Om SSO

När SSO är konfigurerat kan användare som loggar in på sin tredjeparts-IdP komma åt Google-appar utan ytterligare verifiering, med följande undantag:

• Även om de redan har loggat in på sin IdP, kommer Google ibland att be dem att verifiera sin identitet som en extra säkerhetsåtgärd. För mer information (och detaljer om hur du inaktiverar denna verifiering om det behövs), gå till Förstå säker SAML-inloggning.
• Du kan konfigurera ytterligare tvåstegsverifiering för användare som använder Googles tjänster. Tvåstegsverifiering kringgås normalt när SSO är aktiverat. För mer information, gå till Aktivera utmaningar med SSO.

Figur 1 illustrerar processen genom vilken en användare loggar in på en Google-applikation, till exempel Gmail, via en SAML-baserad SSO-tjänst som drivs av en partner. Den numrerade listan som följer bilden beskriver varje steg.

Viktigt: Innan denna process sker måste partnern förse Google med URL:en för sin SSO-tjänst samt den offentliga nyckel som Google ska använda för att verifiera SAML-svar.

Figur 1: Detta visar processen för att logga in på Google med en SAML-baserad SSO-tjänst.

Den här bilden illustrerar följande steg.

1. Användaren försöker nå en värdbaserad Google-applikation, till exempel Gmail, Google Kalender eller en annan Google-tjänst.
2. Google genererar en SAML-autentiseringsbegäran, som kodas och bäddas in i URL:en för partnerns SSO-tjänst. Parametern RelayState som innehåller den kodade URL:en för Google-applikationen som användaren försöker nå är också inbäddad i SSO-URL:en. Denna RelayState-parameter är en ogenomskinlig identifierare som skickas tillbaka utan någon modifiering eller inspektion.
3. Google skickar en omdirigering till användarens webbläsare. Omdirigerings-URL:en innehåller den kodade SAML-autentiseringsbegäran som ska skickas till partnerns SSO-tjänst.
4. Webbläsaren omdirigerar till SSO-URL:en.
5. Partnern avkodar SAML-begäran och extraherar URL:en för både Googles ACS (Assertion Consumer Service) och användarens destinationsadress (RelayState-parameter).
6. Partnern autentiserar sedan användaren. Partners kan autentisera användare genom att antingen be om giltiga inloggningsuppgifter eller genom att kontrollera om det finns giltiga sessionscookies.
7. Partnern genererar ett SAML-svar som innehåller den autentiserade användarens användarnamn. I enlighet med SAML v2.0-specifikationen signeras detta svar digitalt med partnerns publika och privata DSA/RSA-nycklar.
8. Partnern kodar SAML-svaret och RelayState-parametern och returnerar den informationen till användarens webbläsare. Partnern tillhandahåller en mekanism så att webbläsaren kan vidarebefordra den informationen till Googles ACS. Partnern kan till exempel bädda in SAML-svaret och destinations-URL:en i ett formulär och tillhandahålla en knapp som användaren kan klicka på för att skicka formuläret till Google. Partnern kan också inkludera JavaScript på sidan som skickar formuläret till Google.
9. Webbläsaren skickar ett svar till ACS-URL:en. Googles ACS verifierar SAML-svaret med hjälp av partnerns offentliga nyckel. Om svaret verifieras korrekt omdirigerar ACS användaren till destinations-URL:en.
10. Användaren är inloggad i Google-appen.