Configurazione del servizio SSO

Puoi configurare il servizio SSO con Google come fornitore di servizi in diversi modi, a seconda delle esigenze della tua organizzazione. Google Workspace supporta i protocolli SSO basati sia su SAML che su OIDC.

Se gli utenti utilizzano URL di servizio specifici del dominio per accedere ai servizi Google (ad esempio, https://mail.google.com/a/example.com), puoi anche gestire il modo in cui funzionano questi URL con il servizio SSO.

Se la tua organizzazione ha bisogno di un reindirizzamento SSO condizionale basato sull'indirizzo IP o di un SSO per i super amministratori, hai anche la possibilità di configurare il profilo SSO legacy.

Configurare l'SSO con SAML

Prima di iniziare

Per configurare un profilo SSO SAML, avrai bisogno di una configurazione di base fornita dal team di assistenza o della documentazione dell'IdP:

  • ID entità IdP: è il modo in cui l'IdP si identifica quando comunica con Google.
  • URL pagina di accesso: noto anche come URL SSO o SAML 2.0 Endpoint (HTTP). È qui che gli utenti accedono al tuo IdP.
  • URL pagina di uscita: la pagina in cui l'utente arriva dopo aver chiuso l'app o il servizio Google.
  • URL di modifica della password: la pagina in cui gli utenti SSO potranno cambiare la password (anziché cambiarla con Google).
  • Certificato: certificato X.509 PEM fornito dal tuo IdP. Il certificato contiene la chiave pubblica che verifica l'accesso dall'IdP.

Requisiti di certificato

  • Il certificato deve essere un certificato X.509 in formato PEM o DER con una chiave pubblica incorporata.
  • La chiave pubblica deve essere stata generata con gli algoritmi DSA o RSA.
  • La chiave pubblica nel certificato deve corrispondere alla chiave privata utilizzata per firmare la risposta SAML.

In genere, ricevi questi certificati dal tuo IdP. Tuttavia, puoi anche generarli autonomamente.

Creare un profilo SSO SAML

Segui questi passaggi per creare un profilo SSO di terze parti. Puoi creare fino a 1000 profili nella tua organizzazione.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAutenticazionee poiSSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  2. Nella sezione Profili SSO di terze parti, fai clic su Aggiungi profilo SAML.
  3. In Profilo SSO SAML, inserisci un nome per il profilo.
  4. (Facoltativo) In Compilazione automatica dell'email, seleziona l'opzione che corrisponde al formato del suggerimento di accesso supportato dall'IdP. Per maggiori dettagli, vedi Utilizzare la compilazione automatica dell'email per semplificare gli accessi SSO.
  5. Nella sezione Dettagli dell'IdP, completa i seguenti passaggi:
    1. Inserisci l'ID entità IdP, l'URL della pagina di accesso e l'URL della pagina di uscita che hai ricevuto dall'IdP.
    2. In URL per la modifica della password, inserisci un URL per la modifica della password per l'IdP. Gli utenti accederanno a questo URL per reimpostare le password.

  6. Fai clic su Carica certificato.

    Puoi caricare fino a due certificati, dandoti la possibilità di ruotarli quando necessario.

  7. Fai clic su Salva.

  8. Nella sezione Dettagli del fornitore di servizi, copia e salva i valori ID entità e URL ACS. Questi valori sono necessari per configurare il servizio SSO con Google nel pannello di controllo dell'amministratore dell'IdP.

  9. (Facoltativo) Se l'IdP supporta la crittografia delle asserzioni, puoi generare e condividere un certificato con l'IdP per attivare la crittografia. Ogni profilo SSO SAML può avere fino a 2 certificati SP.

    1. Fai clic sulla sezione Dettagli del fornitore di servizi per accedere alla modalità di modifica.
    2. In Certificato SP, fai clic su Genera certificato.
    3. Fai clic su Salva. Copia i contenuti del certificato o scaricali come file.
    4. Condividi il certificato con l'IdP.
    5. (Facoltativo) Se devi eseguire la rotazione di un certificato, torna ai Dettagli del fornitore di servizi e fai clic su Genera un altro certificato, quindi condividi il nuovo certificato con l'IdP. Una volta che hai la certezza che l'IdP utilizza il nuovo certificato, elimina quello originale.

Configurare l'IdP

Per configurare l'IdP in modo che utilizzi questo profilo SSO, inserisci le informazioni della sezione Dettagli del fornitore di servizi (SP) del profilo nei campi appropriati delle impostazioni SSO dell'IdP. Sia l'URL ACS che l'ID entità sono univoci per questo profilo.

Configurare il profilo SSO legacy

Il profilo SSO legacy è supportato per gli utenti che non hanno eseguito la migrazione ai profili SSO. Supporta solo l'utilizzo con un singolo IdP.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAutenticazionee poiSSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  2. In Profili SSO di terze parti, fai clic su Aggiungi profilo SAML.
  3. Nella parte inferiore della pagina Dettagli dell'IdP, fai clic su Vai alle impostazioni del profilo SSO legacy.
  4. Nella pagina Profilo SSO legacy, seleziona la casella Attiva SSO con provider di identità di terze parti.
  5. Inserisci le seguenti informazioni per il tuo IdP:
    • Inserisci l'URL della pagina di accesso e l'URL della pagina di uscita per il tuo IdP.

