Active Directory-Einmalanmeldung (SSO)

Last reviewed 2023-02-27 UTC

In diesem Artikel erfahren Sie, wie Sie die Einmalanmeldung zwischen Ihrer Active Directory-Umgebung und Ihrem Cloud Identity oder Google Workspace-Konto mithilfe von Microsoft Active Directory Federation Services (AD FS) und SAML Federation einrichten.

In diesem Artikel wird davon ausgegangen, dass Sie wissen, wie die Active Directory-Identitätsverwaltung auf die Google Cloud erweitert werden kann, und dass Sie die Nutzerverwaltung bereits konfiguriert haben. Es wird außerdem angenommen, dass Sie einen funktionierenden AD FS 4.0-Server haben, der unter Windows Server 2016 oder einer höheren Version von Windows Server ausgeführt wird.

Für ein besseres Verständnis dieses Leitfadens sind Kenntnisse der Active Directory-Domaindienste und AD FS-Kenntnisse erforderlich. Sie benötigen außerdem ein Cloud Identity- oder Google Workspace-Nutzerkonto mit Super Admin-Berechtigungen und ein Active Directory-Nutzerkonto mit Administratorzugriff auf Ihren AD FS-Server.

Lernziele

  • Den AD FS-Server so konfigurieren, dass er von Cloud Identity oder Google Workspace als Identitätsanbieter verwendet werden kann.
  • Eine Anspruchsausstellungs-Richtlinie erstellen, die Identitäten zwischen Active Directory und Cloud identity oder Google Workspace abgleicht
  • Cloud Identity- oder Google Workspace-Konto so konfigurieren, dass die Authentifizierung an AD FS delegiert wird

Kosten

Mit der kostenlosen Version von Cloud Identity werden keine kostenpflichtigen Komponenten von Google Cloud verwendet, wenn Sie die Anleitung in diesem Artikel befolgen.

Hinweis

  1. Achten Sie darauf, dass auf Ihrem AD FS-Server Windows Server 2016 oder höher ausgeführt wird. Sie können die Einmalanmeldung auch mit früheren Versionen von Windows Server und AD FS konfigurieren. Die erforderlichen Konfigurationsschritte unterscheiden sich jedoch möglicherweise von den Schritten in diesem Artikel.
  2. Machen Sie sich damit vertraut, wie die Active Directory-Identitätsverwaltung auf Google Cloud erweitert wird.
  3. Konfigurieren Sie die Nutzerverwaltung zwischen Active Directory und Cloud Identity oder Google Workspace.
  4. Sie können AD FS in einer Serverfarmkonfiguration einrichten, um die Entstehung eines Single Point of Failure zu verhindern. Nachdem Sie die Einmalanmeldung aktiviert haben, liegt es an der Verfügbarkeit von AD FS, ob sich Nutzer in der Google Cloud Console anmelden können.

Einmalanmeldung (SSO)

Mit Google Cloud Directory Sync werden Nutzer bereits automatisiert erstellt und verwaltet und der Lebenszyklus ist an die Konten in Active Directory gebunden.

Google Cloud Directory Sync synchronisiert zwar Nutzerkontodetails, aber keine Passwörter. Falls die Authentifizierung eines Nutzers in der Google Cloud erforderlich ist, muss die Authentifizierung zurück an Active Directory delegiert werden. Dies geschieht mithilfe von AD FS und mithilfe des SAML-Protokolls (Security Assertion Markup Language). Diese Einrichtung sorgt dafür, dass nur Active Directory auf Nutzeranmeldeinformationen zugreifen kann und geltende Richtlinien oder MFA-Mechanismen (Multi-Faktor-Authentifizierung) durchsetzt. Außerdem wird dadurch die Einmalanmeldung (SSO) zwischen Ihrer lokalen Umgebung und Google ermöglicht.

Weitere Informationen zur Einmalanmeldung (SSO) finden Sie unter Einmalanmeldung (SSO).

AD FS konfigurieren

Bevor Sie die Einmalanmeldung (SSO) in Cloud Identity oder Google Workspace aktivieren, müssen Sie AD FS konfigurieren.

