Konfigurera SSO

Du kan konfigurera SSO med Google som tjänsteleverantör på flera olika sätt, beroende på din organisations behov. Google Workspace stöder både SAML-baserad och OIDC-baserad SSO.

Om dina användare använder domänspecifika tjänst-URL:er för att komma åt Googles tjänster (till exempel https://mail.google.com/a/example.com) kan du också hantera hur dessa URL:er fungerar med SSO .

Om din organisation behöver villkorlig SSO-omdirigering baserat på IP-adress, eller SSO för superadministratörer, har du också möjlighet att konfigurera den äldre SSO-profilen .

Konfigurera SSO med SAML

Innan du börjar

För att konfigurera en SAML SSO-profil behöver du grundläggande konfiguration från din IdP:s supportteam eller dokumentation:

  • IdP-enhets-ID : Så här identifierar sig din IdP när den kommunicerar med Google.
  • Inloggningssidans URL : Detta kallas även SSO-URL eller SAML 2.0 Endpoint (HTTP). Det är här användare loggar in på din IdP.
  • URL till utloggningssida : Sidan dit användaren hamnar efter att ha avslutat Google-appen eller -tjänsten.
  • Ändra lösenords-URL : Sidan dit SSO-användare går för att ändra sitt lösenord (istället för att ändra sitt lösenord hos Google).
  • Certifikat : X.509 PEM-certifikatet från din IdP. Certifikatet innehåller den offentliga nyckeln som verifierar inloggning från IdP:n.

Certifikatkrav

  • Certifikatet måste vara ett PEM- eller DER-formaterat X.509-certifikat med en inbäddad offentlig nyckel.
  • Den offentliga nyckeln måste genereras med DSA- eller RSA-algoritmerna.
  • Den offentliga nyckeln i certifikatet måste matcha den privata nyckeln som används för att signera SAML-svaret.

Du får vanligtvis dessa certifikat från din IdP. Du kan dock också generera dem själv .

Skapa en SAML SSO-profil

Följ dessa steg för att skapa en tredjeparts SSO-profil. Du kan skapa upp till 1 000 profiler i din organisation.

  1. I Googles administratörskonsol går du till Meny och sedan Säkerhet och sedan Autentisering och sedan SSO med tredjeparts-IdP.

    Kräver administratörsbehörighet för säkerhetsinställningar .

  2. I avsnittet SSO-profiler för tredje part klickar du på Lägg till SAML-profil .
  3. För SAML SSO-profil anger du ett profilnamn.
  4. (Valfritt) För Autofyll-e-post väljer du det alternativ som matchar det format för inloggningsledtråd som stöds av din IdP. För mer information, gå till Använd Autofyll-e-post för att förenkla SSO-inloggningar .
  5. I avsnittet IdP-information , slutför följande steg:
    1. Ange IDP-enhets-ID : t, URL:en för inloggningssidan och URL:en för utloggningssidan som du fick från din IdP.
    2. För Ändra lösenords-URL anger du en URL för att ändra lösenord för din IdP. Användare går till den här URL:en för att återställa sina lösenord.

  6. Klicka på Ladda upp certifikat .

    Du kan ladda upp upp till två certifikat, vilket ger dig möjlighet att rotera certifikat vid behov.

  7. Klicka på Spara .

  8. I avsnittet SP-detaljer kopierar och sparar du enhets-ID och ACS-URL . Du behöver dessa värden för att konfigurera SSO med Google i din IdP-administratörskontrollpanel.

  9. (Valfritt) Om din IdP har stöd för kryptering av assertions kan du generera och dela ett certifikat med din IdP för att aktivera kryptering. Varje SAML SSO-profil kan ha upp till 2 SP-certifikat.

    1. Klicka på avsnittet SP-detaljer för att gå in i redigeringsläget.
    2. För SP-certifikat klickar du på Generera certifikat .
    3. Klicka på Spara . Kopiera certifikatets innehåll eller ladda ner det som en fil.
    4. Dela certifikatet med din IdP.
    5. (Valfritt) För att rotera ett certifikat, gå tillbaka till SP-detaljer och klicka på Generera ett annat certifikat . Dela sedan det nya certifikatet med din IdP. När du är säker på att din IdP använder det nya certifikatet tar du bort det ursprungliga certifikatet.

Konfigurera din IdP

För att konfigurera din IdP för att använda den här SSO-profilen, ange informationen från avsnittet Tjänsteleverantörsdetaljer (SP) i profilen i lämpliga fält i dina IdP SSO-inställningar. Både ACS-URL:en och enhets-ID:t är unika för den här profilen.

Konfigurera den äldre SSO-profilen

Den äldre SSO-profilen stöds för användare som inte har migrerat till SSO-profiler. Den stöder endast användning med en enda IdP.

  1. I Googles administratörskonsol går du till Meny och sedan Säkerhet och sedan Autentisering och sedan SSO med tredjeparts-IdP.

    Kräver administratörsbehörighet för säkerhetsinställningar .

