SSO instellen voor uw organisatie

U kunt SSO op verschillende manieren instellen met Google als uw serviceprovider, afhankelijk van de behoeften van uw organisatie. Met SSO-profielen die de instellingen voor uw IdP bevatten, kunt u verschillende SSO-instellingen toepassen op verschillende gebruikers in uw organisatie.

Google Workspace ondersteunt zowel op SAML gebaseerde als op OIDC gebaseerde SSO-protocollen:

Als al uw gebruikers inloggen via 1 IdP via SAML:

1. Volg de stappen hieronder in Een SSO-profiel instellen voor uw organisatie.
2. Als u sommige gebruikers wilt uitsluiten van SSO (en ze rechtstreeks wilt laten inloggen bij Google), volgt u de stappen in Bepalen welke gebruikers SSO moeten gebruiken. Hier kunt u de optie Geen toewijzen aan een SSO-profiel.

Als u meerdere IdP's gebruikt voor uw gebruikers of OIDC gebruikt:

Welke stappen u moet volgen, hangt af van het protocol dat door uw IdP (SAML of OIDC) wordt gebruikt:

• SAML
  1. Volg de stappen hieronder in SSO-profielen maken voor elk van uw IdP's.
  2. Bepalen welke gebruikers SSO moeten gebruiken
• OIDC
  1. Zorg dat u de volgende vereisten heeft ingesteld voor OIDC in de Azure AD-tenant van uw organisatie:
     • De Azure AD-tenant moet domeingeverifieerd zijn.
     • Eindgebruikers moeten een Microsoft 365-licentie hebben.
  2. Volg de stappen in Bepalen welke gebruikers SSO moeten gebruiken om het vooraf ingestelde OIDC-profiel toe te wijzen aan geselecteerde OE's/groepen.

     Opmerking: Opnieuw verifiëren met OIDC wordt momenteel niet ondersteund in de Google Cloud Command Line Interface.

• Als u binnen een OE (bijvoorbeeld in een sub-OE) gebruikers heeft die SSO niet nodig hebben, kunt u toewijzingen ook gebruiken om SSO uit te zetten voor deze gebruikers.

Als uw gebruikers domeinspecifieke service-URL's gebruiken voor toegang tot Google-services (bijvoorbeeld https://mail.google.com/a/example.com), kunt u ook beheren hoe deze URL's werken met SSO.

Voordat u begint

Als u een SAML SSO-profiel wilt instellen, heeft u enkele basisinstellingen nodig van het supportteam of uit de documentatie van uw IdP:

• Inlogpagina-URL: Dit wordt ook wel de SSO-URL of het SAML 2.0-eindpunt (HTTP) genoemd. Hier loggen gebruikers in bij uw IdP.
• Uitlogpagina-URL: Waar de gebruiker terechtkomt nadat de Google-app of -service is verlaten.
• Certificaat: X.509 PEM-certificaat van uw IdP. Zie SAML-sleutel en verificatiecertificaat voor meer informatie over X.509-certificaten.
• URL voor wachtwoord wijzigen: De pagina waarop SSO-gebruikers hun wachtwoord wijzigen (in plaats van hun wachtwoord wijzigen via Google).

Het SSO-profiel instellen voor uw organisatie

Gebruik deze optie als al uw gebruikers die SSO gebruiken één IdP gebruiken.

1. Log in bij de Google Beheerdersconsole.

   Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

2. Ga in de Beheerdersconsole naar Menu Beveiliging Verificatie SSO met IdP van derden.
3. Klik bij SSO-profiel van derden voor uw organisatie op SSO-profiel toevoegen.
4. Vink het vakje aan voor SSO instellen met identiteitsprovider van derden.

Vul de volgende gegevens in voor uw IdP:

• Voer de inlogpagina-URL en de uitlogpagina-URL van de IdP in.

  Opmerking: Alle URL's moeten worden ingevoerd en moeten beginnen met HTTPS, bijvoorbeeld https://sso.domein.com.

• Klik op Certificaat uploaden en zoek en upload het X.509-certificaat dat wordt geleverd door uw IdP. Ga naar SAML-sleutel en verificatiecertificaat voor informatie over het genereren van een certificaat.
• Kies of u een domeinspecifieke uitgever wilt gebruiken in de SAML-aanvraag van Google.

  Als u meerdere domeinen met SSO gebruikt bij uw IdP, gebruikt u een domeinspecifieke uitgever om te bepalen welk domein de SAML-aanvraag heeft verstuurd.

