Google Cloud mit Active Directory verbinden: Einmalanmeldung (SSO) konfigurieren

In diesem Artikel erfahren Sie, wie Sie die Einmalanmeldung zwischen Ihrer Active Directory-Umgebung und Ihrem Cloud Identity oder G Suite-Konto mithilfe von Microsoft Active Directory Federation Services (AD FS) und SAML Federation einrichten.

In diesem Artikel wird davon ausgegangen, dass Sie wissen, wie die Active Directory-Identitätsverwaltung auf die Google Cloud erweitert werden kann, und dass Sie die Nutzerverwaltung bereits konfiguriert haben. Es wird außerdem angenommen, dass Sie einen funktionierenden AD FS 4.0-Server haben, der unter Windows Server 2016 oder einer höheren Version von Windows Server ausgeführt wird.

Für ein besseres Verständnis dieses Leitfadens sind Kenntnisse der Active Directory-Domaindienste und AD FS-Kenntnisse erforderlich. Sie benötigen außerdem ein Cloud Identity- oder G Suite-Nutzerkonto mit Super Admin-Berechtigungen und ein Active Directory-Nutzerkonto mit Administratorzugriff auf Ihren AD FS-Server.

Ziele

  • Den AD FS-Server so konfigurieren, dass er von Cloud Identity oder der G Suite als Identitätsanbieter verwendet werden kann
  • Eine Anspruchsausstellungs-Richtlinie erstellen, die Identitäten zwischen Active Directory und Cloud identity oder der G Suite abgleicht
  • Cloud Identity- oder G Suite-Konto so konfigurieren, dass die Authentifizierung an AD FS delegiert wird

Kosten

Mit der kostenlosen Version von Cloud Identity werden keine kostenpflichtigen Komponenten von Google Cloud verwendet, wenn Sie die Anleitung in diesem Artikel befolgen.

Hinweis

  1. Achten Sie darauf, dass auf Ihrem AD FS-Server Windows Server 2016 oder höher ausgeführt wird. Sie können die Einmalanmeldung auch mit früheren Versionen von Windows Server und AD FS konfigurieren. Die erforderlichen Konfigurationsschritte unterscheiden sich jedoch möglicherweise von den Schritten in diesem Artikel.
  2. Machen Sie sich damit vertraut, wie die Active Directory-Identitätsverwaltung auf Google Cloud erweitert wird.
  3. Konfigurieren Sie die Nutzerverwaltung zwischen Active Directory und Cloud Identity oder der G Suite.
  4. Sorgen Sie dafür, dass Ihr AD FS-Server ein gültiges SSL-Zertifikat (Secure Socket Layer) verwendet, das von den Browsern der unternehmensinternen Nutzer erkannt wird.
  5. Sie können AD FS in einer Serverfarmkonfiguration einrichten, um die Entstehung eines Single Point of Failure zu verhindern. Nachdem Sie die Einmalanmeldung aktiviert haben, liegt es an der Verfügbarkeit von AD FS, ob sich Nutzer in der Cloud Console anmelden können.

Einmalanmeldung (SSO)

Mit Cloud Directory Sync werden Nutzer bereits automatisiert erstellt und verwaltet und der Lebenszyklus ist an die Konten in Active Directory gebunden.

Cloud Directory Sync synchronisiert zwar Nutzerkontodetails, aber keine Passwörter. Falls die Authentifizierung eines Nutzers in der Google Cloud erforderlich ist, muss die Authentifizierung zurück an Active Directory delegiert werden. Dies geschieht mithilfe von AD FS und mithilfe des SAML-Protokolls (Security Assertion Markup Language). Diese Einrichtung sorgt dafür, dass nur Active Directory auf Nutzeranmeldeinformationen zugreifen kann und geltende Richtlinien oder MFA-Mechanismen (Multi-Faktor-Authentifizierung) durchsetzt. Außerdem wird dadurch die Einmalanmeldung (SSO) zwischen Ihrer lokalen Umgebung und Google ermöglicht.

