Optionale SSO-Einstellungen und Wartung

Zertifikate rotieren

Wenn Sie zwei Zertifikate in ein SAML-SSO-Profil (Single Sign-On) hochladen, kann Google beide Zertifikate verwenden, um eine SAML-Antwort von Ihrem IdP zu validieren. So können Sie ein ablaufendes Zertifikat auf der IdP-Seite sicher rotieren. Führen Sie diese Schritte mindestens 24 Stunden vor Ablauf eines Zertifikats aus:

  1. Erstellen Sie ein neues Zertifikat beim IdP.
  2. Laden Sie das Zertifikat als zweites Zertifikat in die Admin-Konsole hoch. Eine Anleitung finden Sie unter SAML-Profil erstellen.
  3. Warten Sie 24 Stunden, damit die Google-Nutzerkonten mit dem neuen Zertifikat aktualisiert werden können.
  4. Konfigurieren Sie den IdP so, dass das neue Zertifikat anstelle des ablaufenden Zertifikats verwendet wird.
  5. Optional: Wenn Nutzer bestätigt haben, dass sie sich anmelden können, entfernen Sie das alte Zertifikat aus der Admin-Konsole. Bei Bedarf können Sie dann in Zukunft ein neues Zertifikat hochladen.

„E‑Mail-Adresse automatisch ausfüllen“ verwenden, um SSO-Anmeldungen zu vereinfachen

Wenn Sie ein SSO-Profil für eingehende SAML-Anfragen erstellen oder aktualisieren, können Sie die Funktion E‑Mail-Adresse automatisch ausfüllen aktivieren, um die Anmeldung für Ihre Nutzer zu vereinfachen.

Mit der Funktion „E‑Mail-Adresse automatisch ausfüllen“ wird das Feld für die E‑Mail-Adresse auf der Anmeldeseite Ihres Drittanbieter-Identitätsanbieters (IdP) automatisch ausgefüllt. Nutzer müssen also nur noch ihr Passwort eingeben. Sie können die Funktion E‑Mail-Adresse automatisch ausfüllen aktivieren, wenn Sie ein neues SSO-Profil für eingehende SAML-Anfragen erstellen oder ein vorhandenes aktualisieren.

Bei „E‑Mail-Adresse automatisch ausfüllen“ wird ein Parameter für Anmeldehinweise verwendet, um die E‑Mail-Adressen Ihrer Nutzer sicher an Ihren IdP zu senden. Dieser Parameter ist eine gängige Funktion, die von vielen Drittanbieter-IdPs für vom IdP initiierte Anmeldungen unterstützt wird.

Der Parameter für Anmeldehinweise ist nicht standardisiert. Daher verwenden verschiedene IdPs unterschiedliche Varianten, z. B.:

  • login_hint (wird von IdPs wie Microsoft Entra unterstützt)
  • LoginHint (wird von IdPs wie Okta unterstützt)

Aufgrund dieser Unterschiede müssen Sie bestätigen, welches Format von Ihrem IdP unterstützt wird, und die entsprechende Einstellung in der Admin-Konsole auswählen.

Optionen zum Aktivieren von „E‑Mail-Adresse automatisch ausfüllen“

„E‑Mail-Adresse automatisch ausfüllen“ in einem neuen Profil aktivieren

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Authentifizierung und dann SSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  3. Klicken Sie im Abschnitt Externe SSO-Profile auf SAML-Profil hinzufügen.
  4. Geben Sie für SAML-SSO-Profil einen Profilnamen ein.
  5. Wählen Sie für E‑Mail-Adresse automatisch ausfüllen die Option aus, die dem vom IdP unterstützten Format für Anmeldehinweise entspricht.
  6. Führen Sie im Abschnitt IdP-Details die folgenden Schritte aus:
    1. Geben Sie die IdP-Entitäts-ID, die URL der Anmeldeseite und die URL der Abmeldeseite ein, die Sie von Ihrem IdP erhalten haben.
    2. Geben Sie unter URL zur Passwortänderung eine URL zur Passwortänderung für Ihren IdP ein.
      Nutzer können über diese URL ihre Passwörter zurücksetzen.
  7. Klicken Sie auf Speichern und fahren Sie mit dem Erstellen des Profils fort.

