Optionele SSO-instellingen en -onderhoud

Hoe certificaten te roteren

Als u twee certificaten uploadt naar een SAML Single Sign-On (SSO)-profiel, kan Google beide certificaten gebruiken om een ​​SAML-antwoord van uw identiteitsprovider (IdP) te valideren. Hierdoor kunt u een verlopend certificaat aan de IdP-zijde veilig vervangen. Volg deze stappen ten minste 24 uur voordat een certificaat verloopt:

  1. Maak een nieuw certificaat aan bij de identiteitsprovider (IdP).
  2. Upload het certificaat als tweede certificaat naar de beheerdersconsole. Zie ' Een SAML-profiel aanmaken' voor instructies.
  3. Wacht 24 uur zodat de Google-gebruikersaccounts de tijd krijgen om het nieuwe certificaat te verwerken.
  4. Configureer de identiteitsprovider (IdP) om het nieuwe certificaat te gebruiken in plaats van het verlopen certificaat.
  5. (Optioneel) Zodra gebruikers hebben bevestigd dat ze kunnen inloggen, verwijdert u het oude certificaat uit de beheerdersconsole. U kunt dan in de toekomst, indien nodig, een nieuw certificaat uploaden.

Gebruik de functie 'Automatisch e-mailadres invullen' om het aanmelden via SSO te vereenvoudigen.

Om het inloggen voor uw gebruikers te vereenvoudigen, schakelt u de optie 'Automatisch e-mailadres invullen' in bij het aanmaken of bijwerken van een inkomend SAML Single Sign-On (SSO)-profiel.

Met de functie 'E-mailadres automatisch invullen' wordt het e-mailadresveld op de aanmeldingspagina van uw externe identiteitsprovider (IdP) automatisch ingevuld. Gebruikers hoeven dan alleen nog hun wachtwoord in te voeren. U kunt 'E-mailadres automatisch invullen' inschakelen wanneer u een nieuw inkomend SAML SSO-profiel aanmaakt of een bestaand profiel bijwerkt.

De functie voor automatisch invullen van e-mailadressen maakt gebruik van een inloghintparameter om de e-mailadressen van uw gebruikers veilig naar uw identiteitsprovider (IdP) te verzenden. Deze parameter is een veelvoorkomende functie die veel externe IdP's ondersteunen voor aanmeldingen die door de IdP worden geïnitieerd.

De parameter voor de inloghint is niet gestandaardiseerd, waardoor verschillende identiteitsproviders verschillende varianten gebruiken, zoals:

  • login_hint : (ondersteund door identiteitsproviders zoals Microsoft Entra)
  • LoginHint : (ondersteund door identiteitsproviders zoals Okta)

Vanwege deze verschillen moet u controleren welk formaat uw identiteitsprovider ondersteunt en de bijbehorende instelling in de Google-beheerconsole selecteren.

Opties om automatisch invullen van e-mailadressen in te schakelen

Schakel automatisch invullen van e-mailadressen in in een nieuw profiel.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan SSO met een externe identiteitsprovider.

    Hiervoor is beheerdersrechten voor de beveiligingsinstellingen vereist.

  2. Klik in het gedeelte 'SSO-profielen van derden' op 'SAML-profiel toevoegen' .
  3. Voer voor een SAML SSO-profiel een profielnaam in.
  4. Voor automatisch invullen van e-mailadressen selecteert u de optie die overeenkomt met het door uw identiteitsprovider ondersteunde inloghintformaat.
  5. Volg in het gedeelte 'IdP-gegevens' de volgende stappen:
    1. Voer de IDP-entiteits-ID , de URL van de aanmeldpagina en de URL van de afmeldpagina in die u van uw IdP hebt ontvangen.
    2. Voer bij 'Wachtwoord wijzigen' de URL in voor het wijzigen van het wachtwoord bij uw identiteitsprovider.
      Gebruikers kunnen via deze URL hun wachtwoord opnieuw instellen.
  6. Klik op Opslaan en ga verder met het aanmaken van het profiel.

Schakel automatisch invullen van e-mailadressen in een bestaand profiel in.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan SSO met een externe identiteitsprovider.