SAML 2.0 definiert ein Protokoll und einen XML-Dialekt, mit dem Sie die Einmalanmeldung (SSO) zwischen zwei Seiten implementieren können, die als Identitätsanbieter (IdP) und Serviceprovider (SP) bezeichnet werden:

  • Der SP ist die Seite, die einen Nutzer authentifizieren muss. Da der SP selbst nicht für diese Authentifizierung konfiguriert ist, delegiert er die Verantwortung dafür an den IdP.
  • Der IdP ist die Seite, die den Nutzer authentifiziert. Er ermittelt Fakten des Nutzers und gibt diese an den SP zurück. Diese Sammlung von Fakten wird als Assertion bezeichnet.

Für die Implementierung der Einmalanmeldung zwischen Active Directory und Google konfigurieren Sie AD FS als IdP und Ihr Cloud Identity- oder G Suite-Konto als SP. Mit dieser Einstellung funktioniert die Anmeldung bei der Cloud Console so:

In der Cloud Console anmelden

  1. Der Nutzer öffnet die Cloud Console mit einem Browser.
  2. Da er noch nicht authentifiziert wurde, leitet die Cloud Console den Browser an Google Log-in weiter.
  3. Der Nutzer sieht eine Anmeldeseite, auf der er aufgefordert wird, eine E-Mail-Adresse einzugeben.
  4. Nachdem der Nutzer die E-Mail-Adresse gesendet hat, erkennt Google Log-in, dass die E-Mail-Adresse zu einem Cloud Identity- oder G Suite-Konto gehört, das für die Verbundauthentifizierung mithilfe von AD FS konfiguriert wurde. Deshalb wird der Browser an AD FS weitergeleitet.
  5. Je nach Konfiguration kann es sein, dass AD FS den Nutzer zur Anmeldeseite zurückleitet und die Angabe eines Nutzernamens und eines Passworts erfordert. Bei Kerberos-basierter Authentifizierung wird der Nutzer automatisch authentifiziert, ohne Anmeldedaten eingeben zu müssen.
  6. Wenn der Nutzer Anmeldedaten eingeben muss, interagiert AD FS mit dem Active Directory-Schlüsselverteilungszentrum (Key Distribution Center, KDC). Dazu werden Nutzername und Passwort mithilfe von Kerberos überprüft.
  7. Nach erfolgreicher Prüfung der Anmeldedaten leitet AD FS den Browser zurück zu Google Log-in.
  8. Google Log-in richtet eine Sitzung ein und leitet den Browser zurück zur Cloud Console, die jetzt den Zugriff gewährt.

AD FS konfigurieren

Bevor Sie die Einmalanmeldung in Cloud Identity oder in der G Suite aktivieren, müssen Sie AD FS konfigurieren.

Vertrauensstellung der vertrauenden Seite erstellen

Für jeden SP, der AD FS für die Authentifizierung verwenden soll, müssen Sie eine Vertrauensstellung der vertrauenden Seite erstellen. Dazu gehen Sie für Cloud Identity oder die G Suite so vor:

  1. Melden Sie sich beim AD FS-Server an und öffnen Sie das AD FS MMC-Snap-in.
  2. Klicken Sie im Menü links mit der rechten Maustaste auf den Ordner Vertrauensstellungen der vertrauenden Seite. Wählen Sie im Kontextmenü Vertrauensstellung der vertrauenden Seite hinzufügen aus.
  3. Wählen Sie auf der ersten Seite des Assistenten Claims aware aus und klicken Sie auf Starten.

    Assistent für die Vertrauensstellung der vertrauenden Seite

  4. Wählen Sie auf der nächsten Seite Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.

  5. Geben Sie auf der nächsten Seite einen Anzeigenamen wie Cloud Identity ein und klicken Sie auf Weiter.

  6. Auf der nächsten Seite werden Sie nach einem Tokenverschlüsselungszertifikat gefragt. Dieser Schritt ist für die Verbindung mit Ihrem Cloud Identity- oder G Suite-Konto nicht erforderlich. Klicken Sie daher auf Weiter.

  7. Wählen Sie auf der folgenden Seite Enable support for the SAML 2.0 WebSSO protocol aus und geben Sie die folgende URL für den SSO-Dienst ein:

    https://www.google.com/a/[DOMAIN]/acs
    

    Ersetzen Sie [DOMAIN] durch die primäre Domain Ihres Cloud Identity- oder G Suite-Kontos und klicken Sie auf Weiter.

