanmeldung bei nachfolgenden Anmeldungen auf ihrem Gerät bei internen Websites und Cloud-Diensten des gleichen Identitätsanbieters anmelden können.

Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Geräte Chrome Einstellungen Geräteeinstellungen.
Wenn die Einstellung für alle Nutzer und registrierten Browser gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit an.
Gehen Sie zu Anmeldeeinstellungen.
Klicken Sie auf Cookie-Einstellungen bei Einmalanmeldung (SSO).
Wählen Sie Übertragung von SAML-SSO-Cookies in die Nutzersitzung während der Anmeldung aktivieren aus. Weitere Informationen finden Sie im Hilfeartikel ChromeOS-Geräterichtlinien festlegen.
Klicken Sie auf Speichern.

Schritt 4 (optional): Lokale ChromeOS- und SAML-SSO-Passwörter synchronisieren:

Sie können festlegen, dass lokale Passwörter für ChromeOS-Geräte mit den SAML-SSO-Passwörtern der Nutzer synchronisiert werden.

Das lokale Passwort wird standardmäßig jedes Mal aktualisiert, wenn sich Nutzer online anmelden. Sie können konfigurieren, wie oft Nutzer sich online anmelden müssen. Dafür verwenden Sie die Einstellung Anmeldehäufigkeit für die SAML-Einmalanmeldung oder die Entsperrhäufigkeit für SAML-Einmalanmeldung (SSO). Es kann allerdings passieren, dass einige Nutzer ihr SAML-SSO-Passwort ändern, bevor sie sich wieder online anmelden müssen. In diesem Fall verwenden die Nutzer weiterhin ihr altes lokales ChromeOS-Passwort, bis sie sich das nächste Mal online anmelden.

Damit das lokale ChromeOS- und das SAML-SSO-Passwort synchron bleiben, können Sie festlegen, dass sich der Nutzer online anmelden muss, sobald sich sein SAML-SSO-Passwort ändert. Auf diese Weise wird das Passwort für ChromeOS fast zeitgleich aktualisiert.

Sie haben folgende Möglichkeiten, Google über Änderungen am Nutzerpasswort zu informieren:
1. IdP-Integration: Wenn Sie beispielsweise Okta verwenden, können Sie Okta-Workflows verwenden. Weitere Informationen finden Sie in der GitHub-Dokumentation.
2. Microsoft Entra ID-Integration: Mit dem Change Password Notifier (CPN für Microsoft Entra ID) wird Google über Änderungen des Microsoft Entra-ID-Passworts informiert. Weitere Informationen finden Sie unter ChromeOS-Passwörter mit dem Change Password Notifier für Microsoft Entra ID synchronisieren.
3. AD-Integration: Der Change Passwort-Notifier für Active Directory (CPN für AD) informiert Google über Änderungen am Microsoft AD-Passwort. Weitere Informationen finden Sie unter ChromeOS-Passwörter mit Change Password Notifier for Active Directory synchronisieren.
4. API-Integration: Integrieren Sie Ihren IdP mit der Device Token API. Die Chrome Device Token API finden Sie hier. Hier erfahren Sie, wie Sie die API-Suite für Cloud-Projekte aktivieren.
Konfigurieren Sie die entsprechenden Einstellungen.
1. Abläufe für die Synchronisierung von Passwörtern für die SAML-Einmalanmeldung: Wählen Sie aus, ob Onlineanmeldungen nur für den Anmeldebildschirm oder sowohl für den Anmelde- als auch für den Sperrbildschirm erzwungen werden sollen. Weitere Informationen finden Sie unter Chrome-Richtlinien für Nutzer oder Browser festlegen.
2. Synchronisierung von Passwörtern für die SAML-Einmalanmeldung: Wählen Sie Authentifizierungsabläufe für die Synchronisierung von Passwörtern mit SSO-Anbietern auslösen aus. Weitere Informationen finden Sie unter Chrome-Richtlinien für Nutzer oder Browser festlegen.

Schritt 5 (optional): Nutzer über bevorstehende Passwortänderungen informieren

Sie können dafür sorgen, dass Nutzer auf ihren ChromeOS-Geräten über bevorstehende Passwortänderungen informiert werden.

Derzeit werden Benachrichtigungen zum Ablauf von Passwörtern für Microsoft Entra ID nicht unterstützt.

