Google unterstützt als Identitätsanbieter (IdP) den Anmeldehinweis Parameter, um die Anmeldung für Nutzer zu vereplachen, wenn sie vom Dienstanbieter (SP) initiierte Anmeldungen ausführen. Wenn Anmeldehinweise vorhanden sind, verwendet der Google-Authentifizierungsserver den Hinweis, um Folgendes zu tun:
- Das E‑Mail-Feld vorab auszufüllen: Der Authentifizierungsserver füllt die E‑Mail-Adresse im Anmeldeformular vorab aus, wodurch der Nutzer einen Schritt spart.
- Direkte Anmeldung zu ermöglichen: Wenn der mit dem Hinweis verknüpfte Nutzer bereits eine aktive Sitzung bei Google hat, meldet der Server ihn automatisch an, was für eine nahtlose Nutzererfahrung sorgt.
Anforderungen an den Dienstanbieter
Wenn Ihre Anwendung die Identität des Nutzers kennt, der sich anmelden möchte, kann sie den Parameter für den Anmeldehinweis (login_hint) in die HTTP-Anfrage an die SSO-URL einfügen. Der Wert von login_hint sollte die NameID des Nutzers sein, wie im folgenden Beispiel:
https://www.accounts.google.com/o/saml2/idp?idpid=<customer_id>&login_hint=<email_id_of_the_user>
Hinweis: Der SAML-IdP von Google verwendet nicht die NameID, die möglicherweise im Subject-Element der AuthnRequest vorhanden ist. Verwenden Sie login_hint stattdessen.
Anmeldeverhalten bei Verwendung des Anmeldehinweises
In der folgenden Tabelle wird zusammengefasst, wie sich die Nutzeranmeldung bei Google unterscheidet, wenn in der SAML-Anfrage Parameter für Anmeldehinweise vorhanden sind:
| Angemeldete Nutzer | Wert des Anmeldehinweises | Verhalten |
|---|---|---|
| Keine | Nicht vorhanden | Der Nutzer sieht die reguläre Google-Anmeldeseite. |
| user@domain.com | Die E‑Mail-Adresse auf der Google-Anmeldeseite ist mit user@domain.com vorab ausgefüllt. | |
| user1@domain.com | Nicht vorhanden | Die Google-Anmeldeseite wird umgangen und Nutzer1 wird direkt beim Dienstanbieter angemeldet. |
| user1@domain.com | ||
| user2@domain.com | Die Google-Anmeldeseite ist mit user2@domain.com vorab ausgefüllt. | |
| nutzer1@domain.com nutzer2@domain.com |
Nicht vorhanden | Auf dem Bildschirm zur Auswahl des Google-Kontos werden alle angemeldeten Nutzer angezeigt. |
| user1@domain.com |
Die Google-Anmeldeseite wird umgangen und Nutzer1 wird direkt beim Dienstanbieter angemeldet. |
|
| user2@domain.com | Die Google-Anmeldeseite wird umgangen und Nutzer2 wird direkt beim Dienstanbieter angemeldet. | |
|
nutzer3@domain.com |
Die Google-Anmeldeseite ist mit user3@domain.com vorab ausgefüllt. |