Okta-Nutzerverwaltung und Einmalanmeldung (SSO)

Last reviewed 2024-01-03 UTC

In diesem Dokument erfahren Sie, wie Sie die Nutzerverwaltung und die Einmalanmeldung (SSO) zwischen einer Okta-Organisation und Ihrem Cloud Identity- oder Google Workspace-Konto einrichten.

In diesem Dokument wird davon ausgegangen, dass Sie bereits Okta in Ihrer Organisation verwenden und Nutzern die Authentifizierung bei Google Cloud ermöglichen möchten.

Lernziele

Konfigurieren Sie Okta, um Nutzer und optional Gruppen automatisch für Cloud Identity oder Google Workspace bereitzustellen.
Konfigurieren Sie die Einmalanmeldung (SSO) so, dass sich Nutzer mit einem Okta-Nutzerkonto in Google Cloud anmelden können.

Kosten

Mit der kostenlosen Version von Cloud Identity werden keine kostenpflichtigen Komponenten von Google Cloud verwendet, wenn Sie eine Föderation mit Okta einrichten.

Auf der Okta-Preisseite finden Sie alle Gebühren, die gegebenenfalls für die Verwendung von Okta anfallen.

Hinweise

Registrieren Sie sich für Cloud Identity, wenn Sie noch kein Konto haben.
Wenn Sie die kostenlose Version von Cloud Identity verwenden und mehr als 50 Nutzer verwalten möchten, beantragen Sie über den Support eine Erhöhung der Gesamtzahl der kostenlosen Cloud Identity-Nutzer.
Wenn Domains, die Sie für Cloud Identity verwenden möchten, möglicherweise von Mitarbeitern zum Registrieren von Privatnutzerkonten verwendet wurden, sollten Sie diese Konten zuerst migrieren. Weitere Informationen finden Sie unter Vorhandene Nutzerkonten bewerten.

Cloud Identity- oder Google Workspace-Konto vorbereiten

Nutzer für Okta erstellen

Damit Okta auf Ihr Cloud Identity- oder Google Workspace-Konto zugreifen kann, müssen Sie in Ihrem Cloud Identity- oder Google Workspace-Konto einen Nutzer für Okta erstellen.

Der Okta-Nutzer ist nur für die automatisierte Bereitstellung vorgesehen. Daher sollten Sie es von anderen Nutzerkonten getrennt halten, indem Sie es in einer separaten Organisationseinheit platzieren. Durch die Verwendung einer separaten Organisationseinheit wird außerdem sichergestellt, dass Sie später die Einmalanmeldung für den Okta-Nutzer deaktivieren können.

So erstellen Sie eine neue Organisationseinheit:

Rufen Sie die Admin-Konsole auf und melden Sie sich mit dem Super Admin-Nutzer an, der bei der Registrierung für Cloud Identity oder Google Workspace erstellt wurde.
Klicken Sie im Menü auf Verzeichnis > Organisationseinheiten.
Klicken Sie auf Organisationseinheit erstellen und geben Sie einen Namen und eine Beschreibung für die Organisationseinheit an:
- Name: Automation
- Beschreibung: Automation users
Klicken Sie auf Erstellen.

Erstellen Sie ein Nutzerkonto für Okta und legen Sie es in der Organisationseinheit Automation ab:

Rufen Sie im Menü Verzeichnis > Nutzer auf und klicken Sie auf Neuen Nutzer hinzufügen, um einen Nutzer zu erstellen.
Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:
- Vorname: Okta
- Nachname: Provisioning
- Primäre E-Mail-Adresse: okta-provisioning
  
  Behalten Sie die primäre Domain für die E-Mail-Adresse bei.
Klicken Sie auf Passwort, Organisationseinheit und Profilbild verwalten und konfigurieren Sie die folgenden Einstellungen:
- Organisationseinheit: Wählen Sie die Organisationseinheit Automation aus, die Sie zuvor erstellt haben.
- Passwort: Wählen Sie Passwort erstellen aus und geben Sie ein Passwort ein.
- Bei nächster Anmeldung zur Passwortänderung auffordern: Deaktiviert.
Klicken Sie auf Neuen Nutzer hinzufügen.
Klicken Sie auf Fertig.

