SSO instellen

Je kunt SSO met Google als serviceprovider op verschillende manieren instellen, afhankelijk van de behoeften van je organisatie. Google Workspace ondersteunt zowel SAML- als OIDC-gebaseerde SSO.

Als uw gebruikers domeinspecifieke service-URL's gebruiken om toegang te krijgen tot Google-services (bijvoorbeeld https://mail.google.com/a/example.com), kunt u ook beheren hoe deze URL's werken met SSO .

Als uw organisatie voorwaardelijke SSO-omleiding op basis van IP-adres nodig heeft, of SSO voor superbeheerders, kunt u ook het oude SSO-profiel configureren .

SSO instellen met SAML

Voordat je begint

Om een ​​SAML SSO-profiel in te stellen, hebt u enkele basisconfiguratie-instructies nodig van het supportteam of de documentatie van uw identiteitsprovider:

  • IdP-entiteits-ID : Dit is hoe uw IdP zich identificeert bij de communicatie met Google.
  • Aanmeldpagina-URL : Dit wordt ook wel de SSO-URL of SAML 2.0-eindpunt (HTTP) genoemd. Dit is de pagina waar gebruikers zich aanmelden bij uw identiteitsprovider (IdP).
  • URL van de afmeldpagina : De pagina waar de gebruiker terechtkomt na het verlaten van de Google-app of -service.
  • URL voor wachtwoordwijziging : De pagina waar SSO-gebruikers naartoe gaan om hun wachtwoord te wijzigen (in plaats van hun wachtwoord via Google te wijzigen).
  • Certificaat : Het X.509 PEM-certificaat van uw identiteitsprovider (IdP). Het certificaat bevat de publieke sleutel die de aanmelding bij de IdP verifieert.

Certificaatvereisten

  • Het certificaat moet een X.509-certificaat in PEM- of DER-formaat zijn met een ingebedde publieke sleutel.
  • De publieke sleutel moet gegenereerd worden met behulp van de DSA- of RSA-algoritmen.
  • De publieke sleutel in het certificaat moet overeenkomen met de privésleutel die is gebruikt om het SAML-antwoord te ondertekenen.

Je ontvangt deze certificaten doorgaans van je identiteitsprovider (IdP). Je kunt ze echter ook zelf genereren .

Maak een SAML SSO-profiel aan.

Volg deze stappen om een ​​SSO-profiel van een derde partij aan te maken. U kunt maximaal 1000 profielen in uw organisatie aanmaken.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan SSO met een externe identiteitsprovider.

    Hiervoor is beheerdersrechten voor de beveiligingsinstellingen vereist.

  2. Klik in het gedeelte 'SSO-profielen van derden' op 'SAML-profiel toevoegen' .
  3. Voer voor een SAML SSO-profiel een profielnaam in.
  4. (Optioneel) Selecteer voor 'Automatisch invullen van e-mailadres' de optie die overeenkomt met het door uw identiteitsprovider ondersteunde inloghintformaat. Zie 'Automatisch invullen van e-mailadres om SSO-aanmeldingen te vereenvoudigen' voor meer informatie.
  5. Volg in het gedeelte 'IdP-gegevens' de volgende stappen:
    1. Voer de IDP-entiteits-ID , de URL van de aanmeldpagina en de URL van de afmeldpagina in die u van uw IdP hebt ontvangen.
    2. Voer bij 'URL voor wachtwoordwijziging' een URL in voor uw identiteitsprovider (IdP). Gebruikers kunnen deze URL gebruiken om hun wachtwoord opnieuw in te stellen.

  6. Klik op Certificaat uploaden .

    Je kunt maximaal twee certificaten uploaden, waardoor je de mogelijkheid hebt om certificaten te wisselen wanneer dat nodig is.

  7. Klik op Opslaan .

  8. Kopieer en bewaar in het gedeelte SP-details de entiteits-ID en de ACS-URL . U hebt deze waarden nodig om SSO met Google te configureren in het beheerderspaneel van uw identiteitsprovider.

  9. (Optioneel) Als uw IdP het versleutelen van beweringen ondersteunt, kunt u een certificaat genereren en delen met uw IdP om versleuteling in te schakelen. Elk SAML SSO-profiel kan maximaal 2 SP-certificaten hebben.

