Over SSO

Met Single Sign-On (SSO) kunnen gebruikers zich met één set inloggegevens aanmelden bij meerdere cloudapplicaties van de onderneming. Workspace (en Google Cloud Platform) ondersteunen SSO van externe identiteitsproviders (IdP's).

Workspace ondersteunt zowel SAML- als OIDC-SSO-protocollen.

Om SSO te gebruiken, configureert u SSO-profielen en wijst u deze vervolgens toe aan gebruikersgroepen of organisatie-eenheden. Dit biedt ondersteuning voor meerdere identiteitsproviders (IdP's) en maakt het mogelijk om SSO-configuraties te testen. Dit is het aanbevolen systeem voor SSO. Ons oudere Legacy SSO-profiel voor organisaties is ook beschikbaar (alleen voor SAML).

SSO is ook beschikbaar op Chrome-apparaten. Ga voor meer informatie naar SAML single sign-on configureren voor Chrome-apparaten .

Aanvullende verificatie na SSO

Wanneer SSO is ingesteld, hebben gebruikers die zich aanmelden bij hun externe identiteitsprovider toegang tot Google-apps zonder aanvullende verificatie, met de volgende uitzonderingen:

  • Zelfs als ze al zijn ingelogd bij hun identiteitsprovider, vraagt ​​Google hen soms, als extra beveiligingsmaatregel, om hun identiteit te verifiëren. Ga voor meer informatie (en details over hoe u deze verificatie indien nodig kunt uitschakelen) naar 'SAML-beveiligd inloggen begrijpen'.
  • Je kunt extra tweestapsverificatie instellen voor gebruikers die toegang hebben tot Google-services. Tweestapsverificatie wordt normaal gesproken overgeslagen wanneer SSO is ingeschakeld. Ga naar Uitdagingen inschakelen met SSO voor meer informatie.

Inzicht in partnergestuurde SAML-gebaseerde SSO

Figuur 1 illustreert het proces waarmee een gebruiker zich aanmeldt bij een Google-applicatie, zoals Gmail, via een SAML-gebaseerde SSO-service die door een partner wordt beheerd. De genummerde lijst die volgt op de afbeelding beschrijft elke stap in detail.

Belangrijk: Voordat dit proces plaatsvindt, moet de partner Google de URL van zijn SSO-service en de openbare sleutel verstrekken die Google moet gebruiken om SAML-reacties te verifiëren.

Afbeelding 1: Deze afbeelding laat het inlogproces bij Google zien met behulp van een SAML-gebaseerde SSO-service.

Deze afbeelding illustreert de volgende stappen.

  1. De gebruiker probeert toegang te krijgen tot een door Google gehoste applicatie, zoals Gmail, Google Agenda of een andere Google-service.
  2. Google genereert een SAML-authenticatieverzoek, dat wordt gecodeerd en ingebed in de URL voor de SSO-service van de partner. De parameter RelayState, die de gecodeerde URL bevat van de Google-applicatie die de gebruiker probeert te bereiken, wordt ook in de SSO-URL opgenomen. Deze RelayState-parameter is een ondoorzichtige identificator die zonder enige wijziging of inspectie wordt teruggestuurd.
  3. Google stuurt een redirect naar de browser van de gebruiker. De redirect-URL bevat het gecodeerde SAML-authenticatieverzoek dat naar de SSO-service van de partner moet worden verzonden.
  4. De browser wordt doorgestuurd naar de SSO-URL.
  5. De partner decodeert het SAML-verzoek en extraheert de URL voor zowel Google's ACS (Assertion Consumer Service) als de bestemmings-URL van de gebruiker (RelayState-parameter).
  6. De partner verifieert vervolgens de gebruiker. Partners kunnen gebruikers verifiëren door te vragen om geldige inloggegevens of door te controleren op geldige sessiecookies.
  7. De partner genereert een SAML-antwoord met de gebruikersnaam van de geauthenticeerde gebruiker. Volgens de SAML v2.0-specificatie wordt dit antwoord digitaal ondertekend met de openbare en privé-DSA/RSA-sleutels van de partner.
  8. De partner codeert het SAML-antwoord en de parameter RelayState en stuurt die informatie terug naar de browser van de gebruiker. De partner biedt een mechanisme waarmee de browser die informatie kan doorsturen naar Google's ACS. De partner zou bijvoorbeeld het SAML-antwoord en de bestemmings-URL in een formulier kunnen opnemen en een knop kunnen toevoegen waarop de gebruiker kan klikken om het formulier naar Google te verzenden. De partner zou ook JavaScript kunnen toevoegen aan de pagina die het formulier naar Google verzendt.
  9. De browser stuurt een reactie naar de ACS-URL. Google's ACS verifieert de SAML-reactie met behulp van de openbare sleutel van de partner. Als de reactie succesvol is geverifieerd, stuurt ACS de gebruiker door naar de bestemmings-URL.
  10. De gebruiker is ingelogd bij de Google-app.

Gebruikersaccounts synchroniseren tussen uw identiteitsprovider en Google.

Om het beheer van de gebruikerslevenscyclus te vereenvoudigen, synchroniseren de meeste organisaties die SSO gebruiken ook hun gebruikersdirectory van de identiteitsprovider (IdP) naar Google. Met synchronisatie worden nieuwe (of verwijderde) gebruikers aan de IdP-kant automatisch toegevoegd of verwijderd als gebruikers in de werkruimte. Google Directory Sync ondersteunt Active Directory en Entra ID. De meeste IdP's ondersteunen synchronisatie met Google. Raadpleeg de documentatie van uw IdP voor installatie-instructies.

SSO en beveiligde LDAP

Beveiligde LDAP vereist een Google-wachtwoord en is niet compatibel met SSO.