Vertrauensstellung der vertrauenden Seite erstellen

Erstellen Sie eine neue Vertrauensstellung der vertrauenden Seite:

  1. Melden Sie sich beim AD FS-Server an und öffnen Sie das AD FS Management MMC-Snap-in.
  2. Wählen Sie AD FS > Vertrauensstellungen der vertrauenden Seite.
  3. Klicken Sie im Bereich Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.
  4. Wählen Sie auf der Willkommensseite des Assistenten Claims aware und klicken Sie dann auf Start.
  5. Wählen Sie auf der Seite Datenquelle wählen Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
  6. Geben Sie auf der Seite Anzeigename angeben einen Namen wie Google Cloud ein und klicken Sie auf Weiter.
  7. Klicken Sie auf der Seite Zertifikat konfigurieren auf Weiter.

  8. Wählen Sie auf der Seite URL konfigurieren Unterstützung für SAML 2.0 WebSSO-Protokoll aktivieren aus und geben Sie folgende Dienst-URL für den SSO-Dienst ein:

    https://www.google.com/a/DOMAIN/acs

    Ersetzen Sie DOMAIN durch die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos und klicken Sie auf Weiter.

    Unterstützung für das SAML 2.0-WebSSO-Protokoll aktivieren

  9. Fügen Sie auf der Seite IDs konfigurieren die folgenden beiden IDs hinzu:

    • google.com/a/DOMAIN, wobei DOMAIN durch die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos ersetzt wird
    • google.com

    Klicken Sie anschließend auf Weiter.

    Bezeichner der Vertrauensstellung der vertrauenden Seite

  10. Wählen Sie auf der Seite Zugriffssteuerungsrichtlinie wählen eine geeignete Zugriffsrichtlinie aus und klicken Sie auf Weiter.

  11. Prüfen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung Ihre Einstellungen und klicken Sie dann auf Weiter.

  12. Deaktivieren Sie auf der letzten Seite das Kästchen Anspruchsausstellungs-Richtlinie konfigurieren und schließen Sie den Assistenten.

    In der Liste der Vertrauensstellungen der vertrauenden Seite wird jetzt ein neuer Eintrag angezeigt.

Abmelde-URL konfigurieren

Wenn Nutzer die Einmalanmeldung (SSO) für mehrere Anwendungen verwenden können, muss auch die Möglichkeit bestehen, sich über mehrere Anwendungen abzumelden.

  1. Klicken Sie mit der rechten Maustaste in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite auf die soeben erstellte Vertrauensstellung und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie auf dem Tab Endpunkte auf SAML hinzufügen.

  3. Konfigurieren Sie im Dialogfeld Endpunkt hinzufügen die folgenden Einstellungen:

    1. Endpunkttyp: SAML-Abmeldung
    2. Bindung: POST

    3. Vertrauenswürdige URL: https://ADFS/adfs/ls/?wa=wsignout1.0

      Ersetzen Sie ADFS durch den vollständig qualifizierten Domainnamen Ihres AD FS-Servers.

      Endpunkt hinzufügen

  4. Klicken Sie auf OK.

  5. Klicken Sie auf OK, um das Dialogfeld zu schließen.

Anspruchszuordnung konfigurieren

Nachdem AD FS einen Nutzer authentifiziert hat, wird eine SAML-Assertion ausgegeben. Diese Assertion dient als Beleg für eine erfolgreiche Authentifizierung. In der Assertion muss angegeben werden, wer authentifiziert wurde – das ist der Zweck der NameID-Anforderung.

Damit Google Log-in die NameID mit einem Nutzer verknüpfen kann, muss NameID die primäre E-Mail-Adresse dieses Nutzers enthalten. Je nach Zuordnung der Nutzer zwischen Active Directory und Cloud Identity oder Google Workspace muss die NameID den UPN oder die E-Mail-Adresse des Active Directory-Kontos enthalten. Die Domains müssen nach Bedarf ersetzt werden.

UPN

  1. Wählen Sie in der Liste der Vertrauensstellungen der vertrauenden Seite die soeben erstellte Vertrauensstellung aus und klicken Sie auf Richtlinie für Anspruchsausstellung bearbeiten.
  2. Klicken Sie auf Regel hinzufügen.
  3. Wählen Sie auf der Seite Regeltyp wählen desTransformationsregelanforderung hinzufügen-Assistenten Eingehenden Anspruch transformieren aus und klicken Sie dann aufWeiter.