    Hiervoor is beheerdersrechten voor de beveiligingsinstellingen vereist.

  2. Klik in het gedeelte 'SSO-profielen van derden' op het profiel dat u wilt bijwerken.
  3. Klik op SP-details .
  4. Voor automatisch invullen van e-mailadressen selecteert u de optie die overeenkomt met het door uw identiteitsprovider ondersteunde inloghintformaat.
  5. Klik op Opslaan .

Beheer domeinspecifieke service-URL's

Met de instelling 'Domeinspecifieke service-URL's' kunt u bepalen wat er gebeurt wanneer gebruikers zich aanmelden via service-URL's zoals https://mail.google.com/a/example.com.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan SSO met een externe identiteitsprovider.

    Hiervoor is beheerdersrechten voor de beveiligingsinstellingen vereist.

  2. Klik op 'Domeinspecifieke service-URL's' om de instellingen te openen.

Er zijn twee opties:

  • Gebruikers doorverwijzen naar de externe identiteitsprovider . Kies deze optie om deze gebruikers altijd door te sturen naar de externe identiteitsprovider die u selecteert in de vervolgkeuzelijst voor het SSO-profiel. Dit kan het SSO-profiel van uw organisatie zijn, of een ander extern profiel (als u er een hebt toegevoegd).

    Belangrijk: Als u organisatie-eenheden of -groepen hebt die geen SSO gebruiken, selecteer deze instelling dan niet. Uw gebruikers die geen SSO gebruiken, worden automatisch doorgestuurd naar de identiteitsprovider en kunnen zich niet aanmelden.

  • Vereis dat gebruikers hun gebruikersnaam invoeren op de aanmeldingspagina van Google . Met deze optie worden gebruikers die domeinspecifieke URL's invoeren eerst naar de aanmeldingspagina van Google gestuurd. Als ze SSO-gebruikers zijn, worden ze doorgestuurd naar de aanmeldingspagina van de identiteitsprovider.

Resultaten van netwerkmapping

Netwerkmaskers zijn IP-adressen die worden weergegeven met behulp van de Classless Inter-Domain Routing (CIDR)-notatie. De CIDR-notatie specificeert hoeveel bits van het IP-adres worden opgenomen. Het SSO-profiel voor uw organisatie kan netwerkmaskers gebruiken om te bepalen welke IP-adressen of IP-adresbereiken moeten worden gepresenteerd aan de SSO-service.

Opmerking: Bij de instellingen voor netwerkmaskers worden momenteel alleen domeinspecifieke service-URL's, bijvoorbeeld service.google.com/a/example.com, doorgestuurd naar de SSO-aanmeldingspagina.

Het is belangrijk dat elk netwerkmasker de juiste opmaak gebruikt. In het volgende IPv6-voorbeeld vertegenwoordigen de schuine streep (/) en het getal erachter het CIDR-bereik. De laatste 96 bits worden niet meegenomen en alle IP-adressen in dat netwerkbereik worden hierdoor beïnvloed.

  • 2001:db8::/32

In dit IPv4-voorbeeld worden de laatste 8 bits (de nul) niet meegenomen, waardoor alle IP-adressen in het bereik van 64.233.187.0 tot en met 64.233.187.255 worden beïnvloed.

  • 64.233.187.0/24

In domeinen zonder netwerkmasker moet u gebruikers die geen superbeheerders zijn, toevoegen aan de identiteitsprovider (IdP).

SSO-gebruikerservaring bij het bezoeken van Google-service-URL's

De volgende tabel toont de gebruikerservaring bij directe bezoeken aan Google-service-URL's, met en zonder netwerkmasker:

Zonder netwerkmasker De superbeheerders zijn: De gebruikers zijn:
service .google.com Er werd gevraagd om hun Google-e-mailadres en wachtwoord. Ze werden gevraagd om hun e-mailadres in te voeren en vervolgens doorgestuurd naar de SSO-aanmeldingspagina.
Met netwerkmasker De superbeheerders en gebruikers zijn:
service .google.com Er werd gevraagd om hun e-mailadres en wachtwoord.
service .google.com
/a/ jouw_domein.com*
( binnen netwerkmasker)		 Doorgestuurd naar de SSO-aanmeldingspagina.
service .google.com
/a/jouw_domein.com
( extern netwerk)
masker)		 Er werd gevraagd om hun e-mailadres en wachtwoord.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Gebruikers die via de URL-parameter login_hint toegang krijgen tot het OAuth 2.0-eindpunt van Google, worden doorgestuurd naar de SSO-aanmeldingspagina.