  2. I Tredjeparts SSO-profiler klickar du på Lägg till SAML-profil .
  3. Längst ner på sidan med IdP-detaljer klickar du på Gå till äldre inställningar för SSO-profil .
  4. På sidan för äldre SSO-profil markerar du rutan Aktivera SSO med identitetsleverantör från tredje part .
  5. Fyll i följande information för din IdP:
    • Ange URL:en för inloggningssidan och URL:en för utloggningssidan för din IdP.

      Obs : Alla webbadresser måste anges och måste använda HTTPS, till exempel https://sso.example.com.

    • Klicka på Ladda upp certifikat och leta reda på och ladda upp X.509-certifikatet som tillhandahålls av din IdP. För mer information, se Certifikatkrav .
    • Välj om du vill använda en domänspecifik utfärdare i SAML-begäran från Google.

      Om du har flera domäner som använder SSO med din IdP, använd en domänspecifik utfärdare för att identifiera rätt domän som utfärdar SAML-begäran.

      • Markerat att Google skickar en utfärdare specifik för din domän: google.com/a/example.com (där example.com är ditt primära Google Workspace-domännamn)
      • Omarkerad Google skickar standardutfärdaren i SAML-begäran: google.com
    • (Valfritt) Om du vill tillämpa SSO på en uppsättning användare inom specifika IP-adressintervall anger du en nätverksmask. För mer information, se Resultat av nätverksmappning .

      Obs! Du kan också konfigurera partiell SSO genom att tilldela SSO-profilen till specifika organisationsenheter eller grupper.

    • Ange en URL för att ändra lösenord för din IdP. Användare kommer att gå till den här URL:en (istället för Googles sida för lösenordsändring) för att återställa sina lösenord. Alla användare, förutom avancerade administratörer, som försöker ändra sitt lösenord på https://myaccount.google.com/ kommer att dirigeras till den URL du anger. Den här inställningen gäller även om du inte aktiverar SSO. Nätverksmasker gäller inte heller.

      Obs! Om du anger en URL här dirigeras användare till den här sidan även om du inte aktiverar SSO för din organisation.

  6. Klicka på Spara .

Efter att du har sparat listas den äldre SSO-profilen i tabellen SSO-profiler .

Konfigurera din IdP

För att konfigurera din IdP för att använda den här SSO-profilen, ange informationen från avsnittet Tjänsteleverantörsdetaljer (SP) i profilen i lämpliga fält i dina IdP SSO-inställningar. Både ACS-URL:en och enhets-ID:t är unika för den här profilen.

Formatera
ACS-URL https://accounts.google.com/a/{domän.com}/acs
Där {domain.com} är din organisations Workspace-domännamn
Enhets-ID Antingen av följande:
  • google.com
  • google.com/a/ kundprimärdomän (om du väljer att använda en domänspecifik utfärdare när du konfigurerar den äldre profilen).

Inaktivera den äldre SSO-profilen

  1. I listan SSO-profiler för tredje part klickar du på Äldre SSO-profil .
  2. I inställningarna för den äldre SSO-profilen avmarkerar du Aktivera SSO med tredjeparts identitetsleverantör .
  3. Bekräfta att du vill fortsätta och klicka sedan på Spara .

I listan över SSO-profiler visas den äldre SSO-profilen nu som inaktiverad .

  • Organisationsenheter som har tilldelats den äldre SSO-profilen visar en avisering i kolumnen Tilldelad profil .
  • Den översta organisationsenheten visar Ingen i kolumnen Tilldelad profil .
  • I Hantera SSO-profiltilldelningar visas den äldre SSO-profilen som inaktiv .

Migrera från äldre SAML- till SSO-profiler

Om din organisation använder den äldre SSO-profilen rekommenderar vi att du migrerar till SSO-profiler, vilka erbjuder flera fördelar, inklusive OIDC-stöd, modernare API:er och större flexibilitet vid tillämpning av SSO-inställningar på dina användargrupper. Läs mer .

Konfigurera SSO med OIDC

Följ dessa steg för att använda OIDC-baserad SSO:

  1. Välj ett OIDC-alternativ – skapa antingen en anpassad OIDC-profil där du anger information för din OIDC-partner, eller använd den förkonfigurerade Microsoft Entra OIDC-profilen.
  2. Följ stegen i Bestäm vilka användare som ska använda SSO för att tilldela den förkonfigurerade OIDC-profilen till valda organisationsenheter/grupper.

Om du har användare inom en organisationsenhet (till exempel i en underorganisationsenhet) som inte behöver SSO kan du också använda tilldelningar för att inaktivera SSO för dessa användare.

Obs! Google Clouds kommandoradsgränssnitt har för närvarande inte stöd för omautentisering med OIDC.

Innan du börjar

För att konfigurera en anpassad OIDC-profil behöver du grundläggande konfiguration från din IdP:s supportteam eller dokumentation:

  • Utfärdarens URL Den fullständiga URL:en för IdP-auktoriseringsservern.
  • En OAuth-klient, identifierad av sitt klient-ID och autentiserad av en klienthemlighet .
  • Ändra lösenords-URL Sidan dit SSO-användare går för att ändra sitt lösenord (istället för att ändra sitt lösenord hos Google).

