Optionale SSO-Einstellungen und Wartung

Zertifikate rotieren

Wenn Sie zwei Zertifikate in ein SAML-SSO-Profil hochladen, kann Google beide Zertifikate verwenden, um eine SAML-Antwort von Ihrem Identitätsanbieter zu validieren. So können Sie ein ablaufendes Zertifikat auf IdP-Seite sicher rotieren. Führen Sie diese Schritte mindestens 24 Stunden vor Ablauf eines Zertifikats aus:

  1. Erstellen Sie ein neues Zertifikat beim IdP.
  2. Laden Sie das Zertifikat als zweites Zertifikat in die Admin-Konsole hoch. Eine Anleitung finden Sie unter SAML-Profil erstellen.
  3. Warten Sie 24 Stunden, damit die Google-Nutzerkonten mit dem neuen Zertifikat aktualisiert werden können.
  4. Konfigurieren Sie den Identitätsanbieter so, dass er das neue Zertifikat anstelle des ablaufenden Zertifikats verwendet.
  5. Optional: Wenn Nutzer bestätigt haben, dass sie sich anmelden können, entfernen Sie das alte Zertifikat aus der Admin-Konsole. Sie können dann bei Bedarf ein neues Zertifikat hochladen.

„E‑Mail-Adresse automatisch ausfüllen“ verwenden, um SSO-Anmeldungen zu vereinfachen

Aktivieren Sie beim Erstellen oder Aktualisieren eines SSO-Profils für eingehende SAML die Option E‑Mail-Adresse automatisch ausfüllen, um Ihren Nutzern die Anmeldung zu erleichtern.

Mit der Funktion „E‑Mail-Adresse automatisch ausfüllen“ wird das Feld für die E‑Mail-Adresse auf der Anmeldeseite Ihres Drittanbieter-Identitätsanbieters (IdP) automatisch ausgefüllt. Nutzer müssen daher nur ihr Passwort eingeben. Sie können E‑Mail-Adresse automatisch ausfüllen aktivieren, wenn Sie ein neues SSO-Profil für eingehende SAML erstellen oder ein vorhandenes aktualisieren.

Bei „E‑Mail-Adresse automatisch ausfüllen“ wird ein Anmeldehinweis-Parameter verwendet, um die E‑Mail-Adressen Ihrer Nutzer sicher an Ihren IdP zu senden. Dieser Parameter ist eine gängige Funktion, die von vielen Drittanbieter-IdPs für IdP-initiierte Anmeldungen unterstützt wird.

Der Parameter des Anmeldehinweises ist nicht standardisiert. Daher verwenden verschiedene IdPs unterschiedliche Varianten, z. B.:

  • login_hint: (wird von Identitätsanbietern wie Microsoft Entra unterstützt)
  • LoginHint: (wird von IdPs wie Okta unterstützt)

Daher müssen Sie prüfen, welches Format Ihr IdP unterstützt, und die entsprechende Einstellung in der Admin-Konsole auswählen.

Optionen zum Aktivieren von „E‑Mail-Adresse automatisch ausfüllen“

„E‑Mail-Adresse automatisch ausfüllen“ in einem neuen Profil aktivieren

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannSSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  3. Klicken Sie im Abschnitt Externe SSO-Profile auf SAML-Profil hinzufügen.
  4. Geben Sie für SAML-SSO-Profil einen Profilnamen ein.
  5. Wählen Sie für E‑Mail-Adresse automatisch ausfüllen die Option aus, die dem vom IdP unterstützten Format für Anmeldehinweise entspricht.
  6. Führen Sie im Abschnitt IdP-Details die folgenden Schritte aus:
    1. Geben Sie die IDP-Entitäts-ID, die URL der Anmeldeseite und die URL der Abmeldeseite ein, die Sie von Ihrem IdP erhalten haben.
    2. Geben Sie unter URL zur Passwortänderung eine URL zur Passwortänderung für Ihren IdP ein.
       Nutzer verwenden diese URL, um ihr Passwort zurückzusetzen.
  7. Klicken Sie auf Speichern und fahren Sie mit der Erstellung des Profils fort.

„E‑Mail-Adresse automatisch ausfüllen“ in einem vorhandenen Profil aktivieren

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannSSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  3. Klicken Sie im Bereich Externe SSO-Profile auf das Profil, das Sie aktualisieren möchten.
  4. Klicken Sie auf Details zum Servicepartner.
  5. Wählen Sie für E‑Mail-Adresse automatisch ausfüllen die Option aus, die dem vom IdP unterstützten Format für Anmeldehinweise entspricht.
  6. Klicken Sie auf Speichern.

