Mit der Einmalanmeldung (SSO) können sich Nutzer in vielen Anwendungen gleichzeitig anmelden, ohne für jede einzeln einen Nutzernamen und ein Passwort eingeben zu müssen. Security Assertion Markup Language (SAML) ist ein XML-Standard, über den sichere Webdomains Daten zur Nutzerauthentifizierung und -autorisierung austauschen können.
Die Rollen von Dienstanbietern und Identitätsanbietern
Google bietet einen SAML-basierten SSO-Dienst, mit dem Partnerunternehmen gehostete Nutzer, die auf geschützte Inhalte zugreifen möchten, autorisieren und authentifizieren können. Google fungiert als Online-Dienstanbieter und stellt Dienste wie Google Kalender und Gmail zur Verfügung. Google-Partner fungieren als Online-Identitätsanbieter und kontrollieren Nutzernamen, Passwörter und andere Informationen, die zur Identifizierung, Authentifizierung und Autorisierung von Nutzern für Webanwendungen dienen, die von Google gehostet werden.
Viele Open-Source- und kommerzielle Identitätsanbieter können Sie bei der Implementierung der Einmalanmeldung für Google unterstützen.
SAML-Bestätigungszertifikate
Wenn Sie SSO mit externen Identitätsanbietern einrichten möchten, bei denen Google der Dienstanbieter ist, müssen Sie ein oder mehrere Bestätigungszertifikate hochladen. Das Zertifikat enthält den öffentlichen Schlüssel, mit dem die Anmeldung über den Identitätsanbieter bestätigt wird.
- Wenn Sie das externe SSO-Profil für Ihre Organisation konfigurieren, laden Sie ein Bestätigungszertifikat hoch.
- Wenn Sie ein neues SAML-SSO-Profil erstellen, können Sie zwei Zertifikate hochladen und so die Möglichkeit haben, Zertifikate zu rotieren.
Normalerweise erhalten Sie diese Zertifikate von Ihrem IdP. Sie können sie aber auch selbst generieren.
Voraussetzungen
- Das Zertifikat muss ein X.509-Zertifikat im PEM- oder DER-Format mit einem eingebetteten öffentlichen Schlüssel sein.
- Der öffentliche Schlüssel muss mit dem DSA- oder RSA-Algorithmus erstellt werden.
- Der öffentliche Schlüssel im Zertifikat muss mit dem privaten Schlüssel übereinstimmen, der zum Signieren der SAML-Antwort verwendet wurde.