Mit der Einmalanmeldung (SSO) können sich Nutzer in vielen Anwendungen gleichzeitig anmelden, ohne für jede einzeln einen Nutzernamen und ein Passwort eingeben zu müssen. Security Assertion Markup Language (SAML) ist ein XML-Standard, über den sichere Webdomains Daten zur Nutzerauthentifizierung und -autorisierung austauschen können.
Die Rollen von Dienstanbietern und Identitätsanbietern
Google bietet einen SAML-basierten SSO-Dienst, mit dem Partnerunternehmen gehostete Nutzer autorisieren und authentifizieren können, die auf sichere Inhalte zugreifen möchten. Google ist der Online-Dienstanbieter und stellt Dienste wie Google Kalender und Gmail bereit. Die Google-Partner sind Online-Identitätsanbieter und kontrollieren Nutzernamen, Passwörter und weitere Informationen, die zur Identifizierung, Authentifizierung und Autorisierung von Nutzern für Webanwendungen dienen, die von Google gehostet werden.
Viele Open-Source- und kommerzielle Identitätsanbieter können Sie bei der Implementierung der Einmalanmeldung für Google unterstützen.
SAML-Bestätigungszertifikate
Wenn Sie SSO mit externen Identitätsanbietern einrichten möchten, bei denen Google der Dienstanbieter ist, müssen Sie ein oder mehrere Bestätigungszertifikate hochladen. Das Zertifikat enthält den öffentlichen Schlüssel, mit dem die Anmeldung vom Identitätsanbieter bestätigt wird.
- Wenn Sie das externe SSO-Profil für Ihre Organisation konfigurieren, laden Sie ein Bestätigungszertifikat hoch.
- Wenn Sie ein neues SAML-SSO-Profil erstellen, können Sie zwei Zertifikate hochladen. So haben Sie die Möglichkeit, Zertifikate zu rotieren.
In der Regel erhalten Sie diese Zertifikate von Ihrem IdP. Sie können sie jedoch auch selbst generieren.
Voraussetzungen
- Das Zertifikat muss ein X.509-Zertifikat im PEM- oder DER-Format mit einem eingebetteten öffentlichen Schlüssel sein.
- Der öffentliche Schlüssel muss mit dem DSA- oder RSA-Algorithmus erstellt werden.
- Der öffentliche Schlüssel im Zertifikat muss mit dem privaten Schlüssel übereinstimmen, der zum Signieren der SAML-Antwort verwendet wurde.