Migration von Legacy-SSO zu SSO-Profilen

Google Workspace bietet zwei Möglichkeiten, die Einmalanmeldung (SSO) mit Google als vertrauender Partei für Ihren Identitätsanbieter einzurichten:

  • Legacy-SSO-Profil : Hiermit können Sie nur einen IdP für Ihre Organisation konfigurieren.
  • SSO-Profile : Die neuere, empfohlene Methode zum Einrichten der SSO. Sie können verschiedene SSO-Einstellungen auf verschiedene Nutzer in Ihrer Organisation anwenden, sowohl SAML als auch OIDC werden unterstützt, es gibt modernere APIs und Google wird sich auf neue Funktionen konzentrieren.

Wir empfehlen allen Kunden, zu SSO-Profilen zu migrieren, um diese Vorteile zu nutzen. SSO-Profile können parallel zum SSO-Profil für Ihre Organisation verwendet werden. So können Sie neue SSO-Profile testen, bevor Sie die gesamte Organisation umstellen.

Übersicht über den Migrationsprozess

  1. Erstellen Sie in der Admin-Konsole ein SSO-Profil für Ihren IdP und registrieren Sie das neue Profil bei Ihrem IdP.
  2. Weisen Sie Testnutzer zu, die das neue Profil verwenden sollen, um zu bestätigen, dass es funktioniert.
  3. Weisen Sie die oberste Organisationseinheit dem neuen Profil zu.
  4. Aktualisieren Sie domainspezifische URLs, um das neue Profil zu verwenden.
  5. Bereinigen: Melden Sie Ihren alten Dienstanbieter ab und prüfen Sie, ob die automatische Nutzerverwaltung weiterhin funktioniert.

Schritt 1: SSO-Profil erstellen

  1. Folgen Sie dieser Anleitung, um ein neues SAML-SSO-Profil zu erstellen. Für Ihr neues Profil sollte derselbe IdP verwendet werden wie für das vorhandene SSO-Profil für Ihre Organisation.

  2. Registrieren Sie das neue SSO-Profil bei Ihrem IdP als neuen Dienstanbieter.

    Ihr IdP sieht das neue Profil als separaten Dienstanbieter (möglicherweise werden diese als „Apps“ oder „Vertrauende Parteien“ bezeichnet). Wie Sie den neuen Dienstanbieter registrieren, hängt von Ihrem IdP ab. In der Regel müssen Sie jedoch die Entitäts-ID und die ACS-URL (Assertion Consumer Service) für das neue Profil konfigurieren.

Hinweise für API-Nutzer

  • Wenn Sie das SSO-Profil für Ihre Organisation verwenden, können Sie die SSO-Einstellungen nur mit der Google Workspace Admin Settings API verwalten.
  • Mit der Cloud Identity API können SSO-Profile als „inboundSamlSsoProfiles“ verwaltet und Gruppen oder Organisationseinheiten mithilfe von „inboundSsoAssignments“ zugewiesen werden.

Unterschiede zwischen SSO-Profilen und dem Legacy-SSO-Profil

Assertionen für Super Admins

SSO-Profile akzeptieren keine Assertionen zu Super Admins. Wenn Sie das SSO-Profil für Ihre Organisation verwenden, werden Assertionen akzeptiert, Super Admins werden jedoch nicht zum IdP weitergeleitet. Beispielsweise werden die folgenden Assertionen akzeptiert:

  • Der Nutzer folgt einem App-Launcher-Link von Ihrem IdP (vom IdP initiierte SAML).
  • Der Nutzer ruft eine domainspezifische Dienst-URL auf (z. B. https://drive.google.com/a/your_domain.com).
  • Der Nutzer meldet sich auf einem Chromebook an, das so konfiguriert ist, dass es direkt zu Ihrem IdP weiterleitet. Weitere Informationen.

Einstellungen für die Identitätsbestätigung nach der Einmalanmeldung

Die Einstellungen für die Identitätsbestätigung nach der Einmalanmeldung (z. B. Anmeldeherausforderungen oder die Bestätigung in zwei Schritten) unterscheiden sich für SSO-Profile und das SSO-Profil für Ihre Organisation. Um Verwirrung zu vermeiden, empfehlen wir, für beide Einstellungen denselben Wert festzulegen. Weitere Informationen.