    Unterstützung für das SAML 2.0-WebSSO-Protokoll aktivieren

  8. Auf der nächsten Seite des Assistenten müssen Sie den Bezeichner der Vertrauensstellung der vertrauenden Seite angeben. Fügen Sie die folgenden Bezeichner zur Liste hinzu:

    • google.com/a/[DOMAIN]: [DOMAIN] durch primäre Domain Ihres Cloud Identity- oder G Suite-Kontos ersetzen
    • google.com

    Bezeichner der Vertrauensstellung der vertrauenden Seite

    Klicken Sie auf Weiter.

  9. Wählen Sie auf der nächsten Seite eine Zugriffsrichtlinie aus. Das Konfigurieren von MFA geht über den Rahmen dieses Artikels hinaus. Klicken Sie daher zuerst auf Jedem Einzelnen Zugriff gewähren und dann auf Weiter.

  10. Prüfen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung Ihre Einstellungen und klicken Sie dann auf Weiter.

  11. Deaktivieren Sie auf der letzten Seite das Kästchen Anspruchsausstellungs-Richtlinie konfigurieren und schließen Sie den Assistenten. In der Liste der Vertrauensstellungen der vertrauenden Seite wird jetzt ein neuer Eintrag angezeigt.

Abmelde-URL konfigurieren

Wenn Nutzer die Einmalanmeldung (SSO) für mehrere Anwendungen verwenden können, muss auch die Möglichkeit bestehen, sich über mehrere Anwendungen abzumelden.

  1. Klicken Sie mit der rechten Maustaste in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite auf die soeben erstellte Vertrauensstellung und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie auf dem Tab Endpunkte auf SAML hinzufügen.
  3. Konfigurieren Sie im Dialogfeld Endpunkt hinzufügen die folgenden Einstellungen:

    1. Endpunkttyp: SAML-Abmeldung
    2. Bindung: POST
    3. Vertrauenswürdige URL: https://[ADFS]/adfs/ls/?wa=wsignout1.0

      Ersetzen Sie [ADFS] durch den vollständig qualifizierten Domainnamen Ihres AD FS-Servers.

      Endpunkt hinzufügen

  4. Klicken Sie auf OK.

  5. Klicken Sie auf OK, um das Dialogfeld zu schließen.

Anspruchszuordnung konfigurieren

Nachdem AD FS einen Nutzer authentifiziert hat, wird eine SAML-Assertion ausgegeben. Diese Assertion dient als Beleg für eine erfolgreiche Authentifizierung. In der Assertion muss angegeben werden, wer authentifiziert wurde – das ist der Zweck der NameID-Anforderung.

Damit Google Log-in die NameID mit einem Nutzer verknüpfen kann, muss NameID die primäre E-Mail-Adresse dieses Nutzers enthalten. Je nach Zuordnung der Kontoidentitäten zwischen Active Directory und Cloud Identity oder der G Suite muss die NameID den UPN oder die E-Mail-Adresse des Active Directory-Kontos enthalten. Die Domains müssen nach Bedarf ersetzt werden.

UPN

  1. Klicken Sie in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die neu erstellte Vertrauensstellung und klicken Sie dann auf Anspruchsausstellungsrichtlinie bearbeiten.
  2. Klicken Sie im Dialogfeld auf Regel hinzufügen.
  3. Wählen Sie LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
  4. Wenden Sie auf der nächsten Seite folgende Einstellungen an:
    1. Anspruchsregelname: E-Mail-Adresse und Namens-ID zuordnen
    2. Attributspeicher: Active Directory
  5. Fügen Sie der Liste der LDAP-Attributzuordnungen eine Zeile hinzu:
    1. LDAP-Attribut: User-Principal-Name
    2. Typ des ausgehenden Anspruchs: Name ID
  6. Klicken Sie auf Beenden und dann auf OK.

UPN: Domainersetzung

  1. Klicken Sie in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die neu erstellte Vertrauensstellung und klicken Sie dann auf Anspruchsausstellungsrichtlinie bearbeiten.
  2. Klicken Sie im Dialogfeld auf Regel hinzufügen.
  3. Wählen Sie Ansprüche mithilfe einer benutzerdefinierten Regel senden aus und klicken Sie auf Weiter.
  4. Wenden Sie auf der nächsten Seite folgende Einstellungen an:

    1. Anspruchsregelname: UPN laden
    2. Benutzerdefinierte Regel:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
       => add(store = "Active Directory", types = ("http://temp.google.com/upn"), query = ";userPrincipalName;{0}", param = c.Value);
      

      Diese Regel lädt den User Principal Name (UPN) für den zugehörigen Nutzer aus Active Directory und speichert ihn in einem temporären Anspruch.