  4. Konfigurieren Sie auf der Seite Anspruchsregel konfigurieren die folgenden Einstellungen:

    • Name der Anspruchsregel: Name Identifier.
    • Typ des eingehenden Anspruchs: UPN
    • Typ des ausgehenden Anspruchs: Namens-ID
    • Format der ausgehenden Namens-ID: Email

  5. Wählen Sie Alle Anspruchswerte übergeben aus und klicken Sie auf Fertigstellen.

  6. Klicken Sie auf OK, um das Dialogfeld für die Anspruchsausstellungsrichtlinie zu schließen.

UPN: Domainersetzung

  1. Wählen Sie in der Liste der Vertrauensstellungen der vertrauenden Seite die soeben erstellte Vertrauensstellung aus und klicken Sie auf Richtlinie für Anspruchsausstellung bearbeiten.
  2. Klicken Sie auf Regel hinzufügen.
  3. Wählen Sie auf der Seite Regeltyp wählen desTransformationsregelanforderung hinzufügen-Assistenten Eingehenden Anspruch transformieren aus und klicken Sie dann aufWeiter.

  4. Konfigurieren Sie auf der Seite Anspruchsregel konfigurieren die folgenden Einstellungen:

    • Name der Anspruchsregel: Name Identifier.
    • Typ des eingehenden Anspruchs: UPN
    • Typ des ausgehenden Anspruchs: Namens-ID
    • Format der ausgehenden Namens-ID: Email

  5. Wählen Sie E-Mail-Suffix für eingehenden Anspruch durch neues E-Mail-Suffix ersetzen und konfigurieren Sie folgende Einstellung:

    • Neues E-Mail-Suffix: Ein Domainname, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.

  6. Klicken Sie auf Beenden und dann auf OK.

E-Mail

  1. Wählen Sie in der Liste der Vertrauensstellungen der vertrauenden Seite die soeben erstellte Vertrauensstellung aus und klicken Sie auf Richtlinie für Anspruchsausstellung bearbeiten.
  2. Fügen Sie eine Regel hinzu, mit der die E-Mail-Adresse gesucht werden soll:
    1. Klicken Sie im Dialogfeld auf Regel hinzufügen.
    2. Wählen Sie LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
    3. Wenden Sie auf der nächsten Seite folgende Einstellungen an:
      1. Name der Anspruchsregel: Email address.
      2. Attributspeicher: Active Directory
    4. Fügen Sie der Liste der LDAP-Attributzuordnungen eine Zeile hinzu:
      1. LDAP-Attribut: E-Mail-Addresses
      2. Typ des ausgehenden Anspruchs: E-Mail-Adresse
    5. Klicken Sie auf Finish (Beenden).

  3. Fügen Sie eine weitere Regel hinzu, um die NameID festzulegen:

    1. Klicken Sie auf Regel hinzufügen.
    2. Wählen Sie auf der Seite Regeltyp wählen desTransformationsregelanforderung hinzufügen-Assistenten Eingehenden Anspruch transformieren aus und klicken Sie dann aufWeiter.

    3. Konfigurieren Sie auf der Seite Anspruchsregel konfigurieren die folgenden Einstellungen:

      • Name der Anspruchsregel: Name Identifier.
      • Typ des eingehenden Anspruchs: E-Mail-Adresse
      • Typ des ausgehenden Anspruchs: Namens-ID
      • Format der ausgehenden Namens-ID: Email

    4. Wählen Sie Alle Anspruchswerte übergeben aus und klicken Sie auf Fertigstellen.

    5. Klicken Sie auf OK, um das Dialogfeld für die Anspruchsausstellungsrichtlinie zu schließen.

E-Mail: Domainsubstitution

  1. Wählen Sie in der Liste der Vertrauensstellungen der vertrauenden Seite die soeben erstellte Vertrauensstellung aus und klicken Sie auf Richtlinie für Anspruchsausstellung bearbeiten.
  2. Fügen Sie eine Regel hinzu, mit der die E-Mail-Adresse gesucht werden soll:
    1. Klicken Sie im Dialogfeld auf Regel hinzufügen.
    2. Wählen Sie LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
    3. Wenden Sie auf der nächsten Seite folgende Einstellungen an:
      1. Name der Anspruchsregel: Email address.
      2. Attributspeicher: Active Directory
    4. Fügen Sie der Liste der LDAP-Attributzuordnungen eine Zeile hinzu:
      1. LDAP-Attribut: E-Mail-Addresses
      2. Typ des ausgehenden Anspruchs: E-Mail-Adresse
    5. Klicken Sie auf Finish (Beenden).

