Migreren van de oude SSO-methode naar SSO-profielen.

Google Workspace biedt twee manieren om Single Sign-On (SSO) in te stellen met Google als vertrouwende partij voor uw identiteitsprovider:

  • Legacy SSO-profiel — Hiermee kunt u slechts één identiteitsprovider (IdP) voor uw organisatie configureren.
  • SSO-profielen — De nieuwere, aanbevolen manier om SSO in te stellen. Hiermee kunt u verschillende SSO-instellingen toepassen op verschillende gebruikers binnen uw organisatie, het ondersteunt zowel SAML als OIDC, heeft modernere API's en zal de focus van Google zijn voor nieuwe functies.

We adviseren al onze klanten om over te stappen op SSO-profielen om van deze voordelen te profiteren. SSO-profielen kunnen naast het SSO-profiel van uw organisatie bestaan, zodat u nieuwe SSO-profielen kunt testen voordat u uw hele organisatie overzet.

Overzicht van het migratieproces

  1. Maak in de beheerdersconsole een SSO-profiel aan voor uw identiteitsprovider en registreer het nieuwe profiel bij uw identiteitsprovider.
  2. Wijs testgebruikers toe om het nieuwe profiel te gebruiken en te controleren of het werkt.
  3. Wijs uw hoogste organisatorische eenheid toe aan het nieuwe profiel.
  4. Werk de domeinspecifieke URL's bij om het nieuwe profiel te gebruiken.
  5. Opruimen: meld je oude serviceprovider af en controleer of automatische gebruikersprovisionering nog steeds werkt.

Stap 1: Maak een SSO-profiel aan.

  1. Volg deze stappen om een ​​nieuw SAML SSO-profiel aan te maken. Uw nieuwe profiel moet dezelfde identiteitsprovider (IdP) gebruiken als uw bestaande SSO-profiel voor uw organisatie.

  2. Registreer het nieuwe SSO-profiel bij uw IdP als een nieuwe serviceprovider.

    Uw IdP zal het nieuwe profiel als een aparte serviceprovider beschouwen (deze kan "apps" of "relying parties" worden genoemd). De manier waarop u de nieuwe serviceprovider registreert, verschilt per IdP, maar vereist doorgaans het configureren van de entiteits-ID en de Assertion Consumer Service (ACS)-URL voor het nieuwe profiel.

Opmerkingen voor API-gebruikers

  • Als u het SSO-profiel voor uw organisatie gebruikt, kunt u alleen de Google Workspace Admin Settings API gebruiken om SSO-instellingen te beheren.
  • De Cloud Identity API kan SSO-profielen beheren als inboundSamlSsoProfiles en deze toewijzen aan groepen of organisatie-eenheden met behulp van inboundSsoAssignments.

Verschillen tussen SSO-profielen en het oude SSO-profiel

Superbeheerder beweringen

SSO-profielen accepteren geen beweringen over superbeheerders. Wanneer u het SSO-profiel voor uw organisatie gebruikt, worden beweringen wel geaccepteerd, maar worden superbeheerders niet doorgestuurd naar de identiteitsprovider. De volgende beweringen zouden bijvoorbeeld worden geaccepteerd:

  • De gebruiker volgt een link naar een app-launcher van uw IdP (door IdP geïnitieerde SAML).
  • De gebruiker navigeert naar een domeinspecifieke service-URL (bijvoorbeeld https://drive.google.com/a/uw_domein.com ).
  • De gebruiker meldt zich aan bij een Chromebook die is geconfigureerd om rechtstreeks naar uw identiteitsprovider te navigeren. Meer informatie .

Instellingen voor verificatie na SSO

Instellingen die de verificatie na SSO regelen (zoals inloguitdagingen of tweestapsverificatie) verschillen voor SSO-profielen van die voor het SSO-profiel van uw organisatie. Om verwarring te voorkomen, raden we aan beide instellingen op dezelfde waarde in te stellen. Lees meer .

Stap 2: Testgebruikers aan het profiel toewijzen

Het is verstandig om uw nieuwe SSO-profiel eerst te testen op gebruikers in één groep of organisatie-eenheid voordat u alle gebruikers overzet. Gebruik een bestaande groep of organisatie-eenheid, of maak er indien nodig een nieuwe aan.

Als u ChromeOS-apparaten beheert, raden we testen op organisatieniveau aan. U kunt ChromeOS-apparaten namelijk toewijzen aan organisatie-eenheden, maar niet aan groepen.

  1. (Optioneel) Maak een nieuwe organisatie-eenheid of configuratiegroep aan en wijs testgebruikers eraan toe.
  2. Volg deze stappen om gebruikers toe te wijzen aan het nieuwe SSO-profiel.

Opmerkingen voor organisaties met beheerde ChromeOS-apparaten

Als je SSO voor ChromeOS-apparaten zo hebt geconfigureerd dat gebruikers rechtstreeks naar je identiteitsprovider navigeren , is het raadzaam om het SSO-gedrag voor deze gebruikers afzonderlijk te testen.

Houd er rekening mee dat voor een succesvolle aanmelding het SSO-profiel dat is toegewezen aan de organisatie-eenheid van het apparaat moet overeenkomen met het SSO-profiel dat is toegewezen aan de organisatie-eenheid van de gebruiker van het apparaat.

Als u bijvoorbeeld momenteel een organisatie-eenheid 'Verkoop' hebt voor medewerkers die beheerde Chromebooks gebruiken en rechtstreeks inloggen bij uw identiteitsprovider, kunt u een organisatie-eenheid aanmaken zoals 'sales_sso_testing', deze toewijzen aan het nieuwe profiel en enkele gebruikers en de Chromebooks die ze gebruiken naar die organisatie-eenheid verplaatsen.

Stap 3: Wijs uw hoogste organisatie-eenheid toe en werk de service-URL's bij.

Nadat je het nieuwe SSO-profiel succesvol hebt getest op een testgroep of organisatie-eenheid, kun je andere gebruikers overzetten.

  1. Ga naar Beveiliging en dan SSO met IDP's van derden en dan Beheer SSO-profieltoewijzingen .
  2. Klik op Beheren .
  3. Selecteer uw hoogste organisatorische eenheid en wijs deze toe aan het nieuwe SSO-profiel.
  4. (Optioneel) Als er andere organisatie-eenheden of -groepen zijn toegewezen aan het SSO-profiel voor uw organisatie, wijs deze dan toe aan het nieuwe SSO-profiel.

Stap 4: Werk de domeinspecifieke URL's bij

Als uw organisatie domeinspecifieke URL's gebruikt (bijvoorbeeld https://mail.google.com/a/uw_domein.com ), moet u die instelling bijwerken om het nieuwe SSO-profiel te gebruiken:

  1. Ga naar Beveiliging en dan SSO met IDP's van derden en dan Domeinspecifieke service-URL's .
  2. Selecteer onder 'Gebruikers automatisch doorverwijzen naar de externe IdP in het volgende SSO-profiel' het nieuwe SSO-profiel in de vervolgkeuzelijst.

Stap 5: Opruimen

  1. Bij beveiliging en dan SSO met IDP's van derden en dan Voor SSO-profielen klikt u op het Legacy SSO-profiel om de profielinstellingen te openen.
  2. Schakel 'Verouderd SSO-profiel inschakelen' uit om het verouderde profiel uit te schakelen.
  3. Controleer of de automatische gebruikersprovisionering die is ingesteld met uw identiteitsprovider correct werkt met uw nieuwe SSO-profiel.
  4. Verwijder de oude serviceprovider uit uw IdP.