U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
Met Security Assertion Markup Language (SAML) kunnen uw gebruikers inloggen bij zakelijke cloud-apps met hun gegevens voor Google Cloud.
SSO via SAML instellen voor Zimbra
Stap 1: Google instellen als SAML-identiteitsprovider (IdP)-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu AppsWeb- en mobiele apps.
-
Klik op App toevoegenApps zoeken.
- Vul Zimbra in het zoekveld in.
- Plaats in de zoekresultaten de muisaanwijzer op de SAML-app van Zimbra en klik op Selecteren.
- Doe het volgende op de pagina Google-identiteitsprovidergegevens:
- Kopieer de SSO-URL en Entiteits-ID.
- Download het certificaat.
- Klik op Doorgaan.
- Bewerk op de pagina Serviceprovidergegevens de ACS-URL en Entiteits-ID. Vervang {your-hostname} door de URL waarmee u uw Zimbra-instantie opent.
- Klik op Doorgaan.
- (Optioneel) Ga als volgt te werk om Google-directorykenmerken toe te wijzen aan de overeenkomstige app-kenmerken in het venster Kenmerktoewijzing:
- Klik op Toewijzing toevoegen.
- Klik op Veld selecterenselecteer een Google-directorykenmerk.
- Voer bij App-kenmerken het bijbehorende app-kenmerk in.
- (Optioneel) Groepsnamen invoeren die relevant zijn voor deze app:
- Klik bij Groepslidmaatschap (optioneel) op Zoeken naar een groep. Voer een of meer letters van de groepsnaam in en selecteer de groepsnaam.
- Voeg naar wens extra groepen toe (maximaal 75 groepen).
- Vul bij App-kenmerk de naam in van het overeenkomstige groepskenmerk van de serviceprovider.
Ongeacht de hoeveelheid groepsnamen die u invult, bevat de SAML-reactie alleen groepen waarvan een gebruiker lid is (direct of indirect). Ga voor meer informatie naar Over het toewijzen van groepslidmaatschappen.
- Klik op de pagina Kenmerktoewijzing op Voltooien.
- Log in bij de Zimbra-serverconsole met rootrechten en voer de volgende opdrachten uit:
- mkdir /opt/zimbra/lib/ext/saml
- cp /opt/zimbra/extensions-network-extra/saml/samlextn.jar /opt/zimbra/lib/ext/saml/
- Log uit en log weer in bij de Zimbra-server als 'zimbra-gebruiker'.
- Update het certificaat:
zmprov md {domeinnaam} zimbraMyoneloginSamlSigningCert "{certificaat}"
Vervang {domain-name} door uw Google-domeinnaam en {certificate} door de inhoud van het certificaat dat u in stap 1 heeft gedownload.
- (Optioneel) Update de inlog- en uitlog-URL's:
- zmprov md {domain-name} zimbraWebClientLoginURL {SSO-URL}
- zmprov md {domeinnaam} zimbraWebClientLogoutURL {SSO-URL}
Vervang {domain-name} door uw Google-domeinnaam en {SSO-URL} door de SSO-URL die u in stap 1 heeft gedownload.
- Voer de volgende opdrachten uit:
- zmprov mcf zimbraCsrfRefererCheckEnabled FALSE
- service zimbra restart
- (Optioneel) Voer de volgende opdrachten uit om de instellingen te controleren. Vervang {domain-name} door uw Google-domeinnaam:
- zmprov gd {domain-name} zimbraMyoneloginSamlSigningCert
- zmprov gd {domain-name} zimbraWebClientLoginURL
- zmprov gd {domain-name} zimbraWebClientLogoutURL
- zmprov gcf zimbraCsrfRefererCheckEnabled
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu AppsWeb- en mobiele apps.
- Selecteer Zimbra.
-
Klik op Gebruikerstoegang.
-
Als u een service wilt aan- of uitzetten voor iedereen in uw organisatie, klikt u op Aan voor iedereen of Uit voor iedereen. Klik dan op Opslaan.
-
(Optioneel) Zo zet u service aan of uit voor een organisatie-eenheid:
- Selecteer links de organisatie-eenheid.
- Selecteer Aan of Uit om de servicestatus te wijzigen.
- Kies een van deze opties:
- Als de servicestatus is ingesteld op Overgenomen en u de geüpdatete instelling wilt behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd, klikt u op Overschrijven.
- Als de servicestatus is ingesteld op Overschrijven, klikt u op Overnemen om de instelling hetzelfde te maken als de instelling voor de bovenliggende organisatie-eenheid, of op Opslaan om de nieuwe instelling te behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd.
Opmerking: Bekijk meer informatie over de organisatiestructuur.
-
Als u een service wilt inschakelen voor een groep gebruikers binnen een organisatie-eenheid of in verschillende organisatie-eenheden, selecteert u een toegangsgroep. Zie Services inschakelen voor toegangsgroepen voor meer informatie.
- Controleer of de e-mail-ID's van uw Zimbra-gebruikersaccounts overeenkomen met die in uw Google-domein.
Zimbra ondersteunt zowel door de identiteitsprovider (IdP) als de serviceprovider (SP) gestarte SSO. Volg deze stappen om SSO te verifiëren in een van beide modi:
Door IdP gestart
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu AppsWeb- en mobiele apps.
- Selecteer Zimbra.
- Klik linksboven op SAML-login testen.
Als het goed is, wordt Zimbra geopend in een nieuw tabblad. Als dit niet het geval is, gebruikt u de informatie in de SAML-foutmeldingen die worden weergegeven om de IdP- en SP-instellingen te updaten en test u de SAML-login opnieuw.
Door SP gestart
- Sluit alle browservensters.
- Ga naar uw Zimbra-instantie. Als het goed is, wordt u doorgestuurd naar de inlogpagina van Google.
- Voer uw gebruikersnaam en wachtwoord in.
Nadat uw gegevens zijn geverifieerd, wordt u teruggestuurd naar Zimbra.
Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.