Google als IdP unterstützt den Parameter login_hint, um die Anmeldung für Nutzer zu vereinfachen, wenn sie vom Dienstanbieter (SP) initiierte Anmeldungen durchführen. Wenn Anmeldehinweise vorhanden sind, verwendet der Google-Authentifizierungsserver den Hinweis, um:
- E‑Mail-Feld vorab ausfüllen: Der Authentifizierungsserver füllt die E‑Mail-Adresse im Anmeldeformular vorab aus, sodass der Nutzer einen Schritt weniger ausführen muss.
- Direkte Anmeldung aktivieren: Wenn der mit dem Hinweis verknüpfte Nutzer bereits eine aktive Sitzung bei Google hat, meldet der Server ihn automatisch an.
Anforderungen an den Dienstanbieter
Wenn Ihre Anwendung die Identität des Nutzers kennt, der sich anmelden möchte, kann sie den Parameter „login_hint“ (login_hint) in die HTTP-Anfrage an die SSO-URL einfügen. Der Wert von login_hint sollte die NameID des Nutzers sein, wie im folgenden Beispiel:
https://www.accounts.google.com/o/saml2/idp?idpid=<customer_id>&login_hint=<email_id_of_the_user>
Hinweis: Der SAML-IdP von Google verwendet nicht die NameID, die möglicherweise im Subject-Element der AuthnRequest vorhanden ist. Verwenden Sie stattdessen login_hint.
Anmeldeverhalten bei Verwendung des Anmeldehinweises
In der folgenden Tabelle wird zusammengefasst, wie sich die Nutzeranmeldung bei Google unterscheidet, wenn der Parameter „login_hints“ in der SAML-Anfrage vorhanden ist:
| Angemeldete Nutzer | Wert für Anmeldehinweis | Verhalten |
|---|---|---|
| – | Nicht verfügbar | Der Nutzer sieht die normale Google-Anmeldeseite. |
| nutzer@domain.de | Die E-Mail-Adresse auf der Google-Anmeldeseite ist mit nutzer@domain.com vorausgefüllt. | |
| nutzer1@domain.com | Nicht verfügbar | Die Google-Anmeldeseite wird umgangen und user1 wird direkt beim Dienstanbieter angemeldet. |
| nutzer1@domain.com | ||
| nutzer2@domain.com | Die Google-Anmeldeseite ist mit nutzer2@beispiel.de vorausgefüllt. | |
| nutzer1@domain.com nutzer2@domain.com |
Nicht verfügbar | Auf dem Bildschirm zur Auswahl des Google-Kontos werden alle angemeldeten Nutzer angezeigt. |
| nutzer1@domain.com |
Die Google-Anmeldeseite wird umgangen und user1 wird direkt beim Dienstanbieter angemeldet. |
|
| nutzer2@domain.com | Die Google-Anmeldeseite wird umgangen und Nutzer2 wird direkt beim Dienstanbieter angemeldet. | |
|
nutzer3@domain.de |
Die Google-Anmeldeseite mit dem vorausgefüllten Nutzernamen nutzer3@beispiel.de. |