Active Directory-Einmalanmeldung (SSO)

Einmalanmeldung (SSO)

Mit Google Cloud Directory Sync werden Nutzer bereits automatisiert erstellt und verwaltet und der Lebenszyklus ist an die Konten in Active Directory gebunden.

GCDS synchronisiert zwar Nutzerkontodetails, aber keine Passwörter. Falls die Authentifizierung eines Nutzers in der Google Cloud erforderlich ist, muss die Authentifizierung zurück an Active Directory delegiert werden. Dies geschieht mithilfe von AD FS und mithilfe des SAML-Protokolls (Security Assertion Markup Language). Diese Einrichtung sorgt dafür, dass nur Active Directory auf Nutzeranmeldeinformationen zugreifen kann und geltende Richtlinien oder MFA-Mechanismen (Multi-Faktor-Authentifizierung) durchsetzt. Außerdem wird dadurch die Einmalanmeldung (SSO) zwischen Ihrer lokalen Umgebung und Google ermöglicht.

Weitere Informationen zur Einmalanmeldung (SSO) finden Sie unter Einmalanmeldung (SSO).

SAML-Profil erstellen

Zum Konfigurieren der Einmalanmeldung (SSO) mit AD FS erstellen Sie zuerst ein SAML-Profil in Ihrem Cloud Identity- oder Google Workspace-Konto. Das SAML-Profil enthält die Einstellungen für Ihre AD FS-Instanz, einschließlich der URL und des Signaturzertifikats.

Später weisen Sie das SAML-Profil dann bestimmten Gruppen oder Organisationseinheiten zu.

So erstellen Sie ein neues SAML-Profil in Ihrem Cloud Identity- oder Google Workspace-Konto:

1. Gehen Sie in der Admin-Konsole zu SSO mit Drittanbieter-IdP.

   Zu „SSO mit Drittanbieter-IdP“

2. Klicken Sie auf Externe SSO-Profile > SAML-Profil hinzufügen.

3. Geben Sie auf der Seite SAML SSO Profile (SAML-SSO-Profil) die folgenden Einstellungen ein:

   • Name: AD FS

   • IdP-Entitäts-ID

     https://ADFS/adfs/services/trust
     

   • URL für Anmeldeseite

     https://ADFS/adfs/ls/
     

   • URL für Abmeldeseite

     https://ADFS/adfs/ls/?wa=wsignout1.0
     

   • Passwort-URL ändern

     https://ADFS/adfs/portal/updatepassword/
     

   Ersetzen Sie in allen URLs ADFS durch den vollqualifizierten Domainnamen Ihres AD FS-Servers:

   Laden Sie noch kein Bestätigungszertifikat hoch.

4. Klicken Sie auf Speichern.

   Die angezeigte Seite SAML-SSO-Profil enthält zwei URLs:

   • Entitäts-ID
   • ACS-URL

   Sie benötigen diese URLs im nächsten Abschnitt, wenn Sie AD FS konfigurieren.

AD FS konfigurieren

Zum Konfigurieren des AD FS-Servers erstellen Sie eine Vertrauensstellung der vertrauenden Seite.

Vertrauensstellung der vertrauenden Seite erstellen

Erstellen Sie eine neue Vertrauensstellung der vertrauenden Seite:

1. Stellen Sie eine Verbindung zu Ihrem AD FS-Server her und öffnen Sie das AD FS Management MMC-Snap-in.
2. Wählen Sie AD FS > Vertrauensstellungen der vertrauenden Seite.
3. Klicken Sie im Bereich Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.
4. Wählen Sie auf der Willkommensseite des Assistenten Claims aware und klicken Sie dann auf Start.
5. Wählen Sie auf der Seite Datenquelle wählen Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
6. Geben Sie auf der Seite Anzeigename angeben einen Namen wie Google Cloud ein und klicken Sie auf Weiter.
7. Klicken Sie auf der Seite Zertifikat konfigurieren auf Weiter.

