Migration von Legacy-SSO zu SSO-Profilen

Google Workspace bietet zwei Möglichkeiten, die Einmalanmeldung (SSO) mit Google als vertrauende Partei für Ihren Identitätsanbieter einzurichten:

  • Legacy-SSO-Profil: Damit können Sie nur einen IdP für Ihre Organisation konfigurieren.
  • SSO-Profile: Die neuere, empfohlene Methode zum Einrichten von SSO. Sie können verschiedene SSO-Einstellungen auf verschiedene Nutzer in Ihrer Organisation anwenden, sowohl SAML als auch OIDC werden unterstützt, es gibt modernere APIs und Google wird sich bei neuen Funktionen darauf konzentrieren.

Wir empfehlen allen Kunden, zu SSO-Profilen zu migrieren, um von diesen Vorteilen zu profitieren. SSO-Profile können parallel zum SSO-Profil für Ihre Organisation verwendet werden. So können Sie neue SSO-Profile testen, bevor Sie die gesamte Organisation umstellen.

Übersicht über den Migrationsprozess

  1. Erstellen Sie in der Admin-Konsole ein SSO-Profil für Ihren IdP und registrieren Sie das neue Profil bei Ihrem IdP.
  2. Weisen Sie Testnutzer zu, die das neue Profil verwenden sollen, um zu bestätigen, dass es funktioniert.
  3. Weisen Sie die oberste Organisationseinheit dem neuen Profil zu.
  4. Aktualisieren Sie domainspezifische URLs, damit das neue Profil verwendet wird.
  5. Bereinigen: Melden Sie Ihren alten Dienstanbieter ab und prüfen Sie, ob die automatische Nutzerverwaltung weiterhin funktioniert.

Schritt 1: SSO-Profil erstellen

  1. Folgen Sie dieser Anleitung, um ein neues SAML-SSO-Profil zu erstellen. Für Ihr neues Profil sollte derselbe IdP verwendet werden wie für das vorhandene SSO-Profil für Ihre Organisation.

  2. Registrieren Sie das neue SSO-Profil bei Ihrem IdP als neuen Dienstanbieter.

    Ihr IdP betrachtet das neue Profil als separaten Dienstanbieter (er bezeichnet diese möglicherweise als „Apps“ oder „Vertrauende Parteien“). Wie Sie den neuen Dienstanbieter registrieren, hängt von Ihrem IdP ab. In der Regel müssen Sie jedoch die Entitäts-ID und die ACS-URL (Assertion Consumer Service) für das neue Profil konfigurieren.

Hinweise für API-Nutzer

  • Wenn Sie das SSO-Profil für Ihre Organisation verwenden, können Sie die SSO-Einstellungen nur mit der Google Workspace Admin Settings API verwalten.
  • Mit der Cloud Identity API können SSO-Profile als „inboundSamlSsoProfiles“ verwaltet und Gruppen oder Organisationseinheiten mithilfe von „inboundSsoAssignments“ zugewiesen werden.

Unterschiede zwischen SSO-Profilen und dem Legacy-SSO-Profil

Super Admin-Bestätigungen

SSO-Profile akzeptieren keine Zusicherungen zu Super Admins. Wenn Sie das SSO-Profil für Ihre Organisation verwenden, werden Zusicherungen akzeptiert, Super Admins werden jedoch nicht zum IdP weitergeleitet. Die folgenden Behauptungen würden beispielsweise akzeptiert:

  • Der Nutzer folgt einem App-Launcher-Link von Ihrem IdP (vom IdP initiierte SAML).
  • Der Nutzer ruft eine domainspezifische Dienst-URL auf (z. B. https://drive.google.com/a/your_domain.com).
  • Der Nutzer meldet sich auf einem Chromebook an, das so konfiguriert ist, dass er direkt zu Ihrem IdP weitergeleitet wird. Weitere Informationen

Einstellungen für die Identitätsbestätigung nach der Einmalanmeldung

Die Einstellungen für die Identitätsbestätigung nach der Einmalanmeldung (SSO), z. B. Anmelde-Challenges oder die Bestätigung in zwei Schritten, sind für SSO-Profile anders als für das SSO-Profil für Ihre Organisation. Um Verwirrung zu vermeiden, empfehlen wir, für beide Einstellungen denselben Wert festzulegen. Weitere Informationen

Schritt 2: Testnutzer dem Profil zuweisen

Es empfiehlt sich, das neue SSO-Profil zuerst für Nutzer in einer einzelnen Gruppe oder Organisationseinheit zu testen, bevor Sie alle Nutzer umstellen. Verwenden Sie eine vorhandene Gruppe oder Organisationseinheit oder erstellen Sie bei Bedarf eine neue.