    1. Klik op het gedeelte SP-details om de bewerkingsmodus te openen.
    2. Voor een SP-certificaat klikt u op Certificaat genereren .
    3. Klik op Opslaan . Kopieer de inhoud van het certificaat of download het als bestand.
    4. Deel het certificaat met uw identiteitsprovider.
    5. (Optioneel) Om een ​​certificaat te vernieuwen, ga terug naar SP-details en klik op ' Een nieuw certificaat genereren' . Deel vervolgens het nieuwe certificaat met uw IdP. Zodra u zeker weet dat uw IdP het nieuwe certificaat gebruikt, verwijdert u het oorspronkelijke certificaat.

Configureer uw IdP

Om uw IdP te configureren voor gebruik met dit SSO-profiel, voert u de informatie uit het gedeelte ' Service Provider (SP) Details' van het profiel in de juiste velden van uw IdP SSO-instellingen in. Zowel de ACS-URL als de entiteits-ID zijn uniek voor dit profiel.

Configureer het oude SSO-profiel.

Het oude SSO-profiel wordt ondersteund voor gebruikers die nog niet zijn overgestapt op SSO-profielen. Het ondersteunt alleen gebruik met één identiteitsprovider (IdP).

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan SSO met een externe identiteitsprovider.

    Hiervoor is beheerdersrechten voor de beveiligingsinstellingen vereist.

  2. Klik in 'SSO-profielen van derden' op 'SAML-profiel toevoegen' .
  3. Onderaan de pagina met IdP-details klikt u op ' Ga naar oude SSO-profielinstellingen '.
  4. Schakel op de Legacy SSO- profielpagina het vakje 'SSO inschakelen met identiteitsprovider van derden' in.
  5. Vul de volgende gegevens in voor uw identiteitsbeheerder (IdP):
    • Voer de URL van de aanmeldpagina en de URL van de afmeldpagina van uw identiteitsprovider in.

      Let op : alle URL's moeten worden ingevoerd en moeten HTTPS gebruiken, bijvoorbeeld https://sso.example.com.

    • Klik op Certificaat uploaden en zoek en upload het X.509-certificaat dat u van uw IdP hebt ontvangen. Zie Certificaatvereisten voor meer informatie.
    • Kies of u een domeinspecifieke uitgever wilt gebruiken in het SAML-verzoek aan Google.

      Als u meerdere domeinen gebruikt die SSO met uw IdP gebruiken, gebruik dan een domeinspecifieke uitgever om het juiste domein te identificeren dat het SAML-verzoek verstuurt.

      • Als je dit hebt aangevinkt, stuurt Google een issuer die specifiek is voor jouw domein: google.com/a/example.com (waarbij example.com je primaire Google Workspace-domeinnaam is).
      • Indien dit niet is aangevinkt, stuurt Google de standaarduitgever in het SAML-verzoek: google.com.
    • (Optioneel) Om SSO toe te passen op een groep gebruikers binnen specifieke IP-adresbereiken, voert u een netwerkmasker in. Zie Netwerktoewijzingsresultaten voor meer informatie.

      Opmerking: u kunt ook gedeeltelijke SSO instellen door het SSO-profiel toe te wijzen aan specifieke organisatie-eenheden of -groepen.

    • Voer een URL voor het wijzigen van het wachtwoord in voor uw identiteitsprovider (IdP). Gebruikers gaan naar deze URL (in plaats van de wachtwoordwijzigingspagina van Google) om hun wachtwoord opnieuw in te stellen. Alle gebruikers, met uitzondering van superbeheerders, die hun wachtwoord proberen te wijzigen via https://myaccount.google.com/, worden doorgestuurd naar de door u opgegeven URL. Deze instelling is van toepassing, zelfs als u SSO niet inschakelt. Netwerkmaskers zijn hier niet van toepassing.

      Let op: als u hier een URL invoert, worden gebruikers naar deze pagina doorgestuurd, zelfs als u SSO niet voor uw organisatie hebt ingeschakeld.

  6. Klik op Opslaan .

Na het opslaan wordt het oude SSO-profiel weergegeven in de tabel met SSO-profielen .

Configureer uw IdP

Om uw IdP te configureren voor gebruik met dit SSO-profiel, voert u de informatie uit het gedeelte 'Service Provider (SP) Details' van het profiel in de juiste velden van uw IdP SSO-instellingen in. Zowel de ACS-URL als de entiteits-ID zijn uniek voor dit profiel.