Okta Berechtigungen zuweisen

Damit Okta Nutzer und Gruppen in Ihrem Cloud Identity- oder Google Workspace-Konto erstellen, auflisten und sperren kann, müssen Sie den Nutzer okta-provisioning als Super Admin festlegen:

Suchen Sie in der Liste den neu erstellten Nutzer und klicken Sie auf den Namen des Nutzers, um dessen Kontoseite zu öffnen.
Klicken Sie unter Administratorrollen und -berechtigungen auf Rollen zuweisen.
Aktivieren Sie die Rolle "Super Admin".
Klicken Sie auf Speichern.

Nutzerverwaltung für Okta konfigurieren

Sie können jetzt Okta mit Ihrem Cloud Identity- oder Google Workspace-Konto verbinden. Richten Sie dazu die Google Workspace-Anwendung aus dem Okta-Katalog ein.

Die Google Workspace-Anwendung kann sowohl die Nutzerverwaltung als auch die Einmalanmeldung (SSO) verarbeiten. Verwenden Sie diese Anwendung auch, wenn Sie nur Cloud Identity verwenden und die Einmalanmeldung (SSO) für Google Cloud einrichten möchten.

Anwendung erstellen

So richten Sie die Google Workspace-Anwendung ein:

Öffnen Sie das Okta-Admin-Dashboard und melden Sie sich als Nutzer mit Super Admin-Berechtigungen an.
Klicken Sie im Menü auf Anwendungen > Anwendungen.
Klicken Sie auf App-Katalog ansehen.
Suchen Sie nach Google Workspace und wählen Sie die Anwendung Google Workspace aus.
Klicken Sie auf Integration hinzufügen.
Konfigurieren Sie auf der Seite Allgemeine Einstellungen Folgendes:
- Anwendungslabel: Google Cloud
- Ihre Google Apps-Unternehmensdomain: Der primäre Domainname, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.
- Zeigen Sie die folgenden Links an:
  - Setzen Sie Account auf aktiviert.
  - Setzen Sie andere Links auf Aktiviert, wenn Sie Google Workspace verwenden, setzen Sie andere Links auf deaktiviert.
- Sichtbarkeit der Anwendung: Wenn Sie Google Workspace verwenden, wird dies auf aktiviert gesetzt, andernfalls aufdeaktiviert.
- Automatische Übermittlung des Browser-Plug-ins: auf deaktiviert gesetzt
Klicken Sie auf Next (Weiter).
Konfigurieren Sie auf der Seite Anmeldeoptionen Folgendes:
- Anmeldemethoden: Wählen Sie SAML 2.0 aus.
- Standard-Relay-Status: Leer lassen
- Erweiterte Einstellungen für die Anmeldung > RPID: Leer lassen
Legen Sie fest, wie die primäre E-Mail-Adresse für Nutzer in Cloud Identity oder Google Workspace ausgefüllt werden soll. Die primäre E-Mail-Adresse eines Nutzers muss entweder die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos oder eine ihrer sekundären Domains verwenden.
Okta-Nutzername
Verwenden Sie die folgenden Einstellungen, um den Okta-Nutzernamen des Nutzers als primäre E-Mail-Adresse zu verwenden:
- Format der Anwendungsnutzernamen: Okta-Nutzername
- Aktualisieren Sie den Nutzernamen der Anwendung auf: Erstellen und aktualisieren.
E-Mail
Verwenden Sie die folgenden Einstellungen, um den Okta-Nutzernamen des Nutzers als primäre E-Mail-Adresse zu verwenden:
- Nutzernamenformat der Anwendung: E-Mail
- Aktualisieren Sie den Nutzernamen der Anwendung auf: Erstellen und aktualisieren.
Klicken Sie auf Fertig.

Nutzerverwaltung konfigurieren

In diesem Abschnitt konfigurieren Sie Okta, um Nutzer und Gruppen automatisch für Google Cloud bereitzustellen.

Öffnen Sie auf der Seite „Einstellungen“ für die Anwendung Google Cloud den Tab Bereitstellung.
Klicken Sie auf API-Integration konfigurieren und konfigurieren Sie Folgendes:
- API-Integration aktivieren: Auf aktiviert festgelegt
- Importgruppen: Deaktiviert, es sei denn, Sie haben Gruppen in Cloud Identity oder Google Workspace, die Sie in Okta importieren möchten
Klicken Sie auf Mit Google Workspace authentifizieren.
Melden Sie sich mit dem zuvor erstellten Nutzer okta-provisioning@DOMAIN an. Dabei ist DOMAIN die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos.
Lesen Sie die Nutzungsbedingungen und Datenschutzerklärung von Google. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Ich habe verstanden.
Bestätigen Sie den Zugriff auf die Cloud Identity API. Klicken Sie dazu auf Zulassen.
Klicken Sie auf Speichern.

