FAQ zur SAML-Einmalanmeldung (SSO)

Welche SAML-Version wird von der SSO API unterstützt?

Derzeit unterstützen wir SAML v2.0. Weitere Informationen zum SAML v2.0-Standard finden Sie unter http://www.oasis-open.org/specs/index.php#samlv2.0.

Funktioniert die SAML-Einmalanmeldung zusammen mit POP3 oder IMAP?

Nein, SAML funktioniert nur mit den Google Workspace-Webanwendungen.

Funktioniert die SAML-Einmalanmeldung zusammen mit dem Atom-Feed von Gmail?

Nein. Der Atom-Feed von Gmail verwendet die HTTP-Basisauthentifizierung.

Funktioniert die SAML-Einmalanmeldung zusammen mit AuthSub?

Ja. SAML funktioniert mit AuthSub.

Können wir RSA statt DSA für die Implementierung der Einmalanmeldung verwenden?

Ja. Sie können wählen, ob Sie den RSA- oder den DSA-Verschlüsselungsalgorithmus verwenden. Wir akzeptieren beide.

Wie kann ich das für die Einmalanmeldung erforderliche Bestätigungszertifikat generieren?

Sie können X509-Zertifikate mit dem Befehl openssl generieren. Weitere Informationen finden Sie unter Schlüssel und Zertifikate für die Einmalanmeldung (SSO) generieren.

Können wir uns nach der Implementierung der Einmalanmeldung für unsere Domain weiterhin direkt in Google anmelden?

Nein. Bei implementierter Einmalanmeldung ist es Endnutzern einer Domain nicht mehr möglich, sich direkt in Google anzumelden. Super Admins können sich weiterhin im Google-Steuerfeld anmelden (z. B. http://www.google.com/a/beispiel.de).

Wie können nicht dauerhafte Sitzungscookies, die während einer Browsersitzung den Nutzer identifizieren, gelöscht werden – z.B. nach dem Abmelden?

Nach erfolgreicher Authentifizierung über SAML richtet Google ein Sitzungscookie ein, um die Sitzung des Nutzers zu identifizieren. Wenn sich der Nutzer endgültig abmeldet, beispielsweise durch Klicken auf die Abmeldeschaltfläche, muss dieses Cookie zerstört werden. Wenn Ihre Implementierung eine dauerhafte Sitzungsverwaltung über die Funktion „Auf diesem Computer merken“ vorsieht, müssen Sie ggf. steuern, wie und wann dieses Cookie zerstört wird. Nach dem Abmelden erfolgt eine Weiterleitung von Google zu Ihrem Abmelde-Servlet. In Ihrem Abmelde-Servlet können Sie dem Nutzer verschiedene Optionen anbieten, um zu bestimmen, ob das Sitzungscookie gelöscht werden soll oder nicht.

Warum funktioniert die URL zur Passwortänderung nicht?

In den SSO-Einstellungen vorgenommene Änderungen an der URL zur Passwortänderung werden nach etwa einer Stunde wirksam.

Warum funktioniert das HTML-Formular für die SAML-Antwort in Firefox, aber nicht in Internet Explorer?

In Internet Explorer kann es vorkommen, dass RelayState-Werte fehlinterpretiert werden. Internet Explorer interpretiert „&ltmpl“ als „<mpl“. Um dies zu verhindern, sollten XML-Sonderzeichen im RelayState-Wert maskiert werden. Ändern Sie { &, <, >, ', "} in { &amp;, <, >, &apos;, &quot;}.

Wie kann ich Nutzern erlauben, ohne Authentifizierung die Startseite des Partners aufzurufen?

In diesem Forum finden Sie ein Beispiel für eine SAML-Antwort.

Welches Empfängerattribut ist in der SAML-Antwort erforderlich?

Gemäß Abschnitt 4.1.4.2 der Profilspezifikation für SAML 2.0 muss das Empfängerattribut der ACS-URL (Assertion Consumer Service) entsprechen. Sie befindet sich hier:

<samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>user@domain.com</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
  </saml:Assertion>
</samlp:Response>

In den folgenden Fragen erfahren Sie, wie Sie den Empfänger zur SAML-Antwort hinzufügen.

Wie kann ich sicherstellen, dass mein Identitätsanbieter das richtige Empfängerattribut angibt?

Wenn Ihr kommerzieller oder Open-Source-Identitätsanbieter SAML 2.0 unterstützt, sollte bereits das richtige Empfängerattribut angegeben sein. Falls Sie eine der oben genannten Fehlermeldungen erhalten, ist das Empfängerattribut falsch. Wenden Sie sich in diesem Fall an den Anbieter oder den Administrator der Software und senden Sie ihm einen Link zu dieser Seite.

Können sich meine Nutzer bei der Einmalanmeldung über die Anmelde-URL des Admin-Steuerfelds authentifizieren?

Ja. Die SAML-basierte Einmalanmeldung ermöglicht es Ihnen, die Anmeldeautorität für Google Workspace an die Software Ihres Identitätsanbieters zu übertragen, z. B. ein bestehendes Anmeldeportal. Die Authentifizierung Ihrer Nutzerkonten wird von der Software gesteuert und verwaltet. Anmeldeversuche werden von Google Workspace zu Ihrem SSO-Portal umgeleitet. Ihre Administratoren können diese Dienste jedoch weiterhin über die Anmelde-URL der Admin-Konsole verwalten (https://www.google.com/a/example.com). So sind Sie flexibel, wenn es Probleme mit Ihrem SSO-Portal gibt oder das Portal aktualisiert werden muss.

Was bedeutet die Fehlermeldung: „Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage keine Empfängerdaten enthielt“?

Das bedeutet, der SAML-Antwort fehlt ein erforderliches Empfängerattribut.

Was bedeutet die Fehlermeldung: „Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage ungültige Empfängerdaten enthielt“?

Das bedeutet, das Empfängerattribut in der SAML-Antwort stimmt nicht mit der ACS-URL (Assertion Consumer Service) überein.

Was bedeutet die Fehlermeldung: „Auf dieses Konto kann nicht zugegriffen werden, da die Anmeldedaten nicht verifiziert werden konnten“?

Häufig besteht das Problem darin, dass der private Schlüssel, der für die SAML-Antwort verwendet wurde, nicht zum Public-Key-Zertifikat passt, das bei Google Workspace hinterlegt ist. Laden Sie das Zertifikat in den SSO-Einstellungen im Steuerfeld hoch und versuchen Sie es noch einmal.