SSO einrichten

Je nach den Anforderungen Ihrer Organisation können Sie die SSO mit Google als Dienstanbieter auf verschiedene Arten einrichten. Google Workspace unterstützt sowohl SAML-basierte als auch OIDC-basierte SSO.

Wenn Ihre Nutzer domainspezifische Dienst-URLs verwenden, um auf Google-Dienste zuzugreifen (z. B. https://mail.google.com/a/beispiel.de), können Sie auch verwalten, wie diese URLs mit der SSO funktionieren.

Wenn Ihre Organisation eine bedingte SSO-Weiterleitung basierend auf der IP-Adresse oder SSO für Super Admins benötigt, haben Sie auch die Möglichkeit, das Legacy-SSO-Profil zu konfigurieren.

SSO mit SAML einrichten

Hinweis

Zum Einrichten eines SAML-SSO-Profils benötigen Sie eine grundlegende Konfiguration über das Supportteam oder die Dokumentation des IdP.

  • Entitäts-ID des Identitätsanbieters: So identifiziert sich Ihr IdP bei der Kommunikation mit Google.
  • URL der Anmeldeseite: Diese Seite wird auch als SSO-URL oder SAML 2.0-Endpunkt (HTTP) bezeichnet. Hier melden sich Nutzer bei Ihrem IdP an.
  • URL für Abmeldeseite: Die Seite, auf die der Nutzer gelangt, nachdem er die Google App oder den Google-Dienst verlassen hat.
  • URL zur Passwortänderung: Die Seite, auf der SSO-Nutzer ihr Passwort ändern, statt ihr Passwort mit Google zu ändern.
  • Zertifikat: Das X.509 PEM-Zertifikat von Ihrem IdP. Das Zertifikat enthält den öffentlichen Schlüssel, mit dem die Anmeldung vom IdP bestätigt wird.

Zertifikatsanforderungen

  • Das Zertifikat muss ein X.509-Zertifikat im PEM- oder DER-Format mit einem eingebetteten öffentlichen Schlüssel sein.
  • Der öffentliche Schlüssel muss mit dem DSA- oder RSA-Algorithmus erstellt werden.
  • Der öffentliche Schlüssel im Zertifikat muss mit dem privaten Schlüssel übereinstimmen, der zum Signieren der SAML-Antwort verwendet wurde.

In der Regel erhalten Sie diese Zertifikate von Ihrem IdP. Sie können sie aber auch selbst generieren.

SAML-SSO-Profil erstellen

Folgen Sie dieser Anleitung, um ein externes SSO-Profil zu erstellen. Sie können in Ihrer Organisation bis zu 1.000 Profile erstellen.

  1. Öffnen Sie in der Admin-Konsole im Dreistrich-Menü und dann Sicherheit und dann Authentifizierung und dann SSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Klicken Sie im Bereich Externe SSO-Profile auf SAML-Profil hinzufügen.
  3. Geben Sie für SAML-SSO-Profil einen Profilnamen ein.
  4. Optional: Wählen Sie für E‑Mail-Adresse automatisch ausfüllen die Option aus, die dem vom IdP unterstützten Format für Anmeldehinweise entspricht. Weitere Informationen finden Sie unter „E‑Mail-Adresse automatisch ausfüllen“ verwenden, um SSO-Anmeldungen zu vereinfachen.
  5. Führen Sie im Bereich IdP-Details die folgenden Schritte aus:
    1. Geben Sie die Entitäts-ID des Identitätsanbieters, die URL der Anmeldeseite und die URL der Abmeldeseite ein, die Sie von Ihrem IdP erhalten haben.
    2. Geben Sie unter URL zur Passwortänderung eine URL zur Passwortänderung für Ihren IdP ein. Nutzer verwenden diese URL, um ihre Passwörter zurückzusetzen.

  6. Klicken Sie auf Zertifikat hochladen.

    Sie können bis zu zwei Zertifikate hochladen, sodass Sie die Option haben, Zertifikate bei Bedarf zu rotieren.

  7. Klicken Sie auf Speichern.

  8. Kopieren und speichern Sie im Bereich Details zum Dienstanbieter die Entitäts-ID und die ACS-URL. Sie benötigen diese Werte, um die Einmalanmeldung (SSO) mit Google im Steuerfeld des IdP-Administrators zu konfigurieren.

  9. Optional: Wenn Ihr IdP die Verschlüsselung von Assertions unterstützt, können Sie ein Zertifikat generieren und für ihn freigeben, um die Verschlüsselung zu aktivieren. Jedes SAML-SSO-Profil kann bis zu zwei Dienstanbieterzertifikate haben.

