Migration von Legacy-SSO zu SSO-Profilen

Google Workspace bietet zwei Möglichkeiten, die Einmalanmeldung (SSO) mit Google als vertrauender Partei für Ihren Identitätsanbieter einzurichten:

  • Legacy-SSO-Profil : Hiermit können Sie nur einen IdP für Ihre Organisation konfigurieren.
  • SSO-Profile : Die neuere, empfohlene Methode zum Einrichten der SSO. Sie können verschiedene SSO-Einstellungen auf verschiedene Nutzer in Ihrer Organisation anwenden, sowohl SAML als auch OIDC werden unterstützt, es gibt modernere APIs und Google wird sich bei neuen Funktionen darauf konzentrieren.

Wir empfehlen allen Kunden, zu SSO-Profilen zu migrieren, um diese Vorteile zu nutzen. SSO-Profile können parallel zum SSO-Profil für Ihre Organisation verwendet werden. So können Sie neue SSO-Profile testen, bevor Sie die gesamte Organisation umstellen.

Überblick über den Migrationsprozess

  1. Erstellen Sie in der Admin-Konsole ein SSO-Profil für Ihren IdP und registrieren Sie das neue Profil bei Ihrem IdP.
  2. Weisen Sie Testnutzer zu, die das neue Profil verwenden sollen, um zu bestätigen, dass es funktioniert.
  3. Weisen Sie das neue Profil Ihrer obersten Organisationseinheit zu.
  4. Aktualisieren Sie domainspezifische URLs, damit sie das neue Profil verwenden.
  5. Bereinigen: Melden Sie Ihren alten Dienstanbieter ab und prüfen Sie, ob die automatische Nutzerverwaltung weiterhin funktioniert.

Schritt 1: SSO-Profil erstellen

  1. Folgen Sie dieser Anleitung, um ein neues SAML-SSO-Profil zu erstellen. Für Ihr neues Profil sollte derselbe IdP verwendet werden wie für das vorhandene SSO-Profil für Ihre Organisation.

  2. Registrieren Sie das neue SSO-Profil bei Ihrem IdP als neuen Dienstanbieter.

    Ihr IdP sieht das neue Profil als separaten Dienstanbieter (möglicherweise werden diese als „Apps“ oder „Vertrauende Parteien“ bezeichnet). Wie Sie den neuen Dienstanbieter registrieren, hängt von Ihrem IdP ab. In der Regel müssen Sie jedoch die Entitäts-ID und die ACS-URL (Assertion Consumer Service) für das neue Profil konfigurieren.

Hinweise für API-Nutzer

  • Wenn Sie das SSO-Profil für Ihre Organisation verwenden, können Sie nur die Google Workspace Admin Settings API verwenden, um SSO-Einstellungen zu verwalten.
  • Mit der Cloud Identity API können SSO-Profile als inboundSamlSsoProfiles verwaltet und Gruppen oder Organisationseinheiten mithilfe von inboundSsoAssignments zugewiesen werden.

Unterschiede zwischen SSO-Profilen und dem Legacy-SSO-Profil

Assertionen für Super Admins

SSO-Profile akzeptieren keine Assertionen zu Super Admins. Wenn Sie das SSO-Profil für Ihre Organisation verwenden, werden Assertionen akzeptiert, Super Admins werden jedoch nicht zum IdP weitergeleitet. Beispielsweise werden die folgenden Assertionen akzeptiert:

  • Der Nutzer folgt einem App-Launcher-Link von Ihrem IdP (vom IdP initiierte SAML).
  • Der Nutzer ruft eine domainspezifische Dienst-URL auf (z. B. https://drive.google.com/a/Ihre_Domain.de).
  • Der Nutzer meldet sich in einem Chromebook an, das so konfiguriert ist, dass es direkt zu Ihrem IdP weiterleitet. Weitere Informationen.