Domainspezifische Dienst-URLs verwalten

Mit der Einstellung Domainspezifische Dienst-URLs können Sie steuern, was passiert, wenn Nutzer sich mit Dienst-URLs wie https://mail.google.com/a/beispiel.de anmelden.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannSSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Klicken Sie auf Domainspezifische Dienst-URLs, um die Einstellungen zu öffnen.

Dazu stehen die beiden folgenden Optionen zur Auswahl:

  • Leiten Sie Nutzer an den externen IdP weiter. Wählen Sie diese Option aus, um diese Nutzer immer zum externen IdP weiterzuleiten, den Sie in der Drop-down-Liste für das SSO-Profil auswählen. Dies kann das SSO-Profil Ihrer Organisation oder ein anderes externes Profil (falls vorhanden) sein.

    Wichtig:Wählen Sie diese Einstellung nicht aus, wenn Sie Organisationseinheiten oder Gruppen haben, die die Einmalanmeldung (SSO) nicht verwenden. Nutzer ohne SSO werden automatisch an den IdP weitergeleitet und können sich nicht anmelden.

  • Nutzer müssen zuerst ihren Nutzernamen auf der Google-Anmeldeseite eingeben. Bei dieser Option werden Nutzer, die domainspezifische URLs eingeben, zuerst zur Google-Anmeldeseite weitergeleitet. SSO-Nutzer werden zur IdP-Anmeldeseite weitergeleitet.

Ergebnisse der Netzwerkzuordnung

Netzwerkmasken sind IP-Adressen, die unter Verwendung der Spezifikation „Classless Inter-Domain Routing (CIDR)“ dargestellt werden. Die CIDR-Spezifikation legt fest, wie viele Bits der IP-Adresse angegeben werden. Für das SSO-Profil für Ihre Organisation können Netzwerkmasken verwendet werden, um festzulegen, für welche IP-Adressen oder IP-Adressbereiche der SSO-Dienst verwendet wird.

Hinweis:Bei den Einstellungen für Netzwerkmasken werden derzeit nur domainspezifische Dienst-URLs wie service.google.com/a/beispiel.de auf die SSO-Anmeldeseite weitergeleitet.

Netzwerkmasken müssen dem richtigen Format entsprechen. Im folgenden IPv6-Beispiel stellen der Schrägstrich (/) und die darauf folgende Zahl die CIDR-Spezifikation dar. Die letzten 96 Bit entfallen und es werden alle IP-Adressen in diesem Netzwerkbereich berücksichtigt.

  • 2001:db8::/32

In diesem IPv4-Beispiel entfallen die letzten acht Bit (d. h. die 0) und es werden alle IP-Adressen berücksichtigt, die sich im Bereich zwischen 64.233.187.0 und 64.233.187.255 befinden.

  • 64.233.187.0/24

In Domains ohne Netzwerkmaske müssen Sie Nutzer, die keine Poweruser sind, dem Identitätsanbieter hinzufügen.

SSO-Nutzererfahrung beim Aufrufen von Google-Dienst-URLs

In der folgenden Tabelle sehen Sie, wie Nutzer Google-Dienst-URLs mit und ohne Netzwerkmaske aufrufen können:

Ohne Netzwerkmaske Super Admins: Nutzer:
dienst.google.com werden aufgefordert, die E‑Mail-Adresse und das Passwort für Ihr Google-Konto einzugeben. werden aufgefordert, ihre E-Mail-Adresse einzugeben, und dann zur SSO-Anmeldeseite weitergeleitet.
Mit Netzwerkmaske Super Admins und Nutzer:
dienst.google.com werden aufgefordert, ihre E‑Mail-Adresse und ihr Passwort einzugeben.
dienst.google.com
/a/meine_domain.de*
(innerhalb der Netzwerkmaske)		 werden zur SSO-Anmeldeseite weitergeleitet.
dienst.google.com
/a/meine_domain.de
(außerhalb der Netzwerkmaske)
 werden aufgefordert, ihre E‑Mail-Adresse und ihr Passwort einzugeben.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Nutzer, die über den URL-Parameter login_hint auf den OAuth 2.0-Endpunkt von Google zugreifen, werden zur SSO-Anmeldeseite weitergeleitet.