„E‑Mail-Adresse automatisch ausfüllen“ in einem vorhandenen Profil aktivieren

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Authentifizierung und dann SSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  3. Klicken Sie im Abschnitt Externe SSO-Profile auf das Profil, das Sie aktualisieren möchten.
  4. Klicken Sie auf SP-Details.
  5. Wählen Sie für E‑Mail-Adresse automatisch ausfüllen die Option aus, die dem vom IdP unterstützten Format für Anmeldehinweise entspricht.
  6. Klicken Sie auf Speichern.

Domainspezifische Dienst-URLs verwalten

Mit der Einstellung Domainspezifische Dienst-URLs können Sie steuern, was passiert, wenn Nutzer sich mit Dienst-URLs wie https://mail.google.com/a/beispiel.de anmelden.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Authentifizierung und dann SSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Klicken Sie auf Domainspezifische Dienst-URLs , um die Einstellungen zu öffnen.

Sie haben zwei Möglichkeiten zur Auswahl:

  • Leiten Sie Nutzer an den externen IdP weiter. Wählen Sie diese Option aus, um diese Nutzer immer zum externen IdP weiterzuleiten, den Sie in der Drop-down-Liste für das SSO-Profil auswählen. Das kann das SSO-Profil für Ihre Organisation oder ein anderes externes Profil sein (falls Sie eines hinzugefügt haben).

    Wichtig:Wählen Sie diese Einstellung nicht aus, wenn Sie Organisationseinheiten oder Gruppen haben, die die Einmalanmeldung (SSO) nicht verwenden. Nutzer ohne SSO werden automatisch an den IdP weitergeleitet und können sich nicht anmelden.

  • Nutzer müssen ihren Nutzernamen auf der Anmeldeseite von Google eingeben. Bei dieser Option werden Nutzer, die domainspezifische URLs eingeben, zuerst zur Google-Anmeldeseite weitergeleitet. SSO-Nutzer werden zur IdP-Anmeldeseite weitergeleitet.

Ergebnisse der Netzwerkzuordnung

Netzwerkmasken sind IP-Adressen, die unter Verwendung der Spezifikation "Classless Inter-Domain Routing (CIDR)" dargestellt werden. Die CIDR-Spezifikation gibt an, wie viele Bits der IP-Adresse berücksichtigt werden. Im SSO-Profil für Ihre Organisation können Netzwerkmasken verwendet werden, um zu bestimmen, für welche IP-Adressen oder IP-Adressbereiche der SSO-Dienst verwendet wird.

Hinweis:Bei den Einstellungen für Netzwerkmasken werden derzeit nur domainspezifische Dienst-URLs wie service.google.com/a/beispiel.de auf die SSO-Anmeldeseite weitergeleitet.

Netzwerkmasken müssen dem richtigen Format entsprechen. Im folgenden IPv6-Beispiel stellen der Schrägstrich (/) und die darauf folgende Zahl die CIDR-Spezifikation dar. Die letzten 96 Bit entfallen und es werden alle IP-Adressen in diesem Netzwerkbereich berücksichtigt.

  • 2001:db8::/32

In diesem IPv4-Beispiel entfallen die letzten acht Bit (d. h. die 0) und es werden alle IP-Adressen berücksichtigt, die sich im Bereich zwischen 64.233.187.0 und 64.233.187.255 befinden.

  • 64.233.187.0/24

In Domains ohne Netzwerkmaske müssen Sie Nutzer, die keine Super Admins sind, dem Identitätsanbieter hinzufügen.

SSO-Nutzererfahrung beim Aufrufen von Google-Dienst-URLs

In der folgenden Tabelle wird die Nutzererfahrung bei direkten Besuchen von Google-Dienst-URLs mit und ohne Netzwerkmaske beschrieben:

Ohne Netzwerkmaske Super Admins: Nutzer:
dienst.google.com werden nach ihrer Google-E‑Mail-Adresse und ihrem Passwort gefragt. werden aufgefordert, ihre E‑Mail-Adresse einzugeben, und dann zur SSO-Anmeldeseite weitergeleitet.
Mit Netzwerkmaske Super Admins und Nutzer:
dienst.google.com werden nach ihrer E‑Mail-Adresse und ihrem Passwort gefragt.
dienst.google.com
/a/meine_domain.de*
(innerhalb der Netzwerkmaske)		 werden zur SSO-Anmeldeseite weitergeleitet.
Dienst.google.com
/a/meine_domain.de
(außerhalb der Netzwerkmaske)
 werden nach ihrer E‑Mail-Adresse und ihrem Passwort gefragt.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@beispiel.de

Nutzer, die über den URL-Parameter login_hint auf den OAuth 2.0-Endpunkt von Google zugreifen, werden zur SSO-Anmeldeseite weitergeleitet.