      Nota: è necessario inserire tutti gli URL. Gli URL devono utilizzare il protocollo HTTPS, ad esempio https://sso.example.com.

    • Fai clic su Carica certificato e individua e carica il certificato X.509 fornito dall'IdP. Per ulteriori informazioni, vedi Requisiti di certificato.
    • Scegli se utilizzare un emittente specifico per il dominio nella richiesta SAML di Google.

      Se hai più domini che usano SSO con il tuo IdP, utilizza un emittente specifico del dominio per identificare il dominio corretto che emette la richiesta SAML.

      • Opzione selezionata: Google invia un emittente specifico per il tuo dominio, google.com/a/example.com (dove example.com è il tuo nome di dominio principale di Google Workspace)
      • Opzione non selezionata : Google invia l'emittente standard nella richiesta SAML: google.com
    • (Facoltativo) Per applicare il servizio SSO a un insieme di utenti in intervalli di indirizzi IP specifici, inserisci una maschera di rete. Per ulteriori informazioni, vedi Risultati della mappatura della rete.

      Nota:puoi configurare il servizio SSO parziale anche assegnando il profilo SSO a unità organizzative o gruppi specifici.

    • Inserisci un URL per la modifica della password per l'IdP. Gli utenti accederanno a questo URL (anziché alla pagina di modifica della password di Google) per reimpostare le password. Tutti gli utenti che non sono super amministratori e che provano a modificare la propria password all'indirizzo https://myaccount.google.com/ verranno reindirizzati all'URL specificato. Questa impostazione si applica anche se il servizio SSO non è attivo. Le maschere di rete non si applicano.

      Nota: se inserisci un URL qui, gli utenti vengono indirizzati a questa pagina anche se non attivi SSO per la tua organizzazione.

  6. Fai clic su Salva.

Dopo il salvataggio, il profilo SSO legacy viene visualizzato nella tabella Profili SSO.

Configurare l'IdP

Per configurare l'IdP in modo che utilizzi questo profilo SSO, inserisci le informazioni della sezione Dettagli del fornitore di servizi (SP) del profilo nei campi appropriati delle impostazioni SSO dell'IdP. Sia l'URL ACS che l'ID entità sono univoci per questo profilo.

Formato
URL ACS https://accounts.google.com/a/{domain.com}/acs
Dove {domain.com} è il nome di dominio di Workspace della tua organizzazione
ID entità Una delle seguenti opzioni:
  • google.com
  • google.com/a/customerprimarydomain (se scegli di utilizzare un emittente specifico per il dominio durante la configurazione del profilo legacy).

Disattivare il profilo SSO legacy

  1. Nell'elenco Profili SSO di terze parti, fai clic su Profilo SSO legacy.
  2. Nelle impostazioni del profilo SSO legacy, deseleziona Attiva SSO con provider di identità di terze parti.
  3. Conferma che vuoi continuare, quindi fai clic su Salva.

Nell'elenco Profili SSO, il profilo SSO legacy ora viene visualizzato come Disattivato.

  • Le unità organizzative a cui è assegnato il profilo SSO legacy mostreranno un avviso nella colonna Profilo assegnato.
  • L'unità organizzativa di primo livello mostrerà Nessuno nella colonna Profilo assegnato.
  • In Gestisci assegnazione di profili SSO, il profilo SSO legacy viene visualizzato come inattivo.

Eseguire la migrazione da SAML legacy ai profili SSO

Se la tua organizzazione utilizza il profilo SSO legacy, ti consigliamo di eseguire la migrazione ai profili SSO, che offrono diversi vantaggi, tra cui il supporto OIDC, API più moderne e una maggiore flessibilità nell'applicazione delle impostazioni SSO ai gruppi di utenti. Scopri di più.

Configurare l'SSO con OIDC

Per utilizzare l'SSO basato su OIDC:

  1. Scegli un'opzione OIDC: crea un profilo OIDC personalizzato, in cui fornisci informazioni per il tuo partner OIDC, oppure utilizza il profilo OIDC Microsoft Entra preconfigurato.
  2. Segui i passaggi descritti in Decidere quali utenti devono utilizzare il servizio SSO per assegnare il profilo OIDC preconfigurato a unità organizzative/gruppi selezionati.

Se hai utenti all'interno di un'unità organizzativa (ad esempio in un'unità organizzativa secondaria) che non hanno bisogno del servizio SSO, puoi anche utilizzare le assegnazioni per disattivare il servizio SSO per questi utenti.

Nota:al momento l'interfaccia a riga di comando di Google Cloud non supporta la riautenticazione con OIDC.