  5. Klicken Sie auf Beenden.

  6. Klicken Sie auf Regel hinzufügen, um eine zweite Regel zu erstellen.

  7. Wählen Sie Ansprüche mithilfe einer benutzerdefinierten Regel senden aus und klicken Sie auf Weiter.

  8. Wenden Sie auf der nächsten Seite folgende Einstellungen an:

    1. Anspruchsregelname: UPN transformieren
    2. Benutzerdefinierte Regel:

      c:[Type == "http://temp.google.com/upn"]
       => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = RegexReplace(c.Value, "@(.*?)$", "@[DOMAIN]"));
      

      Diese Regel öffnet den temporären Anspruch, der den UPN enthält, und ersetzt die UPN-Suffixdomain durch [DOMAIN]. Der daraus resultierende Anspruch wird an Google Log-in ausgestellt und verwendet, um den Nutzer dem Cloud Identity- oder G Suite-Konto zuzuordnen.

      Achten Sie darauf, [DOMAIN] durch die primäre Domain Ihres Cloud Identity- oder G Suite-Kontos zu ersetzen.

  9. Klicken Sie auf Beenden und dann auf OK.

    Abhängig vom ursprünglichen UPN müssen Sie ggf. unterschiedliche Ersetzungen vornehmen. In diesem Fall müssen Sie zusätzliche Regeln erstellen, eine für jede mögliche Ersetzung, und Bedingungen dafür festlegen, welche Regel wann gelten soll. Die folgende Regel ersetzt beispielsweise die UPN-Domain durch corp.example.com, jedoch nur für die ursprüngliche Domain corp.local:

    c:[Type == "http://temp.google.com/upn", value =~ "^.+@corp.local$"]
     => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = RegexReplace(c.Value, "@(.*?)$", "corp.example.com"));
    

    Wenn Sie mehrere Elemente ersetzen müssen, führen Sie dazu separate Cloud Directory Sync-Konfigurationen aus, und zwar eine für jede Ersetzung.

E-Mail

  1. Klicken Sie in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die neu erstellte Vertrauensstellung und klicken Sie dann auf Anspruchsausstellungsrichtlinie bearbeiten.
  2. Klicken Sie im Dialogfeld auf Regel hinzufügen.
  3. Wählen Sie LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
  4. Wenden Sie auf der nächsten Seite folgende Einstellungen an:
    1. Anspruchsregelname: E-Mail-Adresse und Namens-ID zuordnen
    2. Attributspeicher: Active Directory
  5. Fügen Sie der Liste der LDAP-Attributzuordnungen eine Zeile hinzu:
    1. LDAP-Attribut: E-Mail-Addresses
    2. Typ des ausgehenden Anspruchs: Name ID
  6. Klicken Sie auf Beenden und dann auf OK.

E-Mail: Domainsubstitution

  1. Klicken Sie in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die neu erstellte Vertrauensstellung und klicken Sie dann auf Anspruchsausstellungsrichtlinie bearbeiten.
  2. Klicken Sie im Dialogfeld auf Regel hinzufügen.
  3. Wählen Sie Ansprüche mithilfe einer benutzerdefinierten Regel senden aus und klicken Sie auf Weiter.
  4. Wenden Sie auf der nächsten Seite folgende Einstellungen an:

    1. Anspruchsregelname: E-Mail-Adresse laden
    2. Benutzerdefinierte Regel:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
       => add(store = "Active Directory", types = ("http://temp.google.com/mail"), query = ";mail;{0}", param = c.Value);
      

      Diese Regel lädt die E-Mail-Adresse des jeweiligen Nutzers aus Active Directory und speichert sie in einem temporären Anspruch.