Empfehlung: Führen Sie entweder Schritt 4 (optional): Lokale ChromeOS- und SAML-SSO-Passwörter synchronisieren oder Schritt 5 (optional): Nutzer über bevorstehende Passwortänderungen informieren aus – nicht beide.

So informieren Sie Nutzer über anstehende Passwortänderungen:

Richten Sie über die Admin-Konsole die Einmalanmeldung (SSO) für verwaltete Google-Konten mit anderen Identitätsanbietern ein.
Konfigurieren Sie für Ihren SAML-SSO-Anbieter die SAML-Assertion für den Ablauf des Passworts. Siehe dazu das Beispiel unten.
Konfigurieren Sie die Einstellungen in der Admin-Konsole.
1. Anmeldehäufigkeit für die SAML-Einmalanmeldung: Geben Sie einen Wert ein, der kleiner als die Ablaufzeit des Passworts ist. Assertions werden nur bei Onlineanmeldungen von ChromeOS aktualisiert. Weitere Informationen finden Sie unter Chrome-Richtlinien für Nutzer oder Browser festlegen.
2. Synchronisierung von Passwörtern für die SAML-Einmalanmeldung: Wählen Sie Authentifizierungsabläufe für die Synchronisierung von Passwörtern mit SSO-Anbietern auslösen aus. Geben Sie an, wie viele Tage Nutzer im Voraus benachrichtigt werden sollen. Sie können einen Wert zwischen 0 und 90 Tagen eingeben. Bleibt das Feld leer, wird der Standardwert 0 verwendet und Nutzer werden nicht im Voraus benachrichtigt, wenn ihr Passwort abläuft. Weitere Informationen finden Sie unter Chrome-Richtlinien für Nutzer oder Browser festlegen.

Beispiel für AttributeStatement

Im Beispiel gilt Folgendes:

Der Attributname enthält passwordexpirationtimestamp. Das ist der Zeitstempel, an dem das Passwort des zu authentifizierenden Nutzers abläuft. Das Feld kann leer sein, wenn das Passwort nicht abläuft, und der Stempel kann in der Vergangenheit liegen, wenn das Passwort bereits abgelaufen ist. Sie können stattdessen auch passwordmodifiedtimestamp verwenden.
Der Attributwert ist die NTFS-Dateizeit: Das ist die Anzahl der 100-ns-Ticks seit dem 1. Januar 1601 UTC. Sie können die Datums- und Uhrzeiteinstellungen auch im Unix- oder ISO-8601-Format festlegen. Andere Formate sind nicht möglich.

<AttributeStatement> <Attribute Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp"> <AttributeValue>132253026634083525</AttributeValue> </Attribute> </AttributeStatement>

Schritt 6 (optional): Weiterleitung zum SAML-SSO-IdP aktivieren

Damit Nutzer mit Einmalanmeldung nicht erst ihre E-Mail-Adresse eingeben müssen, sondern direkt zur Seite Ihres SAML-Identitätsanbieters gelangen, können Sie die SAML-SSO-Weiterleitung zum Identitätsanbieter aktivieren.

Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Geräte Chrome Einstellungen Geräteeinstellungen.
Wenn die Einstellung für alle Nutzer und registrierten Browser gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit an.
Gehen Sie zu Anmeldeeinstellungen.
Klicken Sie auf Weiterleitung zum Identitätsanbieter der Einmalanmeldung (SSO).
Wählen Sie Nutzern erlauben, die SAML-SSO-IdP-Seite direkt aufzurufen aus. Weitere Informationen finden Sie im Hilfeartikel ChromeOS-Geräterichtlinien festlegen.
Klicken Sie auf Speichern.

Schritt 7 (optional): Passthrough des Nutzernamens

Sie können Nutzernamen von Google Identity automatisch an externe Identitätsanbieter (IdPs) übergeben, um zu vermeiden, dass Nutzer ihren Nutzernamen zweimal eingeben müssen.

Hinweise

Diese Funktion ist nur für IdPs verfügbar, die die Übergabe des Nutzernamens im Rahmen der SAML-Abfrage erlauben. Weitere Informationen finden Sie unter Autofill-Nutzername auf der Anmeldeseite des SAML-IdPs.
Wenn Sie Nutzer immer über Schritt 7 an den externen Identitätsanbieter weiterleiten, ist beim Passthrough des Nutzernamens der Vorgang zur erneuten Authentifizierung beschränkt. Weitere Informationen finden Sie unter Anmeldehäufigkeit für die SAML-Einmalanmeldung oder Entsperrhäufigkeit für SAML-Einmalanmeldung (SSO).

Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Geräte Chrome Einstellungen Geräteeinstellungen.
Wenn die Einstellung für alle Nutzer und registrierten Browser gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit an.
Gehen Sie zu Anmeldeeinstellungen.
Klicken Sie auf Autofill-Nutzername auf der Anmeldeseite des SAML-IdPs.
Geben Sie den Namen des URL-Parameters ein.
Klicken Sie auf Speichern.

Schritt 8 (optional): Inhalte auf dem Anmelde- und Sperrbildschirm verwalten

Wenn die Einmalanmeldung (SSO) von SAML oder OpenID Connect für die Nutzerauthentifizierung oder beim Konfigurieren von Netzwerkverbindungen mit Captive Portals außerhalb von Nutzersitzungen verwendet wird, können Sie URLs auf Anmelde- und Sperrbildschirmen von Nutzern mithilfe der Richtlinien DeviceAuthenticationURLBlocklist und DeviceAuthenticationURLAllowlist blockieren oder zulassen.

Weitere Informationen finden Sie in den Hilfeartikeln Blockierte URLs auf dem Anmelde-/Sperrbildschirm und Ausnahmen für blockierte URLs auf dem Anmelde-/Sperrbildschirm.

Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Geräte Chrome Einstellungen Geräteeinstellungen.
Wenn die Einstellung für alle Nutzer und registrierten Browser gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit an.
Gehen Sie zu Anmeldeeinstellungen.
Klicken Sie auf Blockierte URLs auf dem Anmelde-/Sperrbildschirm.
1. Geben Sie an, welche URLs auf dem Anmelde-/Sperrbildschirm blockiert werden sollen.
2. Klicken Sie auf Speichern.
Klicken Sie auf Ausnahmen für blockierte URLs auf dem Anmelde-/Sperrbildschirm.
1. Geben Sie an, welche URLs auf dem Anmelde-/Sperrbildschirm zugelassen werden sollen.
2. Klicken Sie auf Speichern.

Schritt 9: SAML-SSO für Geräte einführen

Nachdem Sie die SAML-SSO auf 5 % der Geräte Ihrer Organisation getestet haben, können Sie die Einmalanmeldung für alle aktivieren. Richten Sie dazu dieselbe Richtlinie für die zusätzlichen Gruppen ein. Wenden Sie sich bei Problemen an den Google Cloud-Support.

Mit SAML-SSO auf ChromeOS-Geräten anmelden

Wenn die SAML-SSO auf Geräten für Ihre Organisation konfiguriert wurde, sehen Nutzer die folgenden Schritte, wenn sie sich auf einem Gerät anmelden.

Voraussetzungen

Sie haben alle oben beschriebenen Schritte ausgeführt.

Anmeldeablauf:

Bitten Sie Ihre Nutzer, bei der ersten Anmeldung auf ihrem Gerät Folgendes zu tun. Hinweis: Testen Sie den Ablauf, bevor Sie ihn für Ihre Organisation freigeben.

Geben Sie auf der Anmeldeseite des ChromeOS-Geräts Ihren Nutzernamen (vollständige E-Mail-Adresse) ein. In diesem Schritt ist kein Passwort erforderlich.
Sie werden auf die SAML-SSO-Seite Ihrer Organisation weitergeleitet. Geben Sie auf der Anmeldeseite des SAML-Anbieters Ihre SAML-Anmeldedaten ein.
Falls Sie dazu aufgefordert werden, geben Sie Ihr Passwort noch einmal ein, um die Anmeldung abzuschließen. Dieser Schritt ist nur nötig, wenn Ihr Identitätsanbieter die Credentials Passing API noch nicht implementiert hat. Das ist erforderlich, um den Offlinezugriff auf Ihr Gerät zu ermöglichen und um es entsperren zu können.
Wenn Sie sich angemeldet haben, wird Ihre Sitzung gestartet und der Browser wird geöffnet. Bei der nächsten Anmeldung müssen Sie das Passwort nur noch einmal beim Starten Ihres Geräts eingeben. Wenn Probleme auftreten, wenden Sie sich bitte an Ihren IT-Administrator.

Häufig gestellte Fragen

Kann ich die integrierte Windows-Authentifizierung (WIA) verwenden, damit Nutzer sich in browserbasierten Apps und im Intranet anmelden können, ohne ihren Nutzernamen und ihr Passwort eingeben zu müssen?