  3. Fügen Sie eine weitere Regel hinzu, um den NameID-Wert festzulegen:

    1. Klicken Sie auf Regel hinzufügen.
    2. Wählen Sie auf der Seite Regeltyp wählen desTransformationsregelanforderung hinzufügen-Assistenten Eingehenden Anspruch transformieren aus und klicken Sie dann aufWeiter.

    3. Konfigurieren Sie auf der Seite Anspruchsregel konfigurieren die folgenden Einstellungen:

      • Name der Anspruchsregel: Name Identifier.
      • Typ des eingehenden Anspruchs: E-Mail-Adresse
      • Typ des ausgehenden Anspruchs: Namens-ID
      • Format der ausgehenden Namens-ID: Email

  4. Wählen Sie E-Mail-Suffix für eingehenden Anspruch durch neues E-Mail-Suffix ersetzen und konfigurieren Sie folgende Einstellung:

    • Neues E-Mail-Suffix: Ein Domainname, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.

  5. Klicken Sie auf Beenden und dann auf OK.

AD FS-Tokensignaturzertifikat exportieren

Nachdem AD FS einen Nutzer authentifiziert hat, wird eine SAML-Assertion an Cloud Identity oder Google Workspace übergeben. Damit Cloud Identity und Google Workspace die Integrität und Authentifizierung der Assertion prüfen können, signiert AD FS die Assertion mit einem speziellen Tokensignaturschlüssel und stellt ein Zertifikat bereit, mit dem Cloud Identity oder Google Workspace die Signatur prüfen können.

Jetzt exportieren Sie das Signaturzertifikat aus AD FS:

  1. Klicken Sie in der AD FS-Verwaltungskonsole auf Dienst > Zertifikate.
  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das unter Tokensignatur aufgeführt ist, und klicken Sie dann auf Zertifikat anzeigen.
  3. Gehen Sie zum Tab Details.
  4. Klicken Sie auf In Datei kopieren, um den Zertifikatexport-Assistenten zu öffnen.
  5. Klicken Sie im Assistenten für den Zertifikatsexport auf Weiter.
  6. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Nein, privaten Schlüssel nicht exportieren.
  7. Wählen Sie auf der Seite Dateiformat exportieren Base-64-codiert X.509 (.CER) aus und klicken Sie auf Weiter.
  8. Geben Sie auf der Seite Zu exportierende Datei einen lokalen Dateinamen an und klicken Sie auf Weiter.
  9. Klicken Sie auf Beenden, um das Dialogfeld zu schließen.
  10. Kopieren Sie das exportierte Zertifikat auf Ihren lokalen Computer.

Cloud Identity- oder Google Workspace-Konto konfigurieren

Nach Abschluss der AD FS-Konfiguration können Sie jetzt die Einmalanmeldung in Ihrem Cloud Identity- oder Google Workspace-Konto konfigurieren:

  1. Öffnen Sie die Admin-Konsole und gehen Sie zu SSO mit Drittanbieter-IdP.

    Zu „SSO mit Drittanbieter-IdP“

  2. Klicken Sie auf SSO-Profil hinzufügen.

  3. Setzen Sie Einmalanmeldung (SSO) mit Identität durch Drittanbieter einrichten auf Aktiviert.

  4. Geben Sie die folgenden Einstellungen ein. Ersetzen Sie in allen URLs ADFS durch den vollqualifizierten Domainnamen Ihres AD FS-Servers:

    1. URL für Anmeldeseite: https://ADFS/adfs/ls/
    2. URL für Abmeldeseite: https://ADFS/adfs/ls/?wa=wsignout1.0
    3. Passwort-URL ändern: https://ADFS/adfs/portal/updatepassword/

  5. Klicken Sie unter Bestätigungszertifikat auf Zertifikat hochladen und wählen Sie das Tokensignaturzertifikat aus, das Sie zuvor heruntergeladen haben.