* Dieses URL-Muster wird nicht von allen Diensten unterstützt. Beispiele für Dienste, die das tun, sind Gmail und Drive.

Ablauf der Sitzung, wenn eine Netzwerkmaske konfiguriert ist

In den folgenden Fällen kann es vorkommen, dass aktive Google-Sitzungen von Nutzern beendet werden und sie sich noch einmal authentifizieren müssen:

  • Die Nutzersitzung hat die maximale Dauer erreicht, die in der Admin-Konsole unter Google-Sitzungssteuerung festgelegt ist.
  • Der Administrator hat über die Admin-Konsole oder die Admin SDK das Passwort des Nutzerkontos geändert oder verlangt, dass Nutzer das Passwort bei der nächsten Anmeldung ändern.

Nutzererfahrung

Wenn Nutzer die Sitzung mit einem externen Identitätsanbieter beginnen, wird sie gelöscht und die Nutzer werden zur Google-Anmeldeseite weitergeleitet.

Da sie die Sitzung ja nicht über Google gestartet haben, ist für die Nutzer nicht ohne Weiteres nachvollziehbar, warum sie sich nun bei Google anmelden müssen, um wieder Zugriff auf das Konto zu erhalten. Nutzer werden möglicherweise auf eine Google-Anmeldeseite weitergeleitet, auch wenn sie versuchen, andere Google-URLs aufzurufen.

Wenn Sie Wartungsarbeiten planen, bei denen auch aktive Nutzersitzungen beendet werden, und vermeiden möchten, dass solche Unklarheiten entstehen, weisen Sie Ihre Nutzer an, sich von ihren Sitzungen abzumelden und für die Dauer der Wartung abgemeldet zu bleiben.

Nutzerrückgewinnung

Wenn Nutzer die Google Log-in-Seite sehen, weil die aktive Sitzung beendet wurde, können sie durch eine der folgenden Aktionen wieder auf das Konto zugreifen:

  • Über den Link in der Nachricht „Wenn Sie versehentlich auf diese Seite gelangt sind, klicken Sie hier, um sich abzumelden. Versuchen Sie dann noch einmal, sich anzumelden.“
  • Durch Ab- und wieder Anmelden auf https://accounts.google.com/logout, falls diese Nachricht oder der Link nicht angezeigt werden
  • Durch Löschen der Cookies im Browser

Jede dieser Optionen zur Wiederherstellung hat zur Folge, dass die Google-Sitzung vollständig beendet wird und Nutzer sich wieder neu anmelden können.

2‑Faktor-Authentifizierung mit Einmalanmeldung einrichten

  1. Gehen Sie in der Admin-Konsole zu „Menü“  und dann Sicherheitund dannAuthentifizierungund dannIdentitätsbestätigungen.

    Hierfür ist die Administratorberechtigung Verwaltung der Nutzersicherheit erforderlich.

  2. Wählen Sie links die Organisationseinheit aus, für die Sie die Richtlinie festlegen möchten.

    Wenn die Einstellungen für alle Nutzer in der Organisation gelten sollen, wählen Sie die oberste Organisationseinheit aus. Dabei gehen Einstellungen erst einmal von der übergeordneten Organisationseinheit auf die anderen über.

  3. Klicken Sie auf Identitätsbestätigung nach der Einmalanmeldung (SSO).

  4. Wählen Sie die Einstellungen entsprechend der Verwendung von SSO-Profilen in Ihrer Organisation aus. Sie können eine Einstellung für Nutzer anwenden, die das Legacy-SSO-Profil verwenden, und für Nutzer, die sich mit anderen SSO-Profilen anmelden.

  5. Klicken Sie rechts unten auf Speichern.

    Google erstellt einen Eintrag im Audit-Log für die Admin-Konsole, um die Änderung der Richtlinie zu dokumentieren.

Die Standardeinstellung für die Identitätsbestätigung nach der Einmalanmeldung hängt vom SSO-Nutzertyp ab:

  • Für Nutzer, die sich mit dem alten SSO-Profil anmelden, ist die Standardeinstellung, dass zusätzliche Identitätsbestätigungen und die 2‑Faktor-Authentifizierung umgangen werden.
  • Für Nutzer, die sich mit SSO-Profilen anmelden, ist die Standardeinstellung, dass zusätzliche Identitätsbestätigungen und die 2‑Faktor-Authentifizierung angewendet werden.

Weitere Informationen


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.