    1. Klicken Sie auf den Bereich Details zum Dienstanbieter , um den Bearbeitungsmodus aufzurufen.
    2. Klicken Sie unter Zertifikat des Dienstanbieters auf Zertifikat generieren.
    3. Klicken Sie auf Speichern. Kopieren Sie den Zertifikatsinhalt oder laden Sie ihn als Datei herunter.
    4. Geben Sie das Zertifikat für Ihren IdP frei.
    5. Optional: Wenn Sie ein Zertifikat rotieren müssen, kehren Sie zu den Details zum Dienstanbieter zurück und klicken Sie auf Weiteres Zertifikat generieren. Geben Sie dann das neue Zertifikat für Ihren IdP frei. Sobald Sie sicher sind, dass Ihr IdP das neue Zertifikat verwendet, löschen Sie das ursprüngliche Zertifikat.

IdP konfigurieren

Wenn Sie Ihren IdP so konfigurieren möchten, dass er dieses SSO-Profil verwendet, geben Sie die Informationen aus dem Bereich Details zum Dienstanbieter des Profils in die entsprechenden Felder in den SSO-Einstellungen Ihres IdP ein. Sowohl die ACS-URL als auch die Entitäts-ID sind für dieses Profil eindeutig.

Legacy-SSO-Profil konfigurieren

Das Legacy-SSO-Profil wird für Nutzer unterstützt, die noch nicht zu SSO-Profilen migriert sind. Es kann nur mit einem einzigen IdP verwendet werden.

  1. Öffnen Sie in der Admin-Konsole im Dreistrich-Menü und dann Sicherheit und dann Authentifizierung und dann SSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Klicken Sie unter Externe SSO-Profile auf SAML-Profil hinzufügen.
  3. Klicken Sie unten auf der Seite IdP-Details auf Zu den Einstellungen für das Legacy-SSO-Profil.
  4. Klicken Sie auf der Seite Legacy-SSO-Profil auf das Kästchen SSO mit externem Identitätsanbieter aktivieren.
  5. Geben Sie die folgenden Informationen für Ihren IdP ein:
    • Geben Sie die URL der Anmeldeseite und die URL der Abmeldeseite für Ihren IdP ein.

      Hinweis: Sie müssen alle URLs eingeben. Achten Sie außerdem darauf, immer HTTPS zu verwenden, z. B. https://sso.beispiel.de.

    • Klicken Sie auf Zertifikat hochladen und suchen Sie das vom IdP bereitgestellte X.509-Zertifikat. Weitere Informationen finden Sie unter Zertifikatsanforderungen.
    • Wählen Sie aus, ob ein domainspezifischer Aussteller in der SAML-Anfrage von Google verwendet werden soll.

      Wenn Sie mehrere Domains haben, die die SSO mit Ihrem IdP verwenden, verwenden Sie einen domainspezifischen Aussteller, um die richtige Domain zu ermitteln, von der die SAML-Anfrage gesendet wurde.

      • Angehakt Google sendet einen Aussteller für Ihre Domain: google.com/a/beispiel.de (wobei beispiel.de Ihr primärer Google Workspace-Domainname ist).
      • Nicht angehakt Google sendet den Standardaussteller in der SAML-Anfrage: google.com
    • Optional: Wenn Sie die SSO auf eine Gruppe von Nutzern in bestimmten IP-Adressbereichen anwenden möchten, geben Sie eine Netzwerkmaske ein. Weitere Informationen finden Sie unter Ergebnisse der Netzwerkzuordnung.

      Hinweis: Sie können die teilweise SSO auch einrichten, indem Sie das SSO-Profil bestimmten Organisationseinheiten oder Gruppen zuweisen.

    • Geben Sie eine URL zur Passwortänderung für Ihren IdP ein. Nutzer verwenden diese URL (statt die Google-Seite zum Ändern von Passwörtern), um ihr Passwort zurückzusetzen. Alle Nutzer, die ihr Passwort auf der Seite https://myaccount.google.com/ ändern möchten und keine Super Admins sind, werden an die angegebene URL weitergeleitet. Diese Einstellung gilt auch, wenn Sie die SSO nicht aktivieren. Außerdem werden Netzwerkmasken nicht angewendet.

      Hinweis:Wenn Sie hier eine URL eingeben, werden Nutzer zu dieser Seite weitergeleitet, auch wenn Sie die SSO für Ihre Organisation nicht aktiviert haben.

  6. Klicken Sie auf Speichern.

Nach dem Speichern wird das Legacy-SSO-Profil in der Tabelle SSO-Profile aufgeführt.

IdP konfigurieren

Wenn Sie Ihren IdP so konfigurieren möchten, dass er dieses SSO-Profil verwendet, geben Sie die Informationen aus dem Bereich „Details zum Dienstanbieter“ des Profils in die entsprechenden Felder in den SSO-Einstellungen Ihres IdP ein. Sowohl die ACS-URL als auch die Entitäts-ID sind für dieses Profil eindeutig.

