U kunt SSO op verschillende manieren instellen met Google als uw serviceprovider, afhankelijk van de behoeften van uw organisatie. Met SSO-profielen die de instellingen voor uw IdP bevatten, kunt u verschillende SSO-instellingen toepassen op verschillende gebruikers in uw organisatie.
Google Workspace ondersteunt zowel op SAML gebaseerde als op OIDC gebaseerde SSO-protocollen:
Als al uw gebruikers inloggen via 1 IdP via SAML:
- Volg de stappen hieronder in Een SSO-profiel instellen voor uw organisatie.
- Als u sommige gebruikers wilt uitsluiten van SSO (en ze rechtstreeks wilt laten inloggen bij Google), volgt u de stappen in Bepalen welke gebruikers SSO moeten gebruiken. Hier kunt u de optie Geen toewijzen aan een SSO-profiel.
Als u meerdere IdP's gebruikt voor uw gebruikers of OIDC gebruikt:
Welke stappen u moet volgen, hangt af van het protocol dat door uw IdP (SAML of OIDC) wordt gebruikt:
- SAML
- Volg de stappen hieronder in SSO-profielen maken voor elk van uw IdP's.
- Bepalen welke gebruikers SSO moeten gebruiken
- OIDC
- Zorg dat u de volgende vereisten heeft ingesteld voor OIDC in de Azure AD-tenant van uw organisatie:
- De Azure AD-tenant moet domeingeverifieerd zijn.
- Eindgebruikers moeten een Microsoft 365-licentie hebben.
- Volg de stappen in Bepalen welke gebruikers SSO moeten gebruiken om het vooraf ingestelde OIDC-profiel toe te wijzen aan geselecteerde OE's/groepen.
Opmerking: Opnieuw verifiëren met OIDC wordt momenteel niet ondersteund in de Google Cloud Command Line Interface.
- Zorg dat u de volgende vereisten heeft ingesteld voor OIDC in de Azure AD-tenant van uw organisatie:
-
Als u binnen een OE (bijvoorbeeld in een sub-OE) gebruikers heeft die SSO niet nodig hebben, kunt u toewijzingen ook gebruiken om SSO uit te zetten voor deze gebruikers.
Als uw gebruikers domeinspecifieke service-URL's gebruiken voor toegang tot Google-services (bijvoorbeeld https://mail.google.com/a/example.com), kunt u ook beheren hoe deze URL's werken met SSO.
Voordat u begint
Als u een SAML SSO-profiel wilt instellen, heeft u enkele basisinstellingen nodig van het supportteam of uit de documentatie van uw IdP:
- Inlogpagina-URL: Dit wordt ook wel de SSO-URL of het SAML 2.0-eindpunt (HTTP) genoemd. Hier loggen gebruikers in bij uw IdP.
- Uitlogpagina-URL: Waar de gebruiker terechtkomt nadat de Google-app of -service is verlaten.
- Certificaat: X.509 PEM-certificaat van uw IdP. Zie SAML-sleutel en verificatiecertificaat voor meer informatie over X.509-certificaten.
- URL voor wachtwoord wijzigen: De pagina waarop SSO-gebruikers hun wachtwoord wijzigen (in plaats van hun wachtwoord wijzigen via Google).
Het SSO-profiel instellen voor uw organisatie
Gebruik deze optie als al uw gebruikers die SSO gebruiken één IdP gebruiken.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu Beveiliging Verificatie SSO met IdP van derden.
- Klik bij SSO-profiel van derden voor uw organisatie op SSO-profiel toevoegen.
- Vink het vakje aan voor SSO instellen met identiteitsprovider van derden.
Vul de volgende gegevens in voor uw IdP:
- Voer de inlogpagina-URL en de uitlogpagina-URL van de IdP in.
Opmerking: Alle URL's moeten worden ingevoerd en moeten beginnen met HTTPS, bijvoorbeeld https://sso.domein.com.
- Klik op Certificaat uploaden en zoek en upload het X.509-certificaat dat wordt geleverd door uw IdP. Ga naar SAML-sleutel en verificatiecertificaat voor informatie over het genereren van een certificaat.
- Kies of u een domeinspecifieke uitgever wilt gebruiken in de SAML-aanvraag van Google.
Als u meerdere domeinen met SSO gebruikt bij uw IdP, gebruikt u een domeinspecifieke uitgever om te bepalen welk domein de SAML-aanvraag heeft verstuurd.