Okta ist mit Ihrem Cloud Identity- oder Google Workspace-Konto verbunden, aber die Bereitstellung ist weiterhin deaktiviert. So aktivieren Sie die Nutzerverwaltung:

Öffnen Sie auf der Seite „Einstellungen“ für die Anwendung Google Cloud den Tab Bereitstellung.
Klicken Sie auf Bearbeiten und konfigurieren Sie Folgendes:
- Nutzer erstellen: auf aktiviert gesetzt
- Nutzerattribute aktualisieren: Auf aktiviert festgelegt
- Disable users: Nutzer auf aktiviert setzen
- Synchronisierungspasswort: auf deaktiviert gesetzt
Hinweis: Möglicherweise müssen Sie diese Einstellungen anpassen, wenn Sie vorhandene Privatnutzerkonten konsolidieren möchten. Weitere Informationen finden Sie unter Okta-Föderation für die Kontokonsolidierung sichern
.
Klicken Sie optional auf Zum Profileditor, um die Attributzuordnung anzupassen.

Wenn Sie benutzerdefinierte Zuordnungen verwenden, müssen Sie userName, nameGivenName und nameFamilyName zuordnen. Alle anderen Attributzuordnungen sind optional.
Klicken Sie auf Speichern.

Nutzerzuweisung konfigurieren

In diesem Abschnitt konfigurieren Sie, welche Okta-Nutzer in Cloud Identity oder Google Workspace bereitgestellt werden sollen:

Öffnen Sie auf der Seite „Einstellungen“ für die Anwendung Google Cloud den Tab Zuweisungen.
Klicken Sie auf Zuweisen > Personen zuweisen oder Zuweisen > Gruppen zuweisen.
Wählen Sie einen Nutzer oder eine Gruppe aus und klicken Sie auf Zuweisen.
Behalten Sie im angezeigten Zuweisungsdialogfeld die Standardeinstellungen bei und klicken Sie auf Speichern und zurück.
Klicken Sie auf Fertig.

Wiederholen Sie die Schritte in diesem Abschnitt für jeden Nutzer oder jede Gruppe, die Sie bereitstellen möchten. Um alle Nutzer in Cloud Identity oder Google Workspace bereitzustellen, weisen Sie die Gruppe Jeder zu.

Gruppenzuweisung konfigurieren

Optional können Sie Okta erlauben, Gruppen in Cloud Identity oder Google Workspace bereitzustellen. Anstatt Gruppen einzeln auszuwählen, sollten Sie Okta am besten so konfigurieren, dass Gruppen basierend auf einer Namenskonvention bereitgestellt werden.

Beispiel: Damit Okta alle Gruppen bereitstellen kann, die mit google-cloud beginnen, gehen Sie so vor:

Öffnen Sie auf der Seite "Einstellungen" für die Anwendung Google Cloud den Tab Push-Gruppen.
Klicken Sie auf Gruppen per Push übertragen > Gruppen nach Rolle suchen.
Konfigurieren Sie auf der Seite Push-Gruppen nach Regel die folgende Regel:
- Regelname: Name der Rolle, z. B. Google Cloud.
- Gruppenname: beginnt mitgoogle-cloud
Klicken Sie auf Regel erstellen.

Fehlerbehebung

Klicken Sie auf der Seite „Einstellungen“ für die Anwendung Google Cloud auf Logs ansehen, um Probleme bei der Nutzer- oder Gruppenbereitstellung zu beheben.

So lassen Sie Okta einen fehlgeschlagenen Versuch, Nutzer bereitzustellen, so ausführen:

Klicken Sie auf Dashboard > Aufgaben.
Suchen Sie die fehlgeschlagene Aufgabe und öffnen Sie die Details.
Klicken Sie auf der Detailseite auf Ausgewählten wiederholen.

Okta für die Einmalanmeldung (SSO) konfigurieren

Wenn Sie die Schritte zum Konfigurieren der Okta-Bereitstellung ausgeführt haben, werden alle relevanten Okta-Nutzer jetzt automatisch für Cloud Identity oder Google Workspace bereitgestellt. Konfigurieren Sie die Einmalanmeldung (SSO), damit diese Nutzer sich anmelden können:

Öffnen Sie auf der Seite "Einstellungen" für die Anwendung Google Cloud den Tab Anmelden.
Klicken Sie auf SAML 2.0 > Weitere Details.
Klicken Sie auf Herunterladen, um das Signaturzertifikat herunterzuladen.
Notieren Sie sich die Anmelde-URL und die Abmelde-URL. Sie benötigen diese URLs in einem der folgenden Schritte.