Formaat
ACS-URL https://accounts.google.com/a/{domain.com}/acs
Waarbij {domain.com} de Workspace-domeinnaam van uw organisatie is.
Entiteits-ID Een van de volgende opties:
  • google.com
  • google.com/a/customerprimarydomain (als u ervoor kiest een domeinspecifieke uitgever te gebruiken bij het configureren van het legacy-profiel).

Schakel het oude SSO-profiel uit.

  1. Klik in de lijst met SSO-profielen van derden op 'Oud SSO-profiel' .
  2. Schakel in de Legacy SSO- profielinstellingen de optie 'SSO inschakelen met identiteitsprovider van derden' uit.
  3. Bevestig dat u wilt doorgaan en klik vervolgens op Opslaan .

In de lijst met SSO-profielen wordt het Legacy SSO-profiel nu weergegeven als Uitgeschakeld .

  • Organisatie-eenheden waaraan het Legacy SSO-profiel is toegewezen, zullen een waarschuwing weergeven in de kolom 'Toegewezen profiel' .
  • De hoogste organisatorische eenheid zal 'Geen' weergeven in de kolom 'Toegewezen profiel' .
  • In 'SSO-profieltoewijzingen beheren ' wordt het Legacy SSO-profiel als inactief weergegeven.

Migreer van verouderde SAML-profielen naar SSO-profielen.

Als uw organisatie nog steeds het oude SSO-profiel gebruikt, raden we aan te migreren naar nieuwe SSO-profielen. Deze bieden diverse voordelen, waaronder OIDC-ondersteuning, modernere API's en meer flexibiliteit bij het toepassen van SSO-instellingen op uw gebruikersgroepen. Lees meer .

SSO instellen met OIDC

Volg deze stappen om OIDC-gebaseerde SSO te gebruiken:

  1. Kies een OIDC-optie: maak een aangepast OIDC-profiel aan, waarin u de gegevens van uw OIDC-partner opgeeft, of gebruik het vooraf geconfigureerde Microsoft Entra OIDC-profiel.
  2. Volg de stappen in 'Bepaal welke gebruikers SSO moeten gebruiken' om het vooraf geconfigureerde OIDC-profiel toe te wijzen aan geselecteerde organisatie-eenheden/groepen.

Als u binnen een organisatie-eenheid (bijvoorbeeld een suborganisatie-eenheid) gebruikers hebt die geen SSO nodig hebben , kunt u ook toewijzingen gebruiken om SSO voor die gebruikers uit te schakelen.

Let op: de Google Cloud Command Line Interface ondersteunt momenteel geen herauthenticatie met OIDC.

Voordat je begint

Om een ​​aangepast OIDC-profiel in te stellen, hebt u enkele basisconfiguratie-instructies nodig van het supportteam of de documentatie van uw IdP:

  • Issuer-URL: De volledige URL van de IdP-autorisatieserver.
  • Een OAuth-client, geïdentificeerd door zijn client-ID en geauthenticeerd door een clientgeheim .
  • URL voor wachtwoordwijziging: De pagina waar SSO-gebruikers naartoe gaan om hun wachtwoord te wijzigen (in plaats van hun wachtwoord via Google te wijzigen).

Google heeft uw identiteitsprovider (IdP) ook nodig om dit te kunnen doen:

  • Het email dat uw identiteitsprovider claimt, moet overeenkomen met het primaire e-mailadres van de gebruiker aan de Google-kant.
  • Het moet de autorisatiecode-procedure volgen.

Maak een aangepast OIDC-profiel aan.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan SSO met een externe identiteitsprovider.

    Hiervoor is beheerdersrechten voor de beveiligingsinstellingen vereist.

  2. Klik in 'SSO-profielen van derden' op 'OIDC-profiel toevoegen' .
  3. Geef het OIDC-profiel een naam.
  4. Voer de OIDC-gegevens in: Client-ID, Issuer-URL, Clientgeheim.
  5. Klik op Opslaan .
  6. Kopieer op de OIDC SSO-instellingenpagina voor het nieuwe profiel de omleidings-URI . U moet uw OAuth-client op uw identiteitsprovider bijwerken zodat deze reageert op verzoeken die deze URI gebruiken.