- Aangevinkt: Google stuurt een uitgever die specifiek is voor uw domein: google.com/a/example.com (waarbij example.com uw primaire Google Workspace-domeinnaam is)
- Niet aangevinkt: Google stuurt de standaarduitgever in het SAML-verzoek: google.com
- (Optioneel) Als u SSO wilt toepassen op een groep gebruikers binnen specifieke IP-adresbereiken, voert u een netwerkmasker in. Ga naar Resultaten netwerktoewijzingen voor meer informatie.
Opmerking: U kunt ook gedeeltelijke SSO instellen door het SSO-profiel toe te wijzen aan specifieke organisatie-eenheden of groepen.
- Vul een URL voor wachtwoord wijzigen in voor uw IdP. Gebruikers worden doorgestuurd naar de pagina van deze URL (in plaats van naar de Google-pagina voor wachtwoord wijzigen) om hun wachtwoord te resetten.
Opmerking: Als u hier een URL invult, worden gebruikers doorgestuurd naar de pagina van de URL, zelfs als u SSO niet aanzet voor uw organisatie.
SSO uitzetten voor alle gebruikers
Als u verificatie via derden voor al uw gebruikers wilt uitzetten zonder de SSO-profieltoewijzing voor OE's of groepen te wijzigen, kunt u het SSO-profiel van derden uitzetten:
- Haal het vinkje weg voor SSO-profiel instellen met identiteitsprovider van derden.
- Klik op Opslaan.
Een SAML SSO-profiel maken
Volg deze stappen om een SSO-profiel van derden te maken. U kunt maximaal 1000 profielen maken in uw organisatie.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu Beveiliging Verificatie SSO met IdP van derden.
- Klik onder SSO-profielen van derden op SAML-profiel toevoegen.
- Geef een naam voor het profiel op.
- Voer de inlogpagina-URL en andere informatie die u heeft gekregen van uw IdP in.
- Vul een URL voor wachtwoord wijzigen in voor uw IdP. Gebruikers worden doorgestuurd naar de pagina van deze URL (in plaats van naar de Google-pagina voor wachtwoord wijzigen) om hun wachtwoord te resetten.
- Klik op Certificaat uploaden, zoek uw certificaatbestand en upload het. Ga naar SAML-sleutel en verificatiecertificaat voor informatie over het genereren van een certificaat.
- Klik op Opslaan.
- Kopieer in het gedeelte SP-gegevens de Entiteits-ID en ACS-URL (ACS-URL) en sla deze op. U heeft deze waarden nodig om SSO te configureren met Google in het beheerdersdashboard van de IdP.
- (Optioneel) Als uw IdP het versleutelen van asserties ondersteunt, kunt u een certificaat genereren en delen met de IdP om versleuteling aan te zetten. Elk SAML SSO-profiel kan maximaal 2 SP-certificaten hebben.
- Klik op het gedeelte SP-gegevens om de bewerkingsmodus te openen.
- Klik onder SP-certificaat op Certificaat genereren. (Het certificaat wordt weergegeven nadat u het heeft opgeslagen.)
- Klik op Opslaan. De naam, de vervaldatum en de inhoud van het certificaat worden weergegeven.
- Gebruik de knoppen boven een certificaat om de inhoud van het certificaat te kopiëren of het certificaat als bestand te downloaden. Daarna deelt u het certificaat met uw IdP.
- (Optioneel) Als u een certificaat wilt roteren, gaat u terug naar SP-gegevens en klikt u op Nog een certificaat genereren. Deel het nieuwe certificaat vervolgens met uw IdP. Zodra u zeker weet dat uw IdP het nieuwe certificaat gebruikt, kunt u het oorspronkelijke certificaat verwijderen.
Bepalen welke gebruikers SSO moeten gebruiken
Zet SSO aan voor een OE of groep door een SSO-profiel en de bijbehorende IdP toe te wijzen. Of zet SSO uit door 'Geen' toe te wijzen aan het SSO-profiel. U kunt ook een gemengd SSO-beleid toepassen binnen een OE of groep. U kunt bijvoorbeeld SSO aanzetten voor de hele OE maar uitzetten voor een sub-OE.
- Klik op SSO-profieltoewijzingen beheren.
