SSO einrichten

Sie können die SSO bei Google als Dienstanbieter auf verschiedene Arten einrichten, je nach den Anforderungen Ihrer Organisation. Google Workspace unterstützt sowohl SAML-basierte als auch OIDC-basierte SSO.

Wenn Ihre Nutzer domainspezifische Dienst-URLs verwenden, um auf Google-Dienste zuzugreifen (z. B. https://mail.google.com/a/beispiel.de), können Sie auch verwalten, wie diese URLs mit der SSO funktionieren.

Wenn Ihre Organisation eine bedingte SSO-Weiterleitung basierend auf der IP-Adresse oder SSO für Super Admins benötigt, können Sie auch das Legacy-SSO-Profil konfigurieren.

SSO mit SAML einrichten

Hinweis

Zum Einrichten eines SAML-SSO-Profils benötigen Sie eine grundlegende Konfiguration über das Supportteam oder die Dokumentation des IdP.

  • Entitäts-ID des Identitätsanbieters: So identifiziert sich Ihr IdP bei der Kommunikation mit Google.
  • URL der Anmeldeseite: Diese Seite wird auch als SSO-URL oder SAML 2.0-Endpunkt (HTTP) bezeichnet. Hier melden sich Nutzer bei Ihrem IdP an.
  • URL für Abmeldeseite: Die Seite, auf die der Nutzer gelangt, nachdem er die Google App oder den Google-Dienst verlassen hat.
  • Passwort-URL ändern: Die Seite, auf der SSO-Nutzer ihr Passwort ändern, statt ihr Passwort mit Google zu ändern.
  • Zertifikat: Das X.509 PEM-Zertifikat von Ihrem IdP. Das Zertifikat enthält den öffentlichen Schlüssel, mit dem die Anmeldung vom IdP bestätigt wird.

Zertifikatsanforderungen

  • Das Zertifikat muss ein X.509-Zertifikat im PEM- oder DER-Format mit einem eingebetteten öffentlichen Schlüssel sein.
  • Der öffentliche Schlüssel muss mit dem DSA- oder RSA-Algorithmus erstellt werden.
  • Der öffentliche Schlüssel im Zertifikat muss mit dem privaten Schlüssel übereinstimmen, der zum Signieren der SAML-Antwort verwendet wurde.

In der Regel erhalten Sie diese Zertifikate von Ihrem IdP. Sie können sie jedoch auch selbst generieren.

SAML-SSO-Profil erstellen

So erstellen Sie ein Drittanbieter-SSO-Profil: Sie können bis zu 1.000 Profile in Ihrer Organisation erstellen.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannSSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Klicken Sie im Abschnitt Externe SSO-Profile auf SAML-Profil hinzufügen.
  3. Geben Sie für SAML-SSO-Profil einen Profilnamen ein.
  4. Optional: Wählen Sie für E‑Mail-Adresse automatisch ausfüllen die Option aus, die dem vom IdP unterstützten Format für Anmeldehinweise entspricht. Weitere Informationen finden Sie unter „E‑Mail-Adresse automatisch ausfüllen“ verwenden, um SSO-Anmeldungen zu vereinfachen.
  5. Führen Sie im Abschnitt IdP-Details die folgenden Schritte aus:
    1. Geben Sie die IDP-Entitäts-ID, die URL der Anmeldeseite und die URL der Abmeldeseite ein, die Sie von Ihrem IdP erhalten haben.
    2. Geben Sie unter URL zur Passwortänderung eine URL zur Passwortänderung für Ihren IdP ein. Nutzer verwenden diese URL, um ihr Passwort zurückzusetzen.

  6. Klicken Sie auf Zertifikat hochladen.

    Sie können bis zu zwei Zertifikate hochladen. So haben Sie die Möglichkeit, Zertifikate bei Bedarf zu rotieren.

  7. Klicken Sie auf Speichern.

  8. Kopieren und speichern Sie im Abschnitt SP-Details die Entitäts-ID und die ACS-URL. Sie benötigen diese Werte, um die Einmalanmeldung (SSO) mit Google im Steuerfeld des IdP-Administrators zu konfigurieren.

  9. Optional: Wenn Ihr IdP die Verschlüsselung von Assertions unterstützt, können Sie ein Zertifikat generieren und für ihn freigeben, um die Verschlüsselung zu aktivieren. Jedes SAML-SSO-Profil kann bis zu zwei Dienstanbieterzertifikate haben.