* Nicht alle Dienste unterstützen dieses URL-Muster. Beispiele für Dienste, die dies tun, sind Gmail und Google Drive.

Ablauf der Sitzung, wenn eine Netzwerkmaske konfiguriert ist

Die aktive Google-Sitzung eines Nutzers wird möglicherweise beendet und der Nutzer wird aufgefordert, sich noch einmal zu authentifizieren, wenn:

  • Die Nutzersitzung hat die maximale Dauer erreicht, die in der Admin-Konsole unter Google-Sitzungssteuerung festgelegt ist.
  • Der Administrator hat über die Admin-Konsole oder die Admin SDK das Passwort des Nutzerkontos geändert oder verlangt, dass Nutzer das Passwort bei der nächsten Anmeldung ändern.

In der Praxis

Wenn Nutzer die Sitzung mit einem externen Identitätsanbieter beginnen, wird sie gelöscht und die Nutzer werden zur Google-Anmeldeseite weitergeleitet.

Da sie die Sitzung ja nicht über Google gestartet haben, ist für die Nutzer nicht ohne Weiteres nachvollziehbar, warum sie sich nun bei Google anmelden müssen, um wieder Zugriff auf das Konto zu erhalten. Nutzer werden möglicherweise auf eine Google-Anmeldeseite weitergeleitet, auch wenn sie versuchen, zu anderen Google-URLs zu navigieren.

Wenn Sie Wartungsarbeiten planen, bei denen aktive Nutzersitzungen beendet werden, und Verwirrung bei den Nutzern vermeiden möchten, bitten Sie sie, sich von ihren Sitzungen abzumelden und abgemeldet zu bleiben, bis die Wartungsarbeiten abgeschlossen sind.

Nutzerwiederherstellung

Wenn ein Nutzer die Google-Anmeldeseite sieht, weil seine aktive Sitzung beendet wurde, kann er wieder Zugriff auf sein Konto erhalten, indem er eine der folgenden Aktionen ausführt:

  • Wenn der Nutzer die Meldung „Sie sind versehentlich auf dieser Seite gelandet? Klicken Sie hier, um sich abzumelden und sich noch einmal anzumelden.“ sieht, kann er auf den Link in der Meldung klicken.
  • Wenn der Nutzer diese Meldung oder diesen Link nicht sieht, meldet er sich ab und wieder an. Rufen Sie dazu https://accounts.google.com/logout auf.
  • Durch Löschen der Cookies im Browser

Jede dieser Optionen zur Wiederherstellung hat zur Folge, dass die Google-Sitzung vollständig beendet wird und Nutzer sich wieder neu anmelden können.

2‑Faktor-Authentifizierung mit SSO einrichten

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Authentifizierung und dann Identitätsbestätigungen.

    Hierfür benötigen Sie die Administratorberechtigung Verwaltung der Nutzersicherheit.

  2. Wählen Sie links die Organisationseinheit aus, für die Sie die Richtlinie festlegen möchten.

    Wenn die Richtlinien für alle Nutzer in der Organisation gelten sollen, ist das die oberste Organisationsebene. Dabei gehen Einstellungen erst einmal von der übergeordneten Organisationseinheit auf die anderen über.

  3. Klicken Sie auf Identitätsbestätigung nach der Einmalanmeldung (SSO).

  4. Wählen Sie die Einstellungen entsprechend der Verwendung von SSO-Profilen in Ihrer Organisation aus. Sie können eine Einstellung für Nutzer anwenden, die das alte SSO Profil verwenden, und für Nutzer, die sich mit anderen SSO Profilen anmelden.

  5. Klicken Sie rechts unten auf Speichern.

    Google erstellt einen Eintrag im Audit-Log für die Admin-Konsole, um die Änderung der Richtlinie zu dokumentieren.

Die Standardeinstellung für die Identitätsbestätigung nach der Einmalanmeldung hängt vom SSO-Nutzertyp ab:

  • Für Nutzer, die sich mit dem alten SSO-Profil anmelden, ist die Standardeinstellung, dass zusätzliche Identitätsbestätigungen und die 2‑Faktor-Authentifizierung umgangen werden.
  • Für Nutzer, die sich mit SSO-Profilen anmelden, ist die Standardeinstellung, dass zusätzliche Identitätsbestätigungen und die 2‑Faktor-Authentifizierung angewendet werden.

Weitere Informationen


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.