- Als dit de eerste keer is dat u het SSO-profiel toewijst, klikt u op Aan de slag. Klik anders op Beheren.
- Selecteer links de organisatie-eenheid of groep waarvoor u het SSO-profiel toewijst.
- Als de SSO-profieltoewijzing voor een OE of groep verschilt van de domeinbrede profieltoewijzing, ziet u een overschrijfwaarschuwing als u die OE of groep selecteert.
- U kunt het SSO-profiel niet per gebruiker toewijzen. In de weergave Gebruikers kunt u de instelling voor een specifieke gebruiker controleren.
- Kies een SSO-profieltoewijzing voor de geselecteerde OE of groep:
- Als u de OE of groep wilt uitsluiten van SSO, kiest u Geen. Gebruikers in de OE of groep loggen rechtstreeks in bij Google.
- Als u een andere IdP wilt toewijzen aan de OE of groep, kiest u Een ander SSO-profiel en selecteert u het SSO-profiel in het dropdownmenu.
- (Alleen SAML SSO-profielen) Nadat u een SAML-profiel heeft geselecteerd, kiest u een inlogoptie voor gebruikers die rechtstreeks naar een Google-service gaan zonder eerst in te loggen bij de IdP van derden van het SSO-profiel. U kunt gebruikers om hun Google-gebruikersnaam vragen en ze vervolgens omleiden naar de IdP. U kunt ook vereisen dat gebruikers hun Google-gebruikersnaam en -wachtwoord invoeren.
Opmerking: Als u vereist dat gebruikers hun Google-gebruikersnaam en -wachtwoord opgeven, wordt de instelling URL voor wachtwoord wijzigen van dit SAML SSO-profiel (beschikbaar via SSO-profiel > IdP-gegevens) genegeerd. Zo kunnen gebruikers hun Google-wachtwoord wijzigen als dat nodig is.
- (Alleen Microsoft OIDC SSO-profiel) Vul het wachtwoord van uw Microsoft-account in en klik op Inloggen om uw Microsoft SSO-configuratie te controleren.
Als u beheerder van een Azure AD-organisatie bent, kunt u toestemming accepteren namens de organisatie. Dit betekent dat eindgebruikers niet wordt gevraagd OAuth-toestemming te geven.
- Klik op Opslaan.
- Wijs indien nodig SSO-profielen toe aan andere OE's of groepen.
Nadat u de kaart SSO-profieltoewijzingen beheren heeft gesloten, ziet u de geüpdatete toewijzingen voor OE's en groepen in het gedeelte SSO-profieltoewijzingen beheren.
Een toewijzing verwijderen uit de lijst met SSO-profieltoewijzingen
- Klik op de naam van een groep of organisatie-eenheid om de instellingen voor profieltoewijzing te openen.
- Vervang de bestaande toewijzingsinstelling door de instelling voor de bovenliggende organisatie-eenheid:
- Klik voor toewijzingen van organisatie-eenheden op Overnemen.
- Klik voor toewijzingen van groepen op Niet ingesteld.
- Stel voor toewijzingen van hoofd-OE's de toewijzing in op Geen (of Het SSO-profiel van derden van de organisatie) als u het SSO-profiel van derden wilt gebruiken voor uw organisatie.
Domeinspecifieke service-URL's beheren
Met de instelling Domeinspecifieke service-URL's bepaalt u wat er gebeurt als gebruikers inloggen met service-URL's als https://mail.google.com/a/example.com. Er zijn 2 opties:
- Gebruikers omleiden naar de IdP van derden. Kies deze optie om deze gebruikers altijd door te sturen naar de IdP van derden die u selecteert in het dropdownmenu voor het SSO-profiel. Dit kan het SSO-profiel van uw organisatie zijn of een ander profiel van derden (als u er een heeft toegevoegd).
Belangrijk: Als u organisatie-eenheden of groepen heeft die geen SSO gebruiken, kiest u deze instelling niet. Uw gebruikers die geen SSO gebruiken, worden automatisch doorgestuurd naar de IdP en kunnen niet inloggen.
- Vereisen dat gebruikers eerst hun gebruikersnaam invullen op de inlogpagina van Google. Als u deze optie kiest, worden gebruikers die domeinspecifieke URL's invullen eerst naar de inlogpagina van Google gestuurd. Als ze SSO-gebruikers zijn, worden ze omgeleid naar de inlogpagina van de IdP.