  • Aangevinkt: Google stuurt een uitgever die specifiek is voor uw domein: google.com/a/example.com (waarbij example.com uw primaire Google Workspace-domeinnaam is)
  • Niet aangevinkt: Google stuurt de standaarduitgever in het SAML-verzoek: google.com
• (Optioneel) Als u SSO wilt toepassen op een groep gebruikers binnen specifieke IP-adresbereiken, voert u een netwerkmasker in. Ga naar Resultaten netwerktoewijzingen voor meer informatie.

  Opmerking: U kunt ook gedeeltelijke SSO instellen door het SSO-profiel toe te wijzen aan specifieke organisatie-eenheden of groepen.

• Vul een URL voor wachtwoord wijzigen in voor uw IdP. Gebruikers worden doorgestuurd naar de pagina van deze URL (in plaats van naar de Google-pagina voor wachtwoord wijzigen) om hun wachtwoord te resetten.

  Opmerking: Als u hier een URL invult, worden gebruikers doorgestuurd naar de pagina van de URL, zelfs als u SSO niet aanzet voor uw organisatie.

SSO uitzetten voor alle gebruikers

Als u verificatie via derden voor al uw gebruikers wilt uitzetten zonder de SSO-profieltoewijzing voor OE's of groepen te wijzigen, kunt u het SSO-profiel van derden uitzetten:

1. Haal het vinkje weg voor SSO-profiel instellen met identiteitsprovider van derden.
2. Klik op Opslaan.

Een SAML SSO-profiel maken

Volg deze stappen om een SSO-profiel van derden te maken. U kunt maximaal 1000 profielen maken in uw organisatie.

1. Log in bij de Google Beheerdersconsole.

   Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

2. Ga in de Beheerdersconsole naar Menu Beveiliging Verificatie SSO met IdP van derden.
3. Klik onder SSO-profielen van derden op SAML-profiel toevoegen.
4. Geef een naam voor het profiel op.
5. Voer de inlogpagina-URL en andere informatie die u heeft gekregen van uw IdP in.
6. Vul een URL voor wachtwoord wijzigen in voor uw IdP. Gebruikers worden doorgestuurd naar de pagina van deze URL (in plaats van naar de Google-pagina voor wachtwoord wijzigen) om hun wachtwoord te resetten.
7. Klik op Certificaat uploaden, zoek uw certificaatbestand en upload het. Ga naar SAML-sleutel en verificatiecertificaat voor informatie over het genereren van een certificaat.
8. Klik op Opslaan.
9. Kopieer in het gedeelte SP-gegevens de Entiteits-ID en ACS-URL (ACS-URL) en sla deze op. U heeft deze waarden nodig om SSO te configureren met Google in het beheerdersdashboard van de IdP.
10. (Optioneel) Als uw IdP het versleutelen van asserties ondersteunt, kunt u een certificaat genereren en delen met de IdP om versleuteling aan te zetten. Elk SAML SSO-profiel kan maximaal 2 SP-certificaten hebben.
    1. Klik op het gedeelte SP-gegevens om de bewerkingsmodus te openen.
    2. Klik onder SP-certificaat op Certificaat genereren. (Het certificaat wordt weergegeven nadat u het heeft opgeslagen.)
    3. Klik op Opslaan. De naam, de vervaldatum en de inhoud van het certificaat worden weergegeven.
    4. Gebruik de knoppen boven een certificaat om de inhoud van het certificaat te kopiëren of het certificaat als bestand te downloaden. Daarna deelt u het certificaat met uw IdP.
    5. (Optioneel) Als u een certificaat wilt roteren, gaat u terug naar SP-gegevens en klikt u op Nog een certificaat genereren. Deel het nieuwe certificaat vervolgens met uw IdP. Zodra u zeker weet dat uw IdP het nieuwe certificaat gebruikt, kunt u het oorspronkelijke certificaat verwijderen.

Bepalen welke gebruikers SSO moeten gebruiken

Zet SSO aan voor een OE of groep door een SSO-profiel en de bijbehorende IdP toe te wijzen. Of zet SSO uit door 'Geen' toe te wijzen aan het SSO-profiel. U kunt ook een gemengd SSO-beleid toepassen binnen een OE of groep. U kunt bijvoorbeeld SSO aanzetten voor de hele OE maar uitzetten voor een sub-OE.