Format
ACS-URL https://accounts.google.com/a/{domain.com}/acs
Dabei ist {domain.com} der Workspace-Domainname Ihrer Organisation.
Entitäts-ID Eine der folgenden Optionen:
  • google.com
  • google.com/a/customerprimarydomain (wenn Sie bei der Konfiguration des Legacy-Profils einen domainspezifischen Aussteller verwenden möchten).

Legacy-SSO-Profil deaktivieren

  1. Klicken Sie in der Liste Externe SSO-Profile auf Legacy-SSO-Profil.
  2. Entfernen Sie in den Einstellungen für das Legacy-SSO-Profil das Häkchen bei SSO mit externem Identitätsanbieter aktivieren.
  3. Bestätigen Sie, dass Sie fortfahren möchten, und klicken Sie auf Speichern.

In der Liste SSO-Profile wird das Legacy-SSO-Profil jetzt als Deaktiviert angezeigt.

  • In Organisationseinheiten, denen das Legacy-SSO-Profil zugewiesen ist, wird in der Spalte Zugewiesenes Profil eine Warnung angezeigt.
  • In der obersten Organisationseinheit wird in der Spalte Zugewiesenes Profil die Option Keine angezeigt.
  • Unter SSO-Profilzuweisungen verwalten wird das Legacy-SSO-Profil als Inaktiv angezeigt.

Von Legacy-SAML zu SSO-Profilen migrieren

Wenn Ihre Organisation das Legacy-SSO-Profil verwendet, empfehlen wir die Migration zu SSO-Profilen, die mehrere Vorteile bieten, darunter OIDC-Unterstützung, modernere APIs und mehr Flexibilität bei der Anwendung von SSO-Einstellungen auf Ihre Nutzergruppen. Weitere Informationen.

SSO mit OIDC einrichten

Folgen Sie dieser Anleitung, um die OIDC-basierte SSO zu verwenden:

  1. Wählen Sie eine OIDC-Option aus: Erstellen Sie entweder ein benutzerdefiniertes OIDC-Profil, in dem Sie Informationen für Ihren OIDC-Partner angeben, oder verwenden Sie das vorkonfigurierte Microsoft Entra-OIDC-Profil.
  2. Führen Sie die Schritte unter Entscheiden, welche Nutzer SSO verwenden sollen aus, um das vorkonfigurierte OIDC-Profil ausgewählten Organisationseinheiten/Gruppen zuzuweisen.

Wenn Sie Nutzer in einer Organisationseinheit haben (z. B. in einer untergeordneten Organisationseinheit), die keine SSO benötigen, können Sie die SSO für bestimmte Nutzer auch mithilfe von Zuweisungen deaktivieren.

Hinweis: Die Google Cloud-Befehlszeile unterstützt derzeit keine erneute Authentifizierung mit OIDC.

Hinweis

Zum Einrichten eines benutzerdefinierten OIDC-Profils benötigen Sie eine grundlegende Konfiguration über das Supportteam oder die Dokumentation des IdP.

  • Aussteller-URL : Die vollständige URL des IdP-Autorisierungsservers.
  • Ein OAuth-Client, der durch seine Client-ID identifiziert und durch einen Clientschlüssel authentifiziert wird.
  • URL zur Passwortänderung : Die Seite, auf der SSO-Nutzer ihr Passwort ändern, statt ihr Passwort mit Google zu ändern.

Außerdem muss Ihr IdP Folgendes tun:

  • Die email-Anforderung von Ihrem IdP muss mit der primären E‑Mail-Adresse des Nutzers auf Google-Seite übereinstimmen.
  • Es muss der Autorisierungscode-Vorgang verwendet werden.

Benutzerdefiniertes OIDC-Profil erstellen

  1. Öffnen Sie in der Admin-Konsole im Dreistrich-Menü und dann Sicherheit und dann Authentifizierung und dann SSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Klicken Sie unter Externe SSO-Profile auf OIDC-Profil hinzufügen.
  3. Geben Sie einen Namen für das OIDC-Profil ein.
  4. Geben Sie die OIDC-Details ein: Client-ID, Aussteller-URL, Clientschlüssel.
  5. Klicken Sie auf Speichern.
  6. Kopieren Sie auf der Seite „OIDC-SSO-Einstellungen“ für das neue Profil den Weiterleitungs-URI. Sie müssen Ihren OAuth-Client auf Ihrem IdP aktualisieren, damit er auf Anfragen mit diesem URI antwortet.

Wenn Sie Einstellungen bearbeiten möchten, bewegen Sie den Mauszeiger auf die OIDC-Details und klicken Sie dann auf „Bearbeiten“ .