Nein. WIA wird in Active Directory Federation Services (AD FS) nicht mehr unterstützt. Weitere Informationen finden Sie unter Zur cloudbasierten Chrome-Verwaltung migrieren.

Nach der Anmeldung bei meinem SAML-Anbieter werde ich zur erneuten Eingabe meines Passworts aufgefordert. Ist das normal?

Ja. Das ist erforderlich, um den Offlinezugriff auf Ihr ChromeOS-Gerät zu ermöglichen und es entsperren zu können. SAML-Anbieter können eine API zum Überspringen dieses Bestätigungsschritts implementieren.

Wie kann ich bei einer Passwortänderung auf einem anderen Gerät sicherstellen, dass sich das Gerät mit dem neuen Passwort entsperren lässt?

Wir empfehlen Ihnen, die einfache Aktualisierungsmethode in der Directory API zu verwenden, durch die unser Authentifizierungsserver über Passwortänderungen informiert wird. Geben Sie das Passwort in das Feld Anfragetext ein. Wird die API nicht verwendet, wird die Passwortänderung bei der nächsten Onlineanmeldung erkannt. Standardmäßig wird alle 14 Tage eine Onlineanmeldung durch das Gerät erzwungen – auch dann, wenn sich das Passwort nicht geändert hat. Sie können diesen Zeitraum in der Admin-Konsole ändern. Gehen Sie dafür zu GeräteChromeEinstellungenNutzer und BrowserAnmeldehäufigkeit für die SAML-Einmalanmeldung.

Mein Passwort enthält Sonderzeichen. Funktioniert das?

Wir unterstützen nur druckbare ASCII-Zeichen.

Ich sehe den Bildschirm "Sie konnten nicht angemeldet werden, weil in der Konfiguration eine unsichere URL angegeben ist. Bitte wenden Sie sich an Ihren Administrator." Was soll ich tun?

Falls Ihre Mitarbeiter diese Fehlermeldung erhalten, bedeutet das, dass der SAML-IdP versucht, eine HTTP-URL zu verwenden. Es wird jedoch nur HTTPS unterstützt. Es ist wichtig, dass bei der gesamten Anmeldung nur HTTPS verwendet wird. Selbst wenn das ursprüngliche Anmeldeformular über HTTPS bereitgestellt wird, kann dieser Fehler zu sehen sein, wenn Ihr IdP später auf eine HTTP-URL weiterleitet. Wenn Sie das Problem behoben haben und Nutzer weiterhin eine Fehlermeldung erhalten, wenden Sie sich an den Google Cloud-Support.

Ich bin IT-Administrator. Warum werde ich nicht an meinen SAML-ID-Anbieter weitergeleitet?

Dies geschieht absichtlich. Falls bei der Einrichtung etwas schiefgeht, möchten wir, dass sich der Administrator weiterhin anmelden und das Problem beheben kann.

Funktioniert die Einmalanmeldung (SSO) auch zusammen mit TLS- und SSL-Inhaltsfiltern?

Ja. Zur Einrichtung folgen Sie der Anleitung unter TLS-Prüfung (auch SSL-Prüfung genannt) auf ChromeOS-Geräten einrichten. Zusätzlich zu den Domains, die in der Zulassungsliste für Hostnamen dokumentiert sind, müssen Sie auch die Domain Ihres SSO-Identitätsanbieters und www.google.com auf die Zulassungsliste setzen.

Wie funktioniert die SSO mit Kameraberechtigungen?

Um Software von Drittanbietern im Namen Ihrer SSO-Nutzer direkten Zugriff auf die Gerätekamera zu gewähren, können Sie Kameraberechtigungen für die Einmalanmeldung aktivieren.

Gehen Sie zu GeräteChromeEinstellungenGeräteeinstellungenKameraberechtigungen für die EinmalanmeldungZulassungsliste der Kameraberechtigungen für die Einmalanmeldung.

Weitere Informationen finden Sie im Hilfeartikel ChromeOS-Geräterichtlinien festlegen.

Durch das Aktivieren dieser Richtlinie gewährt der Administrator Drittanbietern im Namen seiner Nutzer Zugriff auf deren Kamera. Der Administrator sollte dafür vorab die Einwilligung der Nutzer einholen, da ihnen kein Einwilligungsformular angezeigt wird, nachdem die Kameraberechtigungen über die Richtlinie gewährt wurden.

Google sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.

War das hilfreich?

Wie können wir die Seite verbessern?