Mit der Einmalanmeldung (SSO) können sich Nutzer in vielen Anwendungen gleichzeitig anmelden, ohne für jede einzeln einen Nutzernamen und ein Passwort eingeben zu müssen. Security Assertion Markup Language (SAML) ist ein XML-Standard, über den sichere Webdomains Daten zur Nutzerauthentifizierung und -autorisierung austauschen können.
Die Rollen von Dienstanbietern und Identitätsanbietern
Google bietet einen SAML-basierten SSO-Dienst, mit dem Partnerunternehmen gehostete Nutzer autorisieren und authentifizieren können, die auf sichere Inhalte zugreifen möchten. Google ist ein Online-Dienstanbieter und stellt Dienste wie Google Kalender und Gmail bereit. Die Google-Partner sind Online-Identitätsanbieter und kontrollieren Nutzernamen, Passwörter und weitere Informationen, die zur Identifizierung, Authentifizierung und Autorisierung von Nutzern für Webanwendungen dienen, die von Google gehostet werden.
Viele Open-Source- und kommerzielle Identitätsanbieter können Sie bei der Implementierung der SSO mit Google unterstützen.
Desktop-Clients erfordern weiterhin Anmeldungen
Wichtig: Die SSO-Lösung gilt nur für Webanwendungen. Sie können Ihren Nutzern ermöglichen, über Desktop-Clients auf Google-Dienste zuzugreifen. Wenn Sie beispielsweise einen POP-Zugriff auf Gmail über Outlook gewähren möchten, müssen Sie Ihren Nutzern verwendbare Passwörter zur Verfügung stellen und diese Passwörter über die Directory API des Admin SDK mit Ihrer internen Nutzerdatenbank synchronisieren. Bei der Synchronisierung Ihrer Passwörter sollten Sie wissen, wie Nutzer über die Anmelde-URL des Admin-Steuerfelds authentifiziert werden.
Grundlegendes zur von Partnern betriebenen, SAML-basierten SSO
Abbildung 1 zeigt den Prozess, bei dem sich ein Nutzer über einen SAML-basierten SSO-Dienst, der von einem Partner betrieben wird, in einer Google-Anwendung wie Gmail anmeldet. Die nummerierte Liste unter dem Bild enthält Details zu den einzelnen Schritten.
Wichtig: Bevor dieser Vorgang stattfindet, muss der Partner Google die URL für seinen Dienst zur Einmalanmeldung sowie den öffentlichen Schlüssel zur Verfügung stellen, den Google zur Überprüfung der SAML-Antworten verwendet.
Abbildung 1 : Hier sehen Sie, wie die Anmeldung in Google mit einem SAML-basierten SSO-Dienst erfolgt.
Dieses Bild stellt die folgenden Schritte dar:
- Der Nutzer versucht, eine gehostete Google-Anwendung wie Gmail, Google Kalender oder einen anderen Google-Dienst aufzurufen.
- Google generiert eine SAML-Authentifizierungsanfrage, die codiert und in die URL für den SSO-Dienst des Partners eingebettet ist. Auch der RelayState-Parameter, der die verschlüsselte URL der Google-Anwendung enthält, die der Nutzer aufrufen möchte, ist in die SSO-URL eingebettet. Dieser RelayState-Parameter ist eine intransparente Kennung, die ohne Änderung oder Prüfung zurückgegeben wird.
- Google sendet eine Weiterleitung an den Browser des Nutzers. Die Weiterleitungs-URL enthält die codierte SAML-Authentifizierungsanfrage, die an den SSO-Dienst des Partners gesendet wird.
- Der Browser leitet den Nutzer zur SSO-URL weiter.
- Der Partner decodiert die SAML-Anfrage und extrahiert die URL für den Google-ACS (Assertion Consumer Service) und die Ziel-URL des Nutzers (RelayState-Parameter).
- Der Partner authentifiziert den Nutzer anschließend. Partner haben diese Möglichkeiten zur Authentifizierung: durch die Frage nach gültigen Anmeldedaten oder anhand gültiger Cookies für die Sitzung.
- Der Partner erstellt eine SAML-Antwort, die den Nutzernamen des authentifizierten Nutzers enthält. Gemäß der SAML v2.0-Spezifikation ist diese Antwort mit dem öffentlichen und privaten DSA-/RSA-Schlüssel des Partners digital signiert.
- Der Partner codiert die SAML-Antwort und den RelayState-Parameter und gibt diese Informationen an den Browser des Nutzers zurück. Der Partner stellt einen Mechanismus zur Verfügung, mit dem der Browser diese Informationen an den Google-ACS weiterleiten kann. Der Partner kann beispielsweise die SAML-Antwort und die Ziel-URL in ein Formular einbetten und eine Schaltfläche bereitstellen, über die der Nutzer das Formular an Google senden kann. Der Partner kann auch JavaScript auf der Seite verwenden, das das Formular an Google sendet.
- Der Browser sendet eine Antwort an die ACS-URL. Der ACS von Google verifiziert die SAML-Antwort anhand des öffentlichen Schlüssels des Partners. Wenn die Antwort erfolgreich verifiziert wurde, leitet ACS den Nutzer an die Ziel-URL weiter.
- Der Nutzer ist in der Google App angemeldet.