    1. Klicken Sie auf den Bereich Details zum Dienstanbieter, um den Bearbeitungsmodus aufzurufen.
    2. Klicken Sie unter Zertifikat des Dienstanbieters auf Zertifikat generieren.
    3. Klicken Sie auf Speichern. Kopieren Sie den Zertifikatinhalt oder laden Sie das Zertifikat als Datei herunter.
    4. Geben Sie das Zertifikat an Ihren IdP weiter.
    5. Optional: Wenn Sie ein Zertifikat rotieren müssen, kehren Sie zu den Details des Dienstanbieters zurück und klicken Sie auf Weiteres Zertifikat generieren. Geben Sie dann das neue Zertifikat für Ihren IdP frei. Wenn Sie sicher sind, dass Ihr IdP das neue Zertifikat verwendet, löschen Sie das ursprüngliche Zertifikat.

IdP konfigurieren

Wenn Sie Ihren IdP für die Verwendung dieses SSO-Profils konfigurieren möchten, geben Sie die Informationen aus dem Abschnitt Service Provider (SP) Details (Details zum Dienstanbieter) des Profils in die entsprechenden Felder in den SSO-Einstellungen Ihres IdP ein. Sowohl die ACS-URL als auch die Entitäts-ID sind für dieses Profil eindeutig.

Legacy-SSO-Profil konfigurieren

Das Legacy-SSO-Profil wird für Nutzer unterstützt, die nicht zu SSO-Profilen migriert sind. Es wird nur die Verwendung mit einem einzelnen Identitätsanbieter unterstützt.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannSSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Klicken Sie unter Externe SSO-Profile auf SAML-Profil hinzufügen.
  3. Klicken Sie unten auf der Seite IdP-Details auf Zu den Legacy-SSO-Profileinstellungen.
  4. Klicken Sie auf der Seite Legacy-SSO-Profil auf das Kästchen SSO mit externem Identitätsanbieter aktivieren.
  5. Geben Sie die folgenden Informationen für Ihren IdP ein:
    • Geben Sie die URL der Anmeldeseite und die URL der Abmeldeseite für Ihren IdP ein.

      Hinweis: Sie müssen alle URLs eingeben. Achten Sie außerdem darauf, immer HTTPS zu verwenden, z. B. https://sso.beispiel.de.

    • Klicken Sie auf Zertifikat hochladen und suchen Sie das vom IdP bereitgestellte X.509-Zertifikat. Weitere Informationen finden Sie unter Zertifikatsanforderungen.
    • Wählen Sie aus, ob ein domainspezifischer Aussteller in der SAML-Anfrage von Google verwendet werden soll.

      Wenn Sie mehrere Domains haben, die die SSO mit Ihrem IdP verwenden, verwenden Sie einen domainspezifischen Aussteller, um die richtige Domain zu ermitteln, von der die SAML-Anfrage gesendet wurde.

      • Aktiviert: Google sendet einen Aussteller für Ihre Domain: google.com/a/beispiel.de (wobei example.com Ihr primärer Google Workspace-Domainname ist).
      • Nicht angeklickt Google sendet den Standardaussteller in der SAML-Anfrage: google.com
    • Optional: Wenn Sie die SSO auf eine Gruppe von Nutzern in bestimmten IP-Adressbereichen anwenden möchten, geben Sie eine Netzwerkmaske ein. Weitere Informationen finden Sie unter Ergebnisse der Netzwerkzuordnung.

      Hinweis:Sie können die teilweise SSO auch einrichten, indem Sie das SSO-Profil bestimmten Organisationseinheiten oder Gruppen zuweisen.

    • Geben Sie eine URL zur Passwortänderung für Ihren IdP ein. Nutzer verwenden diese URL (statt die Google-Seite zum Ändern von Passwörtern), um ihr Passwort zurückzusetzen. Alle Nutzer, die ihr Passwort auf der Seite https://myaccount.google.com/ ändern möchten und keine Super Admins sind, werden an die angegebene URL weitergeleitet. Diese Einstellung gilt auch, wenn Sie die SSO nicht aktivieren. Außerdem werden Netzwerkmasken nicht angewendet.

      Hinweis:Wenn Sie hier eine URL eingeben, werden Nutzer zu dieser Seite weitergeleitet, auch wenn Sie die SSO für Ihre Organisation nicht aktiviert haben.

  6. Klicken Sie auf Speichern.

Nach dem Speichern wird das Legacy-SSO-Profil in der Tabelle SSO-Profile aufgeführt.

IdP konfigurieren

Wenn Sie Ihren IdP für die Verwendung dieses SSO-Profils konfigurieren möchten, geben Sie die Informationen aus dem Abschnitt „Service Provider (SP) Details“ des Profils in die entsprechenden Felder in Ihren IdP-SSO-Einstellungen ein. Sowohl die ACS-URL als auch die Entitäts-ID sind für dieses Profil eindeutig.