Wenn Sie verwaltete ChromeOS-Geräte haben, empfehlen wir Tests auf Organisationseinheitsebene, da Sie ChromeOS-Geräte Organisationseinheiten, aber nicht Gruppen zuweisen können.

  1. Optional: Erstellen Sie eine neue Organisationseinheit oder Konfigurationsgruppe und weisen Sie ihr Testnutzer zu.
  2. Folgen Sie dieser Anleitung, um Nutzern das neue SSO-Profil zuzuweisen.

Hinweise für Organisationen mit verwalteten ChromeOS-Geräten

Wenn Sie die SSO für ChromeOS-Geräte so konfiguriert haben, dass Nutzer direkt zu Ihrem Identitätsanbieter weitergeleitet werden, sollten Sie das SSO-Verhalten für diese Nutzer separat testen.

Damit die Anmeldung erfolgreich ist, muss das SSO-Profil, das der Organisationseinheit des Geräts zugewiesen ist, mit dem SSO-Profil übereinstimmen, das der Organisationseinheit des Gerätenutzers zugewiesen ist.

Wenn Sie beispielsweise derzeit eine Organisationseinheit „Vertrieb“ für Mitarbeiter haben, die verwaltete Chromebooks verwenden und sich direkt bei Ihrem IdP anmelden, erstellen Sie eine Organisationseinheit wie „sales_sso_testing“, weisen Sie ihr das neue Profil zu und verschieben Sie einige Nutzer und die von ihnen verwendeten Chromebooks in diese Organisationseinheit.

Schritt 3: Oberste Organisationseinheit zuweisen und Dienst-URLs aktualisieren

Nachdem Sie das neue SSO-Profil in einer Testgruppe oder Organisationseinheit erfolgreich getestet haben, können Sie andere Nutzer umstellen.

  1. Gehen Sie zu Sicherheit und dann SSO mit externen IdPs und dann SSO-Profilzuweisungen verwalten.
  2. Klicken Sie auf Verwalten.
  3. Wählen Sie die oberste Organisationseinheit aus und weisen Sie sie dem neuen SSO-Profil zu.
  4. Optional: Wenn dem SSO-Profil für Ihre Organisation andere Organisationseinheiten oder Gruppen zugewiesen sind, weisen Sie diese dem neuen SSO-Profil zu.

Schritt 4: Domainspezifische URLs aktualisieren

Wenn Ihre Organisation domainspezifische URLs verwendet (z. B. https://mail.google.com/a/your_domain.com), aktualisieren Sie die Einstellung, um das neue SSO-Profil zu verwenden:

  1. Gehen Sie zu Sicherheit und dann SSO mit externen IdPs und dann Domainspezifische Dienst-URLs.
  2. Wählen Sie unter „Nutzer automatisch zum externen IdP im folgenden SSO-Profil weiterleiten“ das neue SSO-Profil aus der Drop-down-Liste aus.

Schritt 5: Bereinigen

  1. Klicken Sie unter Sicherheit und dann SSO mit externen IdPs und dann SSO-Profile auf das Legacy-SSO-Profil, um die Profileinstellungen zu öffnen.
  2. Entfernen Sie das Häkchen bei Legacy-SSO-Profil aktivieren, um das Legacy-Profil zu deaktivieren.
  3. Prüfen Sie, ob die automatische Nutzerbereitstellung, die mit Ihrem IdP eingerichtet wurde, mit Ihrem neuen SSO-Profil richtig funktioniert.
  4. Melden Sie den alten Dienstanbieter bei Ihrem IdP ab.