  5. Klicken Sie auf Beenden.

  6. Klicken Sie auf Regel hinzufügen, um eine zweite Regel zu erstellen.

  7. Wählen Sie Ansprüche mithilfe einer benutzerdefinierten Regel senden aus und klicken Sie auf Weiter.

  8. Wenden Sie auf der nächsten Seite folgende Einstellungen an:

    1. Anspruchsregelname: E-Mail-Adresse transformieren
    2. Benutzerdefinierte Regel:

      c:[Type == "http://temp.google.com/mail"]
       => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = RegexReplace(c.Value, "@(.*?)$", "@[DOMAIN]"));
      

      Diese Regel liest den temporären Anspruch, der die E-Mail-Adresse enthält, und ersetzt die Domain durch [DOMAIN]. Der daraus resultierende Anspruch wird an Google Log-in ausgestellt und verwendet, um den Nutzer dem Cloud Identity- oder G Suite-Konto zuzuordnen.

      Achten Sie darauf, [DOMAIN] durch die primäre Domain Ihres Cloud Identity- oder G Suite-Kontos zu ersetzen.

  9. Klicken Sie auf Beenden und dann auf OK.

AD FS-Tokensignaturzertifikat exportieren

Wenn AD FS eine SAML-Assertion ausgibt, muss Google Log-in die Integrität und Authentizität der Assertion prüfen. Zu diesem Zweck erfordert SAML, dass die Assertion mit einem speziellen Tokensignaturschlüssel signiert wird. Dies ist der private Schlüssel eines festgelegten Paars aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel dieses Paars wird SPs in Form eines Tokensignaturzertifikats zur Verfügung gestellt und ermöglicht es den SPs, die Signatur einer Assertion zu prüfen.

Bevor Sie Ihr Cloud Identity- oder G Suite-Konto konfigurieren, müssen Sie das Tokensignaturzertifikat aus AD FS exportieren:

  1. Klicken Sie in der AD FS-Verwaltungskonsole auf Dienst > Zertifikate.
  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das unter Tokensignatur aufgeführt ist, und klicken Sie dann auf Zertifikat anzeigen.
  3. Klicken Sie auf den Tab Details.
  4. Klicken Sie auf In Datei kopieren, um den Zertifikatexport-Assistenten zu öffnen.
  5. Klicken Sie auf Weiter.
  6. Wählen Sie als Format DER-codiert-binär X.509 (.CER) aus und klicken Sie auf Weiter.
  7. Geben Sie einen lokalen Dateinamen an und klicken Sie auf Weiter.
  8. Bestätigen Sie den Export, indem Sie auf Fertig stellen klicken.
  9. Klicken Sie auf OK, um die Meldung zum erfolgreichen Export zu schließen.
  10. Kopieren Sie das exportierte Zertifikat auf Ihren lokalen Computer.

Cloud Identity- oder G Suite-Konto konfigurieren

Nach Abschluss der AD FS-Konfiguration können Sie jetzt die Einmalanmeldung in Ihrem Cloud Identity- oder G Suite-Konto konfigurieren:

  1. Klicken Sie in der Admin-Konsole auf Sicherheit > Einstellungen.
  2. Klicken Sie auf Einmalanmeldung (SSO) mit einem externen Identitätsanbieter einrichten.
  3. Prüfen Sie, ob Einmalanmeldung (SSO) mit Identität durch Drittanbieter einrichten aktiviert ist.
  4. Geben Sie die folgenden Einstellungen ein. Ersetzen Sie in allen URLs [ADFS] durch den vollqualifizierten Domainnamen Ihres AD FS-Servers:
    1. URL für Anmeldeseite: https://[ADFS]/adfs/ls/
    2. URL für Abmeldeseite: https://[ADFS]/adfs/ls/?wa=wsignout1.0
    3. Passwort-URL ändern: https://[ADFS]/adfs/portal/updatepassword/
  5. Klicken Sie unter Verifizierungszertifikat auf Datei auswählen und wählen Sie das AD FS-Tokensignaturzertifikat aus, das Sie zuvor heruntergeladen haben.
  6. Klicken Sie auf Speichern.
  7. Bestätigen Sie auf der nächsten Seite, dass Sie die Einmalanmeldung (SSO) aktivieren möchten, und klicken Sie auf Ich habe verstanden und stimme zu.
  8. Klicken Sie oben rechts auf den Avatar und dann auf Abmelden, um sich von der Admin-Konsole abzumelden.