Format
ACS-URL https://accounts.google.com/a/{domain.com}/acs
, wobei {domain.com} der Workspace-Domainname Ihrer Organisation ist.
Entitäts-ID Eines der folgenden:
  • google.com
  • google.com/a/customerprimarydomain (wenn Sie bei der Konfiguration des alten Profils einen domainspezifischen Aussteller verwenden).

Legacy-SSO-Profil deaktivieren

  1. Klicken Sie in der Liste Externe SSO-Profile auf Legacy-SSO-Profil.
  2. Entfernen Sie in den Einstellungen für das Legacy-SSO-Profil das Häkchen bei SSO mit externem Identitätsanbieter aktivieren.
  3. Bestätigen Sie, dass Sie fortfahren möchten, und klicken Sie dann auf Speichern.

In der Liste SSO-Profile wird das Legacy-SSO-Profil jetzt als Deaktiviert angezeigt.

  • Für Organisationseinheiten, denen das Legacy-SSO-Profil zugewiesen ist, wird in der Spalte Zugewiesenes Profil eine Warnung angezeigt.
  • In der Spalte Zugewiesenes Profil wird für die oberste Organisationseinheit Keines angezeigt.
  • Unter SSO-Profilzuweisungen verwalten wird das Legacy-SSO-Profil als inaktiv angezeigt.

Von Legacy-SAML zu SSO-Profilen migrieren

Wenn Ihre Organisation das Legacy-SSO-Profil verwendet, empfehlen wir die Migration zu SSO-Profilen. Diese bieten mehrere Vorteile, darunter OIDC-Unterstützung, modernere APIs und mehr Flexibilität beim Anwenden von SSO-Einstellungen auf Ihre Nutzergruppen. Weitere Informationen

SSO mit OIDC einrichten

So verwenden Sie OIDC-basiertes SSO:

  1. Wählen Sie eine OIDC-Option aus: Entweder erstellen Sie ein benutzerdefiniertes OIDC-Profil, in dem Sie Informationen für Ihren OIDC-Partner angeben, oder Sie verwenden das vorkonfigurierte Microsoft Entra-OIDC-Profil.
  2. Führen Sie die Schritte unter Entscheiden, welche Nutzer SSO verwenden sollen aus, um das vorkonfigurierte OIDC-Profil ausgewählten Organisationseinheiten/Gruppen zuzuweisen.

Wenn Sie Nutzer in einer Organisationseinheit haben (z. B. in einer untergeordneten Organisationseinheit), die keine SSO benötigen, können Sie die SSO für bestimmte Nutzer auch mithilfe von Zuweisungen deaktivieren.

Hinweis:Die Google Cloud-Befehlszeile unterstützt derzeit keine erneute Authentifizierung mit OIDC.

Hinweis

Zum Einrichten eines benutzerdefinierten OIDC-Profils benötigen Sie eine grundlegende Konfiguration über das Supportteam oder die Dokumentation des IdP.

  • Aussteller-URL: Die vollständige URL des Autorisierungsservers des Identitätsanbieters.
  • Ein OAuth-Client, der durch seine Client-ID identifiziert und durch einen Clientschlüssel authentifiziert wird.
  • Passwort-URL ändern: Die Seite, auf der SSO-Nutzer ihr Passwort ändern, statt ihr Passwort mit Google zu ändern.

Außerdem benötigt Google Ihren IdP für Folgendes:

  • Die email-Anforderung von Ihrem IdP muss mit der primären E-Mail-Adresse des Nutzers auf Google-Seite übereinstimmen.
  • Es muss der Autorisierungscode-Vorgang verwendet werden.

Benutzerdefiniertes OIDC-Profil erstellen

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannSSO mit Drittanbieter-IdP.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Klicken Sie unter Externe SSO-Profile auf OIDC-Profil hinzufügen.
  3. Geben Sie einen Namen für das OIDC-Profil ein.
  4. Geben Sie die OIDC-Details ein: Client-ID, Aussteller-URL und Clientschlüssel.
  5. Klicken Sie auf Speichern.
  6. Kopieren Sie auf der Seite „OIDC-SSO-Einstellungen“ für das neue Profil den Weiterleitungs-URI. Sie müssen Ihren OAuth-Client bei Ihrem IdP aktualisieren, damit er auf Anfragen mit diesem URI antworten kann.

Wenn Sie die Einstellungen bearbeiten möchten, bewegen Sie den Mauszeiger auf OIDC-Details und klicken Sie dann auf „Bearbeiten“ .