Om de instellingen te wijzigen, beweegt u de muis over de OIDC-details en klikt u vervolgens op Bewerken. .

Gebruik het Microsoft Entra OIDC-profiel.

Zorg ervoor dat u de volgende vereisten voor OIDC in de Microsoft Entra ID-tenant van uw organisatie hebt geconfigureerd:

Bepaal welke gebruikers SSO moeten gebruiken.

Schakel SSO in voor een organisatie-eenheid of -groep door een SSO-profiel en de bijbehorende IdP toe te wijzen. Of schakel SSO uit door 'Geen' toe te wijzen aan het SSO-profiel. U kunt ook een gemengd SSO-beleid toepassen binnen een organisatie-eenheid of -groep, bijvoorbeeld door SSO in te schakelen voor de gehele organisatie-eenheid en vervolgens uit te schakelen voor een suborganisatie-eenheid.

Als u nog geen SAML- of OIDC- profiel hebt aangemaakt, doe dat dan voordat u verdergaat. U kunt ook het voorgeconfigureerde OIDC-profiel toewijzen.

  1. Klik op 'SSO-profieltoewijzingen beheren' .
  2. Als u voor het eerst een SSO-profiel toewijst, klikt u op Aan de slag. Klik anders op Toewijzingen beheren .
  3. Selecteer aan de linkerkant de organisatie-eenheid of -groep waaraan u het SSO-profiel wilt toewijzen.
    • Als de SSO-profieltoewijzing voor een organisatie-eenheid of -groep afwijkt van uw domeinbrede profieltoewijzing, verschijnt er een waarschuwing wanneer u die organisatie-eenheid of -groep selecteert.
    • Je kunt het SSO-profiel niet per gebruiker toewijzen. In het gebruikersoverzicht kun je de instelling voor een specifieke gebruiker controleren.
  4. Kies een SSO-profieltoewijzing voor de geselecteerde organisatie-eenheid of -groep:
    • Om de organisatie-eenheid of -groep uit te sluiten van SSO, kiest u 'Geen' . Gebruikers binnen de organisatie-eenheid of -groep melden zich dan rechtstreeks aan bij Google.
    • Om een ​​andere IdP aan de organisatie-eenheid of -groep toe te wijzen, kiest u ' Een ander SSO-profiel' en selecteert u vervolgens het SSO-profiel uit de vervolgkeuzelijst.

  5. (Alleen SAML SSO-profielen) Nadat u een SAML-profiel hebt geselecteerd, kiest u een aanmeldingsoptie voor gebruikers die rechtstreeks naar een Google-service gaan zonder eerst in te loggen bij de externe identiteitsprovider van het SSO-profiel. U kunt gebruikers vragen om hun Google-gebruikersnaam en hen vervolgens doorverwijzen naar de identiteitsprovider, of u kunt vereisen dat gebruikers hun Google-gebruikersnaam en -wachtwoord invoeren.

    Opmerking: Als u ervoor kiest om gebruikers te verplichten hun Google-gebruikersnaam en -wachtwoord in te voeren, wordt de instelling 'URL voor wachtwoord wijzigen' voor dit SAML SSO-profiel (beschikbaar onder SSO-profiel > IDP-gegevens) genegeerd. Dit zorgt ervoor dat gebruikers hun Google-wachtwoorden indien nodig kunnen wijzigen.

  6. Klik op Opslaan .

  7. (Optioneel) Wijs SSO-profielen naar behoefte toe aan andere organisatie-eenheden of -groepen.

Nadat u het venster 'SSO-profieltoewijzingen beheren ' hebt gesloten, ziet u de bijgewerkte toewijzingen voor organisatie-eenheden en -groepen in het gedeelte 'SSO-profieltoewijzingen beheren' .

Een SSO-profieltoewijzing verwijderen

  1. Klik op de naam van een groep of organisatie-eenheid om de profieltoewijzingsinstellingen te openen.
  2. Vervang de bestaande toewijzingsinstelling door de instelling van de ouderorganisatie-eenheid:
    • Voor toewijzingen aan organisatie-eenheden klikt u op Overnemen .
    • Voor groepstoewijzingen klikt u op 'Verwijderen' .

Opmerking : Uw hoogste organisatie-eenheid is altijd aanwezig in de lijst met profieltoewijzingen, zelfs als het profiel is ingesteld op 'Geen'.

Zie ook


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.