Google behöver också din IdP för att göra detta:

  • email postadressen från din IdP måste matcha användarens primära e-postadress på Googles sida.
  • Den måste använda auktoriseringskodflödet.

Skapa en anpassad OIDC-profil

  1. I Googles administratörskonsol går du till Meny och sedan Säkerhet och sedan Autentisering och sedan SSO med tredjeparts-IdP.

    Kräver administratörsbehörighet för säkerhetsinställningar .

  2. I Tredjeparts SSO-profiler klickar du på Lägg till OIDC-profil .
  3. Namnge OIDC-profilen.
  4. Ange OIDC-uppgifter: klient-ID, utfärdarens URL, klienthemlighet.
  5. Klicka på Spara .
  6. På sidan med OIDC SSO-inställningar för den nya profilen kopierar du omdirigerings-URI:n . Du måste uppdatera din OAuth-klient på din IdP för att svara på förfrågningar med denna URI.

För att redigera inställningar, håll muspekaren över OIDC-detaljerna och klicka sedan på Redigera. .

Använd Microsoft Entra OIDC-profilen

Se till att du har konfigurerat följande förutsättningar för OIDC i din organisations Microsoft Entra ID-klient:

  • Microsoft Entra ID-klienten måste domänverifieras .
  • Slutanvändare måste ha Microsoft 365-licenser .
  • Användarnamnet (primär e-postadress) för Google Workspace-administratören som tilldelar SSO-profilen måste matcha den primära e-postadressen för ditt Azure AD-klientadministratörskonto.

Bestäm vilka användare som ska använda SSO

Aktivera SSO för en organisationsenhet eller grupp genom att tilldela en SSO-profil och dess tillhörande IdP. Eller inaktivera SSO genom att tilldela "Ingen" för SSO-profilen. Du kan också tillämpa en blandad SSO-policy inom en organisationsenhet eller grupp, till exempel aktivera SSO för organisationsenheten som helhet och sedan inaktivera den för en underorganisationsenhet.

Om du inte har skapat en SAML- eller OIDC -profil, gör det innan du fortsätter. Eller så kan du tilldela den förkonfigurerade OIDC-profilen.

  1. Klicka på Hantera SSO-profiltilldelningar .
  2. Om det här är första gången du tilldelar SSO-profilen klickar du på Kom igång. Annars klickar du på Hantera tilldelningar .
  3. Till vänster väljer du den organisationsenhet eller grupp som du tilldelar SSO-profilen till.
    • Om SSO-profiltilldelningen för en organisationsenhet eller grupp skiljer sig från din domänövergripande profiltilldelning visas en varning om åsidosättning när du väljer den organisationsenheten eller gruppen.
    • Du kan inte tilldela SSO-profilen per användare. I vyn Användare kan du kontrollera inställningarna för en specifik användare.
  4. Välj en SSO-profiltilldelning för den valda organisationsenheten eller gruppen:
    • Om du vill exkludera organisationsenheten eller gruppen från SSO väljer du Ingen . Användare i organisationsenheten eller gruppen loggar in direkt med Google.
    • För att tilldela en annan IdP till organisationsenheten eller gruppen, välj En annan SSO-profil och välj sedan SSO-profilen från rullgardinsmenyn.

  5. (Endast SAML SSO-profiler) När du har valt en SAML-profil väljer du ett inloggningsalternativ för användare som går direkt till en Google-tjänst utan att först logga in på SSO-profilens tredjeparts-IdP. Du kan be användarna om deras Google-användarnamn och sedan omdirigera dem till IdP:n eller kräva att användarna anger sitt Google-användarnamn och lösenord.

    Obs! Om du väljer att kräva att användarna anger sitt Google-användarnamn och lösenord ignoreras inställningen Ändra lösenords-URL för denna SAML SSO-profil (tillgänglig under SSO-profil > IDP-detaljer). Detta säkerställer att användarna kan ändra sina Google-lösenord efter behov.

  6. Klicka på Spara .

  7. (Valfritt) Tilldela SSO-profiler till andra organisationsenheter eller grupper efter behov.

När du har stängt kortet Hantera SSO-profiltilldelningar ser du de uppdaterade tilldelningarna för organisationsenheter och grupper i avsnittet Hantera SSO-profiltilldelningar .

Ta bort en SSO-profiltilldelning

  1. Klicka på namnet på en grupp eller organisationsenhet för att öppna dess inställningar för profiltilldelning.
  2. Ersätt den befintliga tilldelningsinställningen med den överordnade organisationsenhetens inställning:
    • För tilldelningar av organisationsenheter – klicka på Ärv .
    • För grupptilldelningar – klicka på Avaktivera .

Obs ! Din högsta organisationsenhet finns alltid med i profiltilldelningslistan, även om Profil är inställd på Ingen.

Se även


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.