Microsoft Entra OIDC-Profil verwenden

Achten Sie darauf, dass Sie die folgenden Voraussetzungen für OIDC im Microsoft Entra ID-Mandanten Ihrer Organisation konfiguriert haben:

  • Der Microsoft Entra ID-Mandant muss eine bestätigte Domain haben.
  • Endnutzer müssen Microsoft 365-Lizenzen haben.
  • Der Nutzername (primäre E-Mail-Adresse) des Google Workspace-Administrators, der das SSO-Profil zuweist, muss mit der primären E-Mail-Adresse des Azure AD-Administratorkontos Ihres Mandanten übereinstimmen.

Legen Sie fest, welche Nutzer SSO verwenden sollen.

Aktivieren Sie SSO für eine Organisationseinheit oder Gruppe, indem Sie ein SSO-Profil und den zugehörigen IdP zuweisen. Sie können sie auch deaktivieren, indem Sie für das SSO-Profil „Keine“ zuweisen. Sie können auch eine gemischte SSO-Richtlinie in einer Organisationseinheit oder Gruppe anwenden. Beispiel: Sie aktivieren SSO für eine Organisationseinheit als Ganzes und dann für eine Unterorganisationseinheit.

Wenn Sie noch kein SAML- oder OIDC-Profil erstellt haben, tun Sie das, bevor Sie fortfahren. Alternativ können Sie das vorkonfigurierte OIDC-Profil zuweisen.

  1. Klicken Sie auf SSO-Profilzuweisungen verwalten.
  2. Wenn Sie zum ersten Mal ein SSO-Profil zuweisen, klicken Sie auf „Jetzt starten“. Klicken Sie andernfalls auf Zuweisungen verwalten.
  3. Wählen Sie links die Organisationseinheit oder Gruppe aus, der Sie das SSO-Profil zuweisen möchten.
    • Wenn das zugewiesene SSO-Profil für eine Organisationseinheit oder Gruppe von dem abweicht, das domainweit zugewiesen ist, wird bei der Auswahl der Organisationseinheit oder Gruppe mit einer Warnung auf die Überschreibung hingewiesen.
    • Das SSO-Profil kann nicht auf Nutzerbasis zugewiesen werden. In der Ansicht „Nutzer“ können Sie die Einstellung für einen bestimmten Nutzer prüfen.
  4. Wählen Sie für die ausgewählte Organisationseinheit oder Gruppe eine SSO-Profilzuweisung aus:
    • Wenn Sie die Organisationseinheit oder Gruppe aus der SSO ausschließen möchten, wählen Sie Keine aus. Nutzer in der Organisationseinheit oder Gruppe melden sich direkt mit Google an.
    • Wenn Sie der Organisationseinheit oder Gruppe einen weiteren IdP zuweisen möchten, wählen Sie Anderes SSO-Profil und dann das SSO-Profil aus der Drop-down-Liste aus.

  5. Nur SAML-SSO-Profile: Wählen Sie nach der Auswahl eines SAML-Profils eine Anmeldeoption für Nutzer aus, die einen Google-Dienst direkt aufrufen, ohne sich zuerst beim externen IdP des SSO-Profils anzumelden. Sie können Nutzer dazu auffordern, ihren Google-Nutzernamen einzugeben und sie dann an den IdP weiterleiten, oder die Eingabe ihres Google-Nutzernamens und ‑Passworts erzwingen.

    Hinweis:Wenn Sie festgelegt haben, dass Nutzer ihren Google-Nutzernamen und ihr Google-Passwort eingeben müssen, wird die Einstellung Passwort-URL ändern für dieses SAML-SSO-Profil (verfügbar unter SSO-Profil > IDP-Details) ignoriert. So können Nutzer ihre Google-Passwörter bei Bedarf ändern.

  6. Klicken Sie auf Speichern.

  7. Optional: Weisen Sie anderen Organisationseinheiten oder Gruppen nach Bedarf SSO-Profile zu.

Nachdem Sie die Karte SSO-Profilzuweisungen verwalten geschlossen haben, sehen Sie im Bereich SSO-Profilzuweisungen die aktualisierten Zuweisungen für Organisationseinheiten und Gruppen.

SSO-Profilzuweisung entfernen

  1. Klicken Sie auf den Namen einer Gruppe oder Organisationseinheit, um die Einstellungen für die Profilzuweisung zu öffnen.
  2. Ersetzen Sie die vorhandene Zuweisungseinstellung durch die Einstellung der übergeordneten Organisationseinheit:
    • Bei Zuweisungen von Organisationseinheiten: Klicken Sie auf Übernehmen.
    • Bei Gruppenaufgaben: Klicken Sie auf Nicht festgelegt.

Hinweis: Ihre oberste Organisationseinheit ist immer in der Liste der Profilzuweisungen enthalten, auch wenn das Profil auf „Kein“ festgelegt ist.

Weitere Informationen


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.