  6. Klicken Sie auf Speichern.

  7. Melden Sie sich von der Admin-Konsole ab.

Einmalanmeldung (SSO) testen

Sie haben die Konfiguration der Einmalanmeldung in AD FS und Cloud Identity oder Google Workspace abgeschlossen. Mit dem folgenden Test können Sie prüfen, ob die Einmalanmeldung (SSO) wie beabsichtigt funktioniert:

  1. Wählen Sie einen Active Directory-Nutzer aus, der zuvor für Cloud Identity oder Google Workspace bereitgestellt wurde und dem keine Super Admin-Rechte zugewiesen wurden. Nutzer mit Super Admin-Berechtigungen müssen zur Anmeldung immer Google-Anmeldedaten verwenden. Deshalb eignen sie sich nicht für das Testen der Einmalanmeldung.
  2. Öffnen Sie ein neues Browserfenster und rufen Sie https://console.cloud.google.com/ auf.

  3. Geben Sie auf der angezeigten Google Log-in-Seite die E-Mail-Adresse des Nutzers ein und klicken Sie auf Weiter. Wenn Sie die Domainsubstitution verwenden, muss die Ersetzung auf die E-Mail-Adresse angewendet werden.

    E-Mail-Adresse des Nutzers eingeben

    Sie werden zu AD FS weitergeleitet. Wenn Sie AD FS für die Verwendung der formularbasierten Authentifizierung konfiguriert haben, wird jetzt die Log-in-Seite angezeigt.

  4. Geben Sie Ihren UPN und Ihr Passwort für den Active Directory-Nutzer ein und klicken Sie auf Sign in.

    UPN und Passwort für Active Directory-Nutzer eingeben

  5. Nach erfolgreicher Authentifizierung leitet Sie AD FS zurück zur Google Identity Platform. Da dies die erste Anmeldung dieses Nutzers ist, werden Sie aufgefordert, die Nutzungsbedingungen und Datenschutzbestimmungen von Google zu akzeptieren.

  6. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Akzeptieren.

  7. Sie werden zur Google Cloud Console weitergeleitet. Dort werden Sie aufgefordert, die Einstellungen zu bestätigen und die Nutzungsbedingungen von Google Cloud zu akzeptieren. Wenn Sie den Bedingungen zustimmen möchten, klicken Sie auf Ja und dann auf Ich stimme zu – weiter.

  8. Klicken Sie oben links auf das Avatarsymbol und dann auf Abmelden.

    Sie werden dann auf eine AD FS-Seite weitergeleitet, auf der die Abmeldung bestätigt wird.

Wenn Sie Probleme bei der Anmeldung haben, finden Sie zusätzliche Informationen im AD FS-Administratorlog.

Beachten Sie, dass Nutzer mit Super Admin-Berechtigungen von der Einmalanmeldung ausgenommen sind. Sie können über die Admin-Konsole jedoch weiterhin Einstellungen prüfen oder ändern.

Bereinigen

Wenn Sie die Einmalanmeldung für Ihre Organisation nicht aktiviert lassen möchten, können Sie die Funktion in Cloud Identity oder Google Workspace deaktivieren:

  1. Klicken Sie in der Admin-Konsole auf Sicherheit > Einstellungen.
  2. Klicken Sie auf Einmalanmeldung (SSO) mit einem externen Identitätsanbieter einrichten.
  3. Entfernen Sie das Häkchen für Einmalanmeldung (SSO) mit Identität durch Drittanbieter einrichten.
  4. Klicken Sie auf Speichern.

So bereinigen Sie die Konfiguration in AD FS:

  1. Melden Sie sich beim AD FS-Server an und öffnen Sie das AD FS MMC-Snap-in.
  2. Klicken Sie im Menü links mit der rechten Maustaste auf den Ordner Vertrauensstellungen der vertrauenden Seite.
  3. Klicken Sie in der Liste der Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf Cloud Identity und dann auf Löschen.
  4. Bestätigen Sie den Löschvorgang mit Ja.

Nächste Schritte