Google unterstützt als Identitätsanbieter (IdP) den Parameter Anmeldehinweis , um die Anmeldung für Nutzer zu vereinfachen, wenn sie vom Dienstanbieter (SP) initiierte Anmeldungen durchführen. Wenn Anmeldehinweise vorhanden sind, verwendet der Google-Authentifizierungsserver den Hinweis für Folgendes:
- E‑Mail-Feld vorab ausfüllen: Der Authentifizierungsserver füllt die E‑Mail Adresse im Anmeldeformular vorab aus, wodurch der Nutzer einen Schritt spart.
- Direkte Anmeldung aktivieren: Wenn der mit dem Hinweis verknüpfte Nutzer bereits eine aktive Sitzung bei Google hat, meldet der Server ihn automatisch an, was für eine nahtlose Nutzererfahrung sorgt.
Anforderungen an den Dienstanbieter
Wenn Ihre Anwendung die Identität des Nutzers kennt, der sich anmelden möchte, kann sie den Parameter für den Anmeldehinweis (login_hint) in die HTTP-Anfrage an die SSO-URL einfügen. Der Wert von login_hint sollte die NameID des Nutzers sein, wie im folgenden Beispiel:
https://www.accounts.google.com/o/saml2/idp?idpid=<customer_id>&login_hint=<email_id_of_the_user>
Hinweis: Der SAML-IdP von Google verwendet nicht die NameID, die möglicherweise im
Subject-Element der AuthnRequest vorhanden ist. Verwenden Sie stattdessen login_hint.
Anmeldeverhalten bei Verwendung des Anmeldehinweises
In der folgenden Tabelle wird zusammengefasst, wie sich die Nutzeranmeldung bei Google unterscheidet, wenn in der SAML-Anfrage Parameter für Anmeldehinweise vorhanden sind:
| Angemeldete Nutzer | Wert für Anmeldehinweis | Verhalten |
|---|---|---|
| – | Nicht vorhanden | Der Nutzer sieht die normale Google-Anmeldeseite. |
| nutzer@domain.de | Die E‑Mail-Adresse auf der Google-Anmeldeseite ist mit nutzer@domain.de vorab ausgefüllt. | |
| nutzer1@domain.de | Nicht verfügbar | Die Google-Anmeldeseite wird umgangen und Nutzer1 wird direkt beim Dienstanbieter angemeldet. |
| nutzer1@domain.de | ||
| nutzer2@domain.de | Die Google-Anmeldeseite ist mit nutzer2@domain.de vorab ausgefüllt. | |
| nutzer1@domain.de nutzer2@domain.de |
Nicht vorhanden | Auf dem Bildschirm zur Auswahl des Google-Kontos werden alle angemeldeten Nutzer angezeigt. |
| nutzer1@domain.de |
Die Google-Anmeldeseite wird umgangen und Nutzer1 wird direkt beim Dienstanbieter angemeldet. |
|
| nutzer2@domain.de | Die Google-Anmeldeseite wird umgangen und Nutzer2 wird direkt beim Dienstanbieter angemeldet. | |
|
nutzer3@domain.de |
Die Google-Anmeldeseite ist mit nutzer3@domain.de vorab ausgefüllt. |