Schritt 2: Testnutzer dem Profil zuweisen

Es empfiehlt sich, das neue SSO-Profil zuerst für Nutzer in einer einzelnen Gruppe oder Organisationseinheit zu testen, bevor Sie alle Nutzer umstellen. Verwenden Sie eine vorhandene Gruppe oder Organisationseinheit oder erstellen Sie bei Bedarf eine neue.

Wenn Sie verwaltete ChromeOS-Geräte haben, empfehlen wir Tests auf Organisationseinheitsebene, da Sie ChromeOS-Geräte Organisationseinheiten, aber nicht Gruppen zuweisen können.

  1. Optional: Erstellen Sie eine neue Organisationseinheit oder Konfigurationsgruppe und weisen Sie ihr Testnutzer zu.
  2. Folgen Sie dieser Anleitung, um Nutzer dem neuen SSO-Profil zuzuweisen.

Hinweise für Organisationen mit verwalteten ChromeOS-Geräten

Wenn Sie die SSO für ChromeOS-Geräte so konfiguriert haben, dass Nutzer direkt zu Ihrem IdP weitergeleitet werden, sollten Sie das SSO-Verhalten für diese Nutzer separat testen.

Damit die Anmeldung erfolgreich ist, muss das SSO-Profil, das der Organisationseinheit des Geräts zugewiesen ist, mit dem SSO-Profil übereinstimmen, das der Organisationseinheit des Gerätenutzers zugewiesen ist.

Wenn Sie beispielsweise derzeit eine Organisationseinheit „Vertrieb“ für Mitarbeiter haben, die verwaltete Chromebooks verwenden und sich direkt bei Ihrem IdP anmelden, erstellen Sie eine Organisationseinheit wie „Vertrieb_SSO_Test“, weisen Sie ihr das neue Profil zu und verschieben Sie einige Nutzer und die von ihnen verwendeten Chromebooks in diese Organisationseinheit.

Schritt 3: Oberste Organisationseinheit zuweisen und Dienst-URLs aktualisieren

Nachdem Sie das neue SSO-Profil erfolgreich für eine Testgruppe oder -organisationseinheit getestet haben, können Sie andere Nutzer umstellen.

  1. Gehen Sie zu Sicherheitund dannSSO mit externen IdPsund dannSSO-Profilzuweisungen verwalten.
  2. Klicken Sie auf Verwalten.
  3. Wählen Sie die oberste Organisationseinheit aus und weisen Sie sie dem neuen SSO-Profil zu.
  4. Optional: Wenn andere Organisationseinheiten oder Gruppen dem SSO-Profil für Ihre Organisation zugewiesen sind, weisen Sie sie dem neuen SSO-Profil zu.

Schritt 4: Domainspezifische URLs aktualisieren

Wenn Ihre Organisation domainspezifische URLs verwendet (z. B. https://mail.google.com/a/your_domain.com), aktualisieren Sie diese Einstellung, um das neue SSO-Profil zu verwenden:

  1. Gehen Sie zu Sicherheitund dannSSO mit externen IdPsund dannDomainspezifische Dienst-URLs.
  2. Wählen Sie unter „Nutzer automatisch an den externen IdP im folgenden SSO-Profil weiterleiten“ das neue SSO-Profil aus der Drop-down-Liste aus.

Schritt 5: Bereinigen

  1. Klicken Sie unter Sicherheitund dannSSO mit externen IdPsund dannSSO-Profile auf Legacy-SSO-Profil, um die Profileinstellungen zu öffnen.
  2. Entfernen Sie das Häkchen bei Legacy-SSO-Profil aktivieren , um das Legacy-Profil zu deaktivieren.
  3. Prüfen Sie, ob die automatische Nutzerverwaltung, die mit Ihrem IdP eingerichtet wurde, mit Ihrem neuen SSO-Profil ordnungsgemäß funktioniert.
  4. Melden Sie den alten Dienstanbieter bei Ihrem IdP ab.