Microsoft Entra-OIDC-Profil verwenden

Achten Sie darauf, dass Sie die folgenden Voraussetzungen für OIDC im Microsoft Entra ID-Mandanten Ihrer Organisation konfiguriert haben:

  • Der Microsoft Entra ID-Mandant muss eine bestätigte Domain haben.
  • Endnutzer müssen Microsoft 365-Lizenzen haben.
  • Der Nutzername (primäre E‑Mail-Adresse) des Google Workspace-Administrators, der das SSO-Profil zuweist, muss mit der primären E‑Mail-Adresse des Azure AD-Administratorkontos Ihres Mandanten übereinstimmen.

Legen Sie fest, welche Nutzer SSO verwenden sollen.

Aktivieren Sie SSO für eine Organisationseinheit oder Gruppe, indem Sie ein SSO-Profil und den zugehörigen IdP zuweisen. Sie können sie auch deaktivieren, indem Sie für das SSO-Profil „Keine“ zuweisen. Sie können auch eine gemischte SSO-Richtlinie in einer Organisationseinheit oder Gruppe anwenden. Beispiel: Sie aktivieren SSO für eine Organisationseinheit als Ganzes und dann für eine Unterorganisationseinheit.

Wenn Sie noch kein SAML- oder OIDC -Profil erstellt haben, tun Sie das, bevor Sie fortfahren. Alternativ können Sie das vorkonfigurierte OIDC-Profil zuweisen.

  1. Klicken Sie auf SSO-Profilzuweisungen verwalten.
  2. Wenn Sie zum ersten Mal ein SSO-Profil zuweisen, klicken Sie auf "Jetzt starten". Klicken Sie andernfalls auf Zuweisungen verwalten.
  3. Wählen Sie links die Organisationseinheit oder Gruppe aus, der Sie das SSO-Profil zuweisen möchten.
    • Wenn das zugewiesene SSO-Profil für eine Organisationseinheit oder Gruppe von dem abweicht, das domainweit zugewiesen ist, wird bei der Auswahl der Organisationseinheit oder Gruppe mit einer Warnung auf die Überschreibung hingewiesen.
    • Das SSO-Profil kann nicht auf Nutzerbasis zugewiesen werden. In der Ansicht „Nutzer“ können Sie die Einstellung für einen bestimmten Nutzer prüfen.
  4. Wählen Sie für die ausgewählte Organisationseinheit oder Gruppe eine SSO-Profilzuweisung aus:
    • Wenn Sie die Organisationseinheit oder Gruppe aus der SSO ausschließen möchten, wählen Sie Keine aus. Nutzer in der Organisationseinheit oder Gruppe melden sich direkt mit Google an.
    • Wenn Sie der Organisationseinheit oder Gruppe einen weiteren IdP zuweisen möchten, wählen Sie Anderes SSO-Profil und dann das SSO-Profil aus der Drop-down- Liste aus.

  5. Nur SAML-SSO-Profile: Wählen Sie nach der Auswahl eines SAML-Profils eine Anmeldeoption für Nutzer aus, die einen Google-Dienst direkt aufrufen, ohne sich zuerst beim externen IdP des SSO-Profils anzumelden. Sie können Nutzer dazu auffordern, ihren Google-Nutzernamen einzugeben und sie dann an den IdP weiterleiten, oder die Eingabe ihres Google-Nutzernamens und -Passworts erzwingen.

    Hinweis:Wenn Sie festgelegt haben, dass Nutzer ihren Google-Nutzernamen und ihr Google-Passwort eingeben müssen, wird die Einstellung URL zur Passwortänderung für dieses SAML-SSO-Profil (verfügbar unter „SSO-Profil“ > „IdP-Details“) ignoriert. So können Nutzer ihre Google-Passwörter bei Bedarf ändern.

  6. Klicken Sie auf Speichern.

  7. Optional: Weisen Sie anderen Organisationseinheiten oder Gruppen nach Bedarf SSO-Profile zu.

Nachdem Sie die Karte SSO-Profilzuweisungen verwalten geschlossen haben, sehen Sie im Bereich SSO-Profilzuweisungen die aktualisierten Zuweisungen für Organisationseinheiten und Gruppen.

SSO-Profilzuweisung entfernen

  1. Klicken Sie auf den Namen einer Gruppe oder Organisationseinheit, um die Einstellungen für die Profilzuweisung zu öffnen.
  2. Ersetzen Sie die vorhandene Zuweisungseinstellung durch die Einstellung der übergeordneten Organisationseinheit:
    • Bei Zuweisungen für Organisationseinheiten: Klicken Sie auf Übernehmen.
    • Bei Gruppenzuweisungen: Klicken Sie auf Nicht festgelegt.

Hinweis: Ihre oberste Organisationseinheit ist immer in der Liste der Profil zuweisungen vorhanden, auch wenn für das Profil „Keine“ festgelegt ist.

Weitere Informationen


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.