1. Klik op SSO-profieltoewijzingen beheren.
2. Als dit de eerste keer is dat u het SSO-profiel toewijst, klikt u op Aan de slag. Klik anders op Beheren.
3. Selecteer links de organisatie-eenheid of groep waarvoor u het SSO-profiel toewijst.
   • Als de SSO-profieltoewijzing voor een OE of groep verschilt van de domeinbrede profieltoewijzing, ziet u een overschrijfwaarschuwing als u die OE of groep selecteert.
   • U kunt het SSO-profiel niet per gebruiker toewijzen. In de weergave Gebruikers kunt u de instelling voor een specifieke gebruiker controleren.
4. Kies een SSO-profieltoewijzing voor de geselecteerde OE of groep:
   • Als u de OE of groep wilt uitsluiten van SSO, kiest u Geen. Gebruikers in de OE of groep loggen rechtstreeks in bij Google.
   • Als u een andere IdP wilt toewijzen aan de OE of groep, kiest u Een ander SSO-profiel en selecteert u het SSO-profiel in het dropdownmenu.
5. (Alleen SAML SSO-profielen) Nadat u een SAML-profiel heeft geselecteerd, kiest u een inlogoptie voor gebruikers die rechtstreeks naar een Google-service gaan zonder eerst in te loggen bij de IdP van derden van het SSO-profiel. U kunt gebruikers om hun Google-gebruikersnaam vragen en ze vervolgens omleiden naar de IdP. U kunt ook vereisen dat gebruikers hun Google-gebruikersnaam en -wachtwoord invoeren. 

   Opmerking: Als u vereist dat gebruikers hun Google-gebruikersnaam en -wachtwoord opgeven, wordt de instelling URL voor wachtwoord wijzigen van dit SAML SSO-profiel (beschikbaar via SSO-profiel > IdP-gegevens) genegeerd. Zo kunnen gebruikers hun Google-wachtwoord wijzigen als dat nodig is.

6. (Alleen Microsoft OIDC SSO-profiel) Vul het wachtwoord van uw Microsoft-account in en klik op Inloggen om uw Microsoft SSO-configuratie te controleren.

   Als u beheerder van een Azure AD-organisatie bent, kunt u toestemming accepteren namens de organisatie. Dit betekent dat eindgebruikers niet wordt gevraagd OAuth-toestemming te geven.

7. Klik op Opslaan.
8. Wijs indien nodig SSO-profielen toe aan andere OE's of groepen.

Nadat u de kaart SSO-profieltoewijzingen beheren heeft gesloten, ziet u de geüpdatete toewijzingen voor OE's en groepen in het gedeelte SSO-profieltoewijzingen beheren.

Een toewijzing verwijderen uit de lijst met SSO-profieltoewijzingen

1. Klik op de naam van een groep of organisatie-eenheid om de instellingen voor profieltoewijzing te openen.
2. Vervang de bestaande toewijzingsinstelling door de instelling voor de bovenliggende organisatie-eenheid:
   • Klik voor toewijzingen van organisatie-eenheden op Overnemen.
   • Klik voor toewijzingen van groepen op Niet ingesteld.  
   • Stel voor toewijzingen van hoofd-OE's de toewijzing in op Geen (of Het SSO-profiel van derden van de organisatie) als u het SSO-profiel van derden wilt gebruiken voor uw organisatie.

Domeinspecifieke service-URL's beheren

Met de instelling Domeinspecifieke service-URL's bepaalt u wat er gebeurt als gebruikers inloggen met service-URL's als https://mail.google.com/a/example.com. Er zijn 2 opties:

• Gebruikers omleiden naar de IdP van derden. Kies deze optie om deze gebruikers altijd door te sturen naar de IdP van derden die u selecteert in het dropdownmenu voor het SSO-profiel. Dit kan het SSO-profiel van uw organisatie zijn of een ander profiel van derden (als u er een heeft toegevoegd).

  Belangrijk: Als u organisatie-eenheden of groepen heeft die geen SSO gebruiken, kiest u deze instelling niet. Uw gebruikers die geen SSO gebruiken, worden automatisch doorgestuurd naar de IdP en kunnen niet inloggen.

• Vereisen dat gebruikers eerst hun gebruikersnaam invullen op de inlogpagina van Google. Als u deze optie kiest, worden gebruikers die domeinspecifieke URL's invullen eerst naar de inlogpagina van Google gestuurd. Als ze SSO-gebruikers zijn, worden ze omgeleid naar de inlogpagina van de IdP.

Zie ook:

Inloggen met SSO

Problemen met SSO oplossen