Einstellungen für die Identitätsbestätigung nach der Einmalanmeldung

Die Einstellungen für die Identitätsbestätigung nach der Einmalanmeldung (z. B. Anmeldeherausforderungen oder die Bestätigung in zwei Schritten) unterscheiden sich für SSO-Profile und das SSO-Profil für Ihre Organisation. Um Verwirrung zu vermeiden, empfehlen wir, für beide Einstellungen denselben Wert festzulegen. Weitere Informationen

Schritt 2: Testnutzer dem Profil zuweisen

Es empfiehlt sich, das neue SSO-Profil zuerst für Nutzer in einer einzelnen Gruppe oder Organisationseinheit zu testen, bevor Sie alle Nutzer umstellen. Verwenden Sie eine vorhandene Gruppe oder Organisationseinheit oder erstellen Sie bei Bedarf eine neue.

Wenn Sie verwaltete ChromeOS-Geräte haben, empfehlen wir Tests auf Organisationseinheitsebene, da Sie ChromeOS-Geräte Organisationseinheiten, aber nicht Gruppen zuweisen können.

  1. Optional: Erstellen Sie eine neue Organisationseinheit oder Konfigurationsgruppe und weisen Sie ihr Testnutzer zu.
  2. Folgen Sie dieser Anleitung, um Nutzer dem neuen SSO-Profil zuzuweisen.

Hinweise für Organisationen mit verwalteten ChromeOS-Geräten

Wenn Sie die SSO für ChromeOS-Geräte so konfiguriert haben, dass Nutzer direkt zu Ihrem IdP weitergeleitet werden, sollten Sie das SSO-Verhalten für diese Nutzer separat testen.

Damit die Anmeldung erfolgreich ist, muss das SSO-Profil, das der Organisationseinheit des Geräts zugewiesen ist, mit dem SSO-Profil übereinstimmen, das der Organisationseinheit des Gerätenutzers zugewiesen ist.

Wenn Sie beispielsweise derzeit eine Organisationseinheit „Vertrieb“ für Mitarbeiter haben, die verwaltete Chromebooks verwenden und sich direkt bei Ihrem Identitätsanbieter anmelden, erstellen Sie eine Organisationseinheit wie „sales_sso_testing“, weisen Sie ihr das neue Profil zu und verschieben Sie einige Nutzer und die von ihnen verwendeten Chromebooks in diese Organisationseinheit.

Schritt 3: Oberste Organisationseinheit zuweisen und Dienst-URLs aktualisieren

Nachdem Sie das neue SSO-Profil erfolgreich in einer Testgruppe oder -organisationseinheit getestet haben, können Sie andere Nutzer umstellen.

  1. Gehen Sie zu Sicherheit und dann SSO mit externen IdPs und dann SSO-Profilzuweisungen verwalten.
  2. Klicken Sie auf Verwalten.
  3. Wählen Sie Ihre oberste Organisationseinheit aus und weisen Sie sie dem neuen SSO-Profil zu.
  4. Optional: Wenn andere Organisationseinheiten oder Gruppen dem SSO-Profil für Ihre Organisation zugewiesen sind, weisen Sie sie dem neuen SSO-Profil zu.

Schritt 4: Domainspezifische URLs aktualisieren

Wenn Ihre Organisation domainspezifische URLs verwendet (z. B. https://mail.google.com/a/Ihre_Domain.de), aktualisieren Sie diese Einstellung, damit das neue SSO-Profil verwendet wird:

  1. Gehen Sie zu Sicherheit und dann SSO mit externen IdPs und dann Domainspezifische Dienst-URLs.
  2. Wählen Sie unter „Nutzer automatisch an den externen IdP im folgenden SSO-Profil weiterleiten“ das neue SSO-Profil aus der Drop-down-Liste aus.

Schritt 5: Bereinigung

  1. Klicken Sie unter Sicherheit und dann SSO mit externen IdPs und dann SSO-Profile auf Legacy-SSO-Profil, um die Profileinstellungen zu öffnen.
  2. Entfernen Sie das Häkchen bei Legacy-SSO-Profil aktivieren , um das Legacy-Profil zu deaktivieren.
  3. Prüfen Sie, ob die automatische Nutzerverwaltung, die mit Ihrem IdP eingerichtet wurde, mit Ihrem neuen SSO-Profil ordnungsgemäß funktioniert.
  4. Melden Sie den alten Dienstanbieter bei Ihrem IdP ab.