8. Wählen Sie auf der Seite URL konfigurieren Unterstützung für SAML 2.0 WebSSO-Protokoll aktivieren aus und geben Sie die ACS-URL aus Ihrem SAML-Profil ein. Klicken Sie anschließend auf Weiter.

   

9. Fügen Sie auf der Seite IDs konfigurieren die Entitäts-ID aus Ihrem SAML-Profil hinzu.

   

   Klicken Sie anschließend auf Weiter.

10. Wählen Sie auf der Seite Zugriffssteuerungsrichtlinie wählen eine geeignete Zugriffsrichtlinie aus und klicken Sie auf Weiter.

11. Prüfen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung Ihre Einstellungen und klicken Sie dann auf Weiter.

12. Deaktivieren Sie auf der letzten Seite das Kästchen Anspruchsausstellungs-Richtlinie konfigurieren und schließen Sie den Assistenten.

    In der Liste der Vertrauensstellungen der vertrauenden Seite wird ein neuer Eintrag angezeigt.

Abmelde-URL konfigurieren

Wenn Nutzer die Einmalanmeldung (SSO) für mehrere Anwendungen verwenden können, muss auch die Möglichkeit bestehen, sich über mehrere Anwendungen abzumelden.

1. Öffnen Sie die Vertrauensstellung der vertrauenden Seite, die Sie gerade erstellt haben.
2. Wählen Sie den Tab Endpunkte aus.

3. Klicken Sie auf SAML hinzufügen und konfigurieren Sie die folgenden Einstellungen:

   1. Endpunkttyp: SAML-Abmeldung
   2. Bindung: POST

   3. Vertrauenswürdige URL:

      https://ADFS/adfs/ls/?wa=wsignout1.0
      

      Ersetzen Sie ADFS durch den vollständig qualifizierten Domainnamen Ihres AD FS-Servers.

      

4. Klicken Sie auf OK.

5. Klicken Sie auf OK, um das Dialogfeld zu schließen.

Anspruchszuordnung konfigurieren

Nachdem AD FS einen Nutzer authentifiziert hat, wird eine SAML-Assertion ausgegeben. Diese Assertion dient als Beleg für eine erfolgreiche Authentifizierung. In der Assertion muss angegeben werden, wer authentifiziert wurde – das ist der Zweck der NameID-Anforderung.

Damit Google Log-in die NameID mit einem Nutzer verknüpfen kann, muss NameID die primäre E-Mail-Adresse dieses Nutzers enthalten. Je nach Zuordnung der Kontoidentitäten zwischen Active Directory und Cloud Identity oder der G Suite muss die NameID den UPN oder die E-Mail-Adresse des Active Directory-Kontos enthalten. Die Domains müssen nach Bedarf ersetzt werden.

AD FS-Tokensignaturzertifikat exportieren

Nachdem AD FS einen Nutzer authentifiziert hat, wird eine SAML-Assertion an Cloud Identity oder Google Workspace übergeben. Damit Cloud Identity und Google Workspace die Integrität und Authentifizierung der Assertion prüfen können, signiert AD FS die Assertion mit einem speziellen Tokensignaturschlüssel und stellt ein Zertifikat bereit, mit dem Cloud Identity oder Google Workspace die Signatur prüfen können.

So exportieren Sie das Signaturzertifikat aus AD FS:

1. Klicken Sie in der AD FS-Verwaltungskonsole auf Dienst > Zertifikate.
2. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das unter Tokensignatur aufgeführt ist, und klicken Sie dann auf Zertifikat anzeigen.
3. Gehen Sie zum Tab Details.
4. Klicken Sie auf In Datei kopieren, um den Zertifikatexport-Assistenten zu öffnen.
5. Klicken Sie im Assistenten für den Zertifikatsexport auf Weiter.
6. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Nein, privaten Schlüssel nicht exportieren.
7. Wählen Sie auf der Seite Dateiformat exportieren Base-64-codiert X.509 (.CER) aus und klicken Sie auf Weiter.
8. Geben Sie auf der Seite Zu exportierende Datei einen lokalen Dateinamen an und klicken Sie auf Weiter.
9. Klicken Sie auf Beenden, um das Dialogfeld zu schließen.
10. Kopieren Sie das exportierte Zertifikat auf Ihren lokalen Computer.

