Stel je eigen aangepaste SAML-app in.

Gebruikmaken van SAML-gebaseerde SSO

Met Single Sign-On (SSO) kunnen gebruikers zich aanmelden bij al hun zakelijke cloudapplicaties met de inloggegevens van hun beheerde Google-account. Google biedt vooraf geïntegreerde SSO voor meer dan 200 populaire cloudapplicaties.

Volg deze stappen om SAML-gebaseerde SSO in te stellen met een aangepaste app die niet in de voorgeïntegreerde catalogus staat.

Stel je eigen aangepaste SAML-app in.

Stap 1: Voeg de aangepaste SAML-app toe

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Web- en mobiele apps .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik op App toevoegen en dan Voeg een aangepaste SAML-app toe .
    Voer de naam van de app in en upload eventueel een pictogram voor uw app. Het app-pictogram verschijnt in de lijst met web- en mobiele apps, op de pagina met app-instellingen en in de app-launcher. Als u geen pictogram uploadt, wordt er een pictogram gemaakt met de eerste twee letters van de app-naam.
  3. Klik op Doorgaan .
  4. Op de pagina met details van de Google Identity Provider kunt u de benodigde configuratiegegevens voor de serviceprovider verkrijgen met behulp van een van de volgende opties:
    1. Download de IDP-metadata .
    2. Kopieer de SSO-URL en de entiteits-ID en download het certificaat (of de SHA-256-vingerafdruk , indien nodig).
  5. (Optioneel) Om de informatie in te voeren op de juiste SSO-configuratiepagina, opent u een apart browsertabblad of -venster, meldt u zich aan bij uw serviceprovider en voert u de informatie in die u in stap 5 hebt gekopieerd. Ga vervolgens terug naar de beheerdersconsole.
  6. Klik op Doorgaan .
  7. Neem contact op met uw serviceprovider voor deze veldwaarden. Voer in het venster 'Serviceprovidergegevens' het volgende in:
    1. ACS-URL — De Assertion Consumer Service-URL van de serviceprovider ontvangt het SAML-antwoord. Deze moet beginnen met https:// .
    2. Entiteits-ID — De wereldwijd unieke naam.
    3. Start-URL — (Optioneel) Hiermee wordt de parameter RelayState in een SAML-verzoek ingesteld. Dit kan een URL zijn waarnaar na authenticatie wordt doorgestuurd.
  8. (Optioneel) Om aan te geven dat uw serviceprovider vereist dat het volledige SAML-authenticatieantwoord ondertekend is, vinkt u het vakje 'Ondertekend antwoord' aan. Als dit niet is aangevinkt (de standaardinstelling), wordt alleen de bewering in het antwoord ondertekend.
  9. (Optioneel) Stel de naam-ID- indeling en de naam-ID- waarde in voor uw aangepaste SAML-app. De standaardnaam -ID is het primaire e-mailadres.
    Tip : Raadpleeg de installatie-artikelen in onze SAML-appcatalogus voor eventuele naam-ID-toewijzingen die vereist zijn voor apps in de catalogus. U kunt ook aangepaste attributen maken, via de beheerdersconsole of via de Google Admin SDK API's , en deze toewijzen.
  10. Klik op Doorgaan .
  11. Klik indien nodig op 'Toewijzing toevoegen' om gebruikerskenmerken toe te wijzen op basis van de vereisten van de serviceprovider.
    Let op : u kunt maximaal 10.000 attributen definiëren voor alle apps samen. Omdat elke app één standaardattribuut heeft, telt dit aantal het standaardattribuut plus alle aangepaste attributen die u toevoegt.
    1. Voor Google Directory-kenmerken klikt u op het menu 'Veld selecteren' om een ​​veldnaam te kiezen. Niet alle Google Directory-kenmerken zijn beschikbaar in de vervolgkeuzelijst. Als een kenmerk dat u wilt koppelen (bijvoorbeeld het e-mailadres van de manager ) niet beschikbaar is, kunt u dat kenmerk toevoegen als een aangepast kenmerk . Het wordt dan hier beschikbaar om te selecteren.
    2. Voer bij 'App-attributen' het overeenkomstige attribuut in voor uw aangepaste SAML-app.
  12. (Optioneel) Voer hier groepsnamen in die relevant zijn voor deze app:
    1. Voor groepslidmaatschap (optioneel) klikt u op 'Zoek naar een groep' , voert u een of meer letters van de groepsnaam in en selecteert u de groepsnaam.
    2. Voeg naar behoefte extra groepen toe (maximaal 75 groepen).
    3. Voer voor het attribuut 'App' de overeenkomstige naam van het groepsattribuut van de serviceprovider in.

    Ongeacht hoeveel groepsnamen u invoert, het SAML-antwoord bevat alleen groepen waarvan een gebruiker (direct of indirect) lid is. Ga voor meer informatie naar 'Over het toewijzen van groepslidmaatschap' .

  13. Klik op Voltooien .

Stap 2: Schakel je SAML-app in.

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Web- en mobiele apps .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Selecteer uw SAML-app.
  3. Klik op Gebruikerstoegang .

  4. Om een ​​service voor iedereen in uw organisatie in of uit te schakelen, klikt u op 'Aan voor iedereen' of 'Uit voor iedereen' en vervolgens op ' Opslaan' .

  5. (Optioneel) Om een ​​service voor een organisatie-eenheid in of uit te schakelen:
    1. Selecteer aan de linkerkant de organisatie-eenheid.
    2. Om de servicestatus te wijzigen, selecteert u Aan of Uit .
    3. Kies er één:
      • Als de servicestatus is ingesteld op 'Overgenomen' en u de bijgewerkte instelling wilt behouden, zelfs als de instelling van de bovenliggende service verandert, klikt u op 'Overschrijven' .
      • Als de servicestatus is ingesteld op 'Overschreven' , kunt u op 'Overnemen' klikken om terug te keren naar dezelfde instelling als het bovenliggende element, of op ' Opslaan' klikken om de nieuwe instelling te behouden, zelfs als de instelling van het bovenliggende element verandert.

        Leer meer over organisatiestructuur .

  6. (Optioneel) Om een ​​service in te schakelen voor een groep gebruikers binnen of tussen organisatie-eenheden, selecteert u een toegangsgroep. Zie Toegang tot services aanpassen met toegangsgroepen voor meer informatie.
  7. Zorg ervoor dat de e-mailadressen die uw gebruikers gebruiken om in te loggen bij de SAML-app overeenkomen met de e-mailadressen die ze gebruiken om in te loggen op uw Google-domein.
Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller doorgevoerd. Lees meer .

Stap 3: Controleer of SSO werkt met uw aangepaste app.

Je kunt zowel door de identiteitsprovider (IdP) geïnitieerde SSO als door de serviceprovider (SP) geïnitieerde SSO testen.

IdP-geïnitieerd

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Web- en mobiele apps .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Selecteer uw aangepaste SAML-app.
  3. Klik linksboven op Test SAML-aanmelding .

    Je app zou in een apart tabblad moeten openen. Als dat niet het geval is, gebruik dan de informatie in de resulterende SAML-appfoutmeldingen om je IdP- en SP-instellingen indien nodig bij te werken en probeer vervolgens opnieuw in te loggen via SAML.

SP-geïnitieerd

  1. Open de SSO-URL voor je nieuwe SAML-app. Je wordt automatisch doorgestuurd naar de Google-aanmeldingspagina.
  2. Voer uw gebruikersnaam en wachtwoord in.

    Nadat uw inloggegevens zijn geverifieerd, wordt u teruggeleid naar uw nieuwe SAML-app.