* Niet alle services ondersteunen dit URL-patroon. Voorbeelden van services die dat wel doen zijn Gmail en Drive.

Sessievervaldatum wanneer een netwerkmasker is geconfigureerd

Een actieve Google-sessie kan worden beëindigd en de gebruiker kan worden gevraagd zich opnieuw te authenticeren wanneer:

  • De gebruikerssessie heeft de maximaal toegestane duur bereikt, zoals ingesteld in de Google-sessiebeheerinstellingen in het beheerderspaneel.
  • De beheerder heeft het gebruikersaccount aangepast door het wachtwoord te wijzigen of door de gebruiker te verplichten het wachtwoord bij de volgende aanmelding te wijzigen (via de beheerdersconsole of met behulp van de Admin SDK).

Gebruikerservaring

Als de gebruiker de sessie via een externe identiteitsprovider heeft gestart, wordt de sessie beëindigd en wordt de gebruiker doorgestuurd naar de Google-aanmeldpagina.

Omdat de gebruiker zijn Google-sessie via een externe identiteitsprovider (IdP) is gestart, begrijpt hij mogelijk niet waarom hij zich bij Google moet aanmelden om weer toegang tot zijn account te krijgen. Gebruikers kunnen zelfs naar een Google-aanmeldpagina worden doorgestuurd wanneer ze naar andere Google-URL's proberen te navigeren.

Als u onderhoudswerkzaamheden plant waarbij actieve gebruikerssessies worden beëindigd en u verwarring bij gebruikers wilt voorkomen, vraag uw gebruikers dan om uit te loggen en uitgelogd te blijven totdat het onderhoud is voltooid.

Gebruikersherstel

Wanneer een gebruiker de Google-aanmeldpagina ziet omdat zijn actieve sessie is beëindigd, kan hij weer toegang krijgen tot zijn account door een van de volgende stappen uit te voeren:

  • Als de gebruiker de melding "Als u per ongeluk op deze pagina terecht bent gekomen, klik dan hier om u af te melden en opnieuw in te loggen" ziet, kan hij of zij op de link in de melding klikken.
  • Als de gebruiker dat bericht of die link niet ziet, moet hij of zij zich afmelden en opnieuw aanmelden via https://accounts.google.com/logout .
  • De gebruiker kan de cookies in zijn browser verwijderen.

Zodra ze een van de herstelmethoden gebruiken, wordt hun Google-sessie volledig beëindigd en kunnen ze weer inloggen.

Stel tweestapsverificatie in met SSO.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan Aanmeldingsuitdagingen .

    Vereist dat u de beheerdersrechten voor gebruikersbeveiliging hebt.

  2. Selecteer aan de linkerkant de organisatie-eenheid waar u het beleid wilt instellen.

    Selecteer voor alle gebruikers de organisatie-eenheid op het hoogste niveau. Organisatie-eenheden nemen in eerste instantie de instellingen van hun bovenliggende eenheid over.

  3. Klik op 'Verificatie na SSO' .

  4. Kies instellingen op basis van hoe u SSO-profielen in uw organisatie gebruikt. U kunt een instelling toepassen voor gebruikers die het oude SSO-profiel gebruiken en voor gebruikers die zich aanmelden met andere SSO-profielen .

  5. Klik rechtsonder op Opslaan .

    Google maakt een vermelding aan in het beheerdersauditlogboek om elke beleidswijziging aan te geven.

De standaardinstelling voor verificatie na SSO is afhankelijk van het type SSO-gebruiker:

  • Voor gebruikers die inloggen met het oude SSO-profiel, is de standaardinstelling het overslaan van extra inloguitdagingen en 2SV.
  • Voor gebruikers die inloggen met SSO-profielen, is de standaardinstelling het toepassen van aanvullende inloguitdagingen en tweestapsverificatie (2SV).

Zie ook


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.