Einmalanmeldung (SSO) testen

Sie haben die Konfiguration der Einmalanmeldung in AD FS und Cloud Identity oder der G Suite abgeschlossen. Mit dem folgenden Test können Sie prüfen, ob die Einmalanmeldung (SSO) wie beabsichtigt funktioniert:

  1. Wählen Sie einen Active Directory-Nutzer aus, der zuvor für Cloud Identity oder die G Suite bereitgestellt wurde und dem keine Super Admin-Rechte zugewiesen wurden. Nutzer mit Super Admin-Berechtigungen müssen zur Anmeldung immer Google-Anmeldedaten verwenden. Deshalb eignen sie sich nicht für das Testen der Einmalanmeldung.
  2. Öffnen Sie ein neues Browserfenster und rufen Sie https://console.cloud.google.com/ auf.
  3. Geben Sie auf der angezeigten Google Log-in-Seite die E-Mail-Adresse des Nutzers ein und klicken Sie auf Weiter. Wenn Sie die Domainsubstitution verwenden, muss die Ersetzung auf die E-Mail-Adresse angewendet werden.

    E-Mail-Adresse des Nutzers eingeben

    Sie werden zu AD FS weitergeleitet. Wenn Sie AD FS für die Verwendung der formularbasierten Authentifizierung konfiguriert haben, wird jetzt die Log-in-Seite angezeigt.

  4. Geben Sie Ihren UPN und Ihr Passwort für den Active Directory-Nutzer ein und klicken Sie auf Sign in.

    UPN und Passwort für Active Directory-Nutzer eingeben

  5. Nach erfolgreicher Authentifizierung leitet Sie AD FS zurück zur Google Identity Platform. Da dies die erste Anmeldung dieses Nutzers ist, werden Sie aufgefordert, die Nutzungsbedingungen und Datenschutzbestimmungen von Google zu akzeptieren.

  6. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Akzeptieren.

  7. Sie werden zur Cloud Console weitergeleitet. Dort werden Sie aufgefordert, die Einstellungen zu bestätigen und die Nutzungsbedingungen von Google Cloud zu akzeptieren. Wenn Sie den Bedingungen zustimmen möchten, klicken Sie auf Ja und dann auf Ich stimme zu – weiter.

  8. Klicken Sie oben links auf das Avatarsymbol und dann auf Abmelden.

    Sie werden dann auf eine AD FS-Seite weitergeleitet, auf der die Abmeldung bestätigt wird.

Wenn Sie Probleme bei der Anmeldung haben, kann die Aktivierung des AD FS-Debuglogs auf dem AD FS-Server bei der Diagnose des Problems hilfreich sein. Wenn Sie die integrierte Windows-Authentifizierung verwenden, sollten Sie vorübergehend auf eine formularbasierte Authentifizierung umstellen, damit Sie Tests mit verschiedenen Nutzern einfacher ausführen können.

Beachten Sie, dass Nutzer mit Super Admin-Berechtigungen von der Einmalanmeldung ausgenommen sind. Sie können über die Admin-Konsole jedoch weiterhin Einstellungen prüfen oder ändern.

Bereinigen

Wenn Sie die Einmalanmeldung für Ihre Organisation nicht aktiviert lassen möchten, können Sie die Funktion in Cloud Identity oder der G Suite deaktivieren:

  1. Klicken Sie in der Admin-Konsole auf Sicherheit > Einstellungen.
  2. Klicken Sie auf Einmalanmeldung (SSO) mit einem externen Identitätsanbieter einrichten.
  3. Entfernen Sie das Häkchen für Einmalanmeldung (SSO) mit Identität durch Drittanbieter einrichten.
  4. Klicken Sie auf Speichern.

So bereinigen Sie die Konfiguration in AD FS:

  1. Melden Sie sich beim AD FS-Server an und öffnen Sie das AD FS MMC-Snap-in.
  2. Klicken Sie im Menü links mit der rechten Maustaste auf den Ordner Vertrauensstellungen der vertrauenden Seite.
  3. Klicken Sie in der Liste der Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf Cloud Identity und dann auf Löschen.
  4. Bestätigen Sie den Löschvorgang mit Ja.

Weitere Informationen