SAML-Profil ausfüllen

Verwenden Sie das Signaturzertifikat, um die Konfiguration Ihres SAML-Profils abzuschließen:

1. Kehren Sie zur Admin-Konsole zurück und gehen Sie zu Sicherheit > Authentifizierung > SSO mit Drittanbieter-IdP.

   Zu „SSO mit Drittanbieter-IdP“

2. Öffnen Sie das SAML-Profil AD FS, das Sie zuvor erstellt haben.

3. Klicken Sie auf den Abschnitt IdP-Details, um die Einstellungen zu bearbeiten.

4. Klicken Sie auf Zertifikat hochladen und wählen Sie das Tokensignaturzertifikat aus, das Sie aus AD FS exportiert haben.

5. Klicken Sie auf Speichern.

Das SAML-Profil ist vollständig, Sie müssen es aber noch zuweisen.

SAML-Profil zuweisen

Wählen Sie die Nutzer aus, auf die das neue SAML-Profil angewendet werden soll:

1. Klicken Sie in der Admin-Konsole auf der Seite SSO mit Drittanbieter-IdPs auf SSO-Profilzuweisungen verwalten > Verwalten.

   Zur Seite „SSO-Profilzuweisungen verwalten“

2. Wählen Sie im linken Bereich die Gruppe oder Organisationseinheit aus, auf die Sie das SSO-Profil anwenden möchten. Wählen Sie die Stammorganisationseinheit aus, wenn das Profil auf alle Nutzer angewendet werden soll.

3. Wählen Sie im rechten Bereich Anderes SSO-Profil aus.

4. Wählen Sie im Menü das SSO-Profil AD FS - SAML aus, das Sie zuvor erstellt haben.

5. Klicken Sie auf Speichern.

Wiederholen Sie die Schritte, um das SAML-Profil einer anderen Gruppe oder Organisationseinheit zuzuweisen.

Einmalanmeldung (SSO) testen

Sie haben die Konfiguration der Einmalanmeldung (SSO) abgeschlossen. Sie können prüfen, ob SSO funktioniert.

1. Wählen Sie einen Active Directory-Nutzer aus, der folgende Kriterien erfüllt:

   • Der Nutzer wurde in Cloud Identity oder Google Workspace bereitgestellt.

   • Der Cloud Identity-Nutzer hat keine Super Admin-Berechtigungen.

     Nutzerkonten mit Super Admin-Berechtigungen müssen zur Anmeldung immer Google-Anmeldedaten verwenden. Deshalb eignen sie sich nicht für das Testen der Einmalanmeldung (SSO).

2. Öffnen Sie ein neues Browserfenster und rufen Sie https://console.cloud.google.com/ auf.

3. Geben Sie auf der angezeigten Google Log-in-Seite die E-Mail-Adresse des Nutzers ein und klicken Sie auf Weiter. Wenn Sie die Domainsubstitution verwenden, muss die Ersetzung auf die E-Mail-Adresse angewendet werden.

   

   Sie werden zu AD FS weitergeleitet. Wenn Sie AD FS für die Verwendung der formularbasierten Authentifizierung konfiguriert haben, wird die Log-in-Seite angezeigt.

4. Geben Sie Ihren UPN und Ihr Passwort für den Active Directory-Nutzer ein und klicken Sie auf Sign in.

   

5. Nach erfolgreicher Authentifizierung werden Sie von AD FS zurück zur Google Cloud Console weitergeleitet. Da dies die erste Anmeldung dieses Nutzers ist, werden Sie aufgefordert, die Nutzungsbedingungen und Datenschutzerklärung von Google zu akzeptieren.

6. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Akzeptieren.

7. Sie werden zur Google Cloud Console weitergeleitet. Dort werden Sie aufgefordert, die Einstellungen zu bestätigen und die Nutzungsbedingungen von Google Cloud zu akzeptieren. Wenn Sie den Bedingungen zustimmen möchten, klicken Sie auf Ja und dann auf Ich stimme zu – weiter.

8. Klicken Sie oben links auf das Avatarsymbol und dann auf Abmelden.

   Sie werden dann auf eine AD FS-Seite weitergeleitet, auf der die Abmeldung bestätigt wird.

Wenn Sie Probleme bei der Anmeldung haben, finden Sie zusätzliche Informationen im AD FS-Administratorlog.

Beachten Sie, dass Nutzer mit Super Admin-Berechtigungen von der Einmalanmeldung ausgenommen sind. Sie können über die Admin-Konsole jedoch weiterhin Einstellungen prüfen oder ändern.

Optional: Weiterleitungen für domainspezifische Dienst-URLs konfigurieren

Wenn Sie von internen Portalen oder Dokumenten aus eine Verknüpfung zur Google Cloud Console herstellen, können Sie die Nutzererfahrung mithilfe von domainspezifischen Dienst-URLs verbessern.

Im Gegensatz zu regulären Dienst-URLs wie https://console.cloud.google.com/ enthalten domainspezifische Dienst-URLs den Namen Ihrer primären Domain. Nicht authentifizierte Nutzer, die auf einen Link zu einer URL für einen domainspezifischen Dienst klicken, werden sofort zu AD FS weitergeleitet und nicht zuerst eine Google-Anmeldeseite angezeigt.

Beispiele für domainspezifische Dienst-URLs:

Google-Dienst	URL	Logo
Google Cloud Console	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com
Google Docs	https://docs.google.com/a/DOMAIN
Google Tabellen	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Groups	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Notizen	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com

So konfigurieren Sie domainspezifische Dienst-URLs, damit sie zu AD FS weiterleiten:

1. Klicken Sie in der Admin-Konsole auf der Seite SSO mit Drittanbieter-IDPs auf Domainspezifische Dienst-URLs > Bearbeiten.

   Zu den domainspezifischen Dienst-URLs

2. Setzen Sie Nutzer automatisch an den externen IdP im folgenden SSO-Profil weiterleiten auf Aktiviert.

3. Legen Sie SSO-Profil auf AD FS fest.

4. Klicken Sie auf Speichern.

Optional: Identitätsbestätigungen konfigurieren

Google Log-in fordert Nutzer möglicherweise zur zusätzlichen Überprüfung auf, wenn sie sich von unbekannten Geräten aus anmelden oder wenn ihr Anmeldeversuch aus anderen Gründen verdächtig aussieht. Diese Identitätsbestätigungen verbessern die Sicherheit. Wir empfehlen, die Identitätsbestätigungen aktiviert zu lassen.

Wenn Sie feststellen, dass Identitätsbestätigungen zu viel Aufwand verursachen, können Sie die Identitätsbestätigung so deaktivieren:

1. Wechseln Sie in der Admin-Konsole zu Sicherheit > Authentifizierung > Identitätsbestätigungen.
2. Wählen Sie im linken Bereich eine Organisationseinheit aus, für die Sie die Identitätsbestätigung deaktivieren möchten. Wenn Sie die Identitätsbestätigung für alle Nutzer deaktivieren möchten, wählen Sie die Stammorganisationseinheit aus.
3. Wählen Sie unter Einstellungen für Nutzer, die sich mit anderen SSO-Profilen anmelden die Option Keine zusätzliche Google-Identitätsbestätigung von Nutzern anfordern aus.
4. Klicken Sie auf Speichern.