Prima di iniziare

Per configurare un profilo OIDC personalizzato, avrai bisogno di una configurazione di base fornita dal team di assistenza o della documentazione dell'IdP:

  • URL emittente : l'URL completo del server di autorizzazione IdP.
  • Un client OAuth, identificato dal suo ID client e autenticato da un client secret.
  • URL di modifica della password : la pagina in cui gli utenti SSO potranno cambiare la password (anziché cambiarla con Google).

Inoltre, Google ha bisogno che l'IdP esegua le seguenti operazioni:

  • L'attestazione email dell'IdP deve corrispondere all'indirizzo email principale dell'utente sul lato Google.
  • Deve utilizzare il flusso del codice di autorizzazione.

Creare un profilo OIDC personalizzato

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAutenticazionee poiSSO con IdP terzo.

    È necessario disporre del privilegio di amministratore Impostazioni di sicurezza.

  2. In Profili SSO di terze parti, fai clic su Aggiungi profilo OIDC.
  3. Dai un nome al profilo OIDC.
  4. Inserisci i dettagli OIDC: ID client, URL emittente, client secret.
  5. Fai clic su Salva.
  6. Nella pagina delle impostazioni SSO OIDC per il nuovo profilo, copia l'URI di reindirizzamento. Dovrai aggiornare il client OAuth sul tuo IdP in modo che risponda alle richieste utilizzando questo URI.

Per modificare le impostazioni, passa il mouse sopra Dettagli OIDC, quindi fai clic su Modifica .

Utilizzare il profilo OIDC Microsoft Entra

Assicurati di aver configurato i seguenti prerequisiti per OIDC nel tenant di Microsoft Entra ID dell'organizzazione:

Decidere quali utenti devono utilizzare il servizio SSO

Attiva il servizio SSO per un'unità organizzativa o un gruppo assegnando un profilo SSO e l'IdP associato. In alternativa, disattiva SSO assegnando "Nessuno" al profilo SSO. Puoi anche applicare una policy SSO mista all'interno di un'unità organizzativa o di un gruppo, ad esempio attivando SSO per l'intera unità organizzativa e poi disattivandolo per un'unità organizzativa secondaria.

Se non hai creato un profilo SAML o OIDC, fallo prima di continuare. In alternativa, puoi assegnare il profilo OIDC preconfigurato.

  1. Fai clic su Gestisci assegnazione di profili SSO.
  2. Se è la prima volta che assegni il profilo SSO, fai clic su Inizia. In caso contrario, fai clic su Gestisci assegnazioni.
  3. A sinistra, seleziona l'unità organizzativa o il gruppo a cui vuoi assegnare il profilo SSO.
    • Se l'assegnazione del profilo SSO per un'unità organizzativa o un gruppo è diversa da quella per l'intero dominio, verrà visualizzato un avviso di override quando selezioni l'unità organizzativa o il gruppo.
    • Non puoi assegnare il profilo SSO a livello di singolo utente. La visualizzazione Utenti consente di controllare l'impostazione per un utente specifico.
  4. Scegli un'assegnazione del profilo SSO per l'unità organizzativa o il gruppo selezionati:
    • Per escludere l'unità organizzativa o il gruppo dal servizio SSO, scegli Nessuno. Gli utenti dell'unità organizzativa o del gruppo accederanno direttamente con Google.
    • Per assegnare un altro IdP all'unità organizzativa o al gruppo, scegli Un altro profilo SSO, quindi seleziona il profilo SSO dall'elenco a discesa.

  5. (Solo profili SSO con SAML) Dopo aver selezionato un profilo SAML, scegli un'opzione di accesso per gli utenti che vanno direttamente a un servizio Google senza prima accedere all'IdP di terze parti del profilo SSO. Puoi chiedere agli utenti di inserire il proprio nome utente Google e poi di reindirizzarli all'IdP oppure richiedere agli utenti di inserire il nome utente e la password di Google.

    Nota:se scegli di richiedere agli utenti di inserire il nome utente e la password di Google, l'impostazione URL per la modifica della password per questo profilo SSO SAML (disponibile in Profilo SSO > Dettagli dell'IdP) viene ignorata. In questo modo, gli utenti possono modificare le password di Google in base alle esigenze.

  6. Fai clic su Salva.

  7. (Facoltativo) Assegna i profili SSO ad altre unità organizzative o ad altri gruppi in base alle esigenze.

Dopo aver chiuso la scheda Gestisci assegnazione di profili SSO, vedrai le assegnazioni aggiornate per le unità organizzative e i gruppi nella sezione Gestisci assegnazione di profili SSO.

Rimuovere un'assegnazione del profilo SSO

  1. Fai clic sul nome di un gruppo o di un'unità organizzativa per aprire le impostazioni di assegnazione del profilo.
  2. Sostituisci l'impostazione di assegnazione esistente con l'impostazione dell'unità organizzativa principale:
    • Per le assegnazioni di unità organizzative, fai clic su Eredita.
    • Per le assegnazioni di gruppi, fai clic su Annulla impostazione.

Nota: l'unità organizzativa di primo livello è sempre presente nell'elenco di assegnazione del profilo, anche se il profilo è impostato su Nessuno.

Vedi anche


Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.