Nachdem Sie Okta für die Einmalanmeldung (SSO) vorbereitet haben, können Sie die Einmalanmeldung (SSO) in Ihrem Cloud Identity- oder Google Workspace-Konto aktivieren:

Öffnen Sie die Admin-Konsole und melden Sie sich mit einem Super Admin-Nutzer an.
Klicken Sie im Menü auf Mehr anzeigen und gehen Sie zu Sicherheit > Authentifizierung > SSO mit externem IdP.
Klicken Sie auf SSO-Profil hinzufügen.
Hinweis: Verwenden Sie nicht die Schaltfläche SAML-Profil hinzufügen.
Setzen Sie Einmalanmeldung (SSO) mit Identität durch Drittanbieter einrichten auf Aktiviert.
Geben Sie die folgenden Einstellungen ein:
1. Anmeldeseiten-URL: Geben Sie die Anmelde-URL ein, die Sie von der Okta-Einstellungsseite kopiert haben.
2. URL der Abmeldeseite: Geben Sie die Abmelde-URL ein, die Sie von der Seite "Okta-Einstellungen" kopiert haben.
3. Passwort-URL ändern: https://ORGANIZATION.okta.com/enduser/settings, wobei ORGANIZATION der Name Ihrer Okta-Organisation ist.
Klicken Sie unter Bestätigungszertifikat auf Zertifikat hochladen und wählen Sie das Tokensignaturzertifikat aus, das Sie zuvor heruntergeladen haben.
Klicken Sie auf Speichern.

Aktualisieren Sie die SSO-Einstellungen für die Organisationseinheit Automation, um die Einmalanmeldung zu deaktivieren:

Klicken Sie unter SSO-Profilzuweisungen verwalten auf Jetzt starten.
Maximieren Sie Organisationseinheiten und wählen Sie die Organisationseinheit Automation aus.
Ändern Sie die Zuweisung des SSO-Profils vom SSO-Profil des Drittanbieters für die Organisation zu Keine.
Klicken Sie auf Überschreiben.

Google Cloud Console und andere Google-Dienste zum App-Dashboard hinzufügen

So fügen Sie dem Okta-App-Dashboard Ihrer Nutzer die Google Cloud Console und optional andere Google-Dienste hinzu:

Wählen Sie im Okta Admin-Dashboard Applications > Applications aus.
Klicken Sie auf App-Katalog ansehen.
Suchen Sie nach Bookmark app und wählen Sie die Anwendung Lesezeichenanwendung aus.
Klicken Sie auf Integration hinzufügen.
Konfigurieren Sie auf der Seite Allgemeine Einstellungen Folgendes:
- Anwendungslabel: Google Cloud console
- URL:https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, wobei PRIMARY_DOMAIN der primäre Domainname ist, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.
Klicken Sie auf Fertig.
Ändern Sie das Anwendungslogo in das Google Cloud-Logo.
Öffnen Sie den Tab Anmelden.
Klicken Sie auf Nutzerauthentifizierung > Bearbeiten und konfigurieren Sie Folgendes:
- Authentifizierungsrichtlinie: Auf Okta-Dashboard festgelegt
Klicken Sie auf Speichern.
Öffnen Sie den Tab Zuweisung und weisen Sie einen oder mehrere Nutzer zu. Zugewiesene Nutzer sehen den Link zur Google Cloud Console in ihrem Nutzer-Dashboard.

Wichtig: Die Zuweisungseinstellungen der Lesezeichen-App steuern nur die Sichtbarkeit. Wenn Sie einem Nutzer die Berechtigung erteilen möchten, die Einmalanmeldung (SSO) zu verwenden und auf Google Cloud zuzugreifen, müssen Sie ihn auch der Google Workspace-Anwendung zuweisen.

Wiederholen Sie optional die obigen Schritte für alle weiteren Google-Dienste, die Sie in Nutzer-Dashboards aufnehmen möchten. In der folgenden Tabelle sind die URLs und Logos für häufig verwendete Google-Dienste aufgeführt:

Google-Dienst	URL	Logo
Google Cloud Console	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com`
Google Docs	`https://docs.google.com/a/DOMAIN`
Google Tabellen	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com`
Google Sites	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com`
Google Drive	`https://drive.google.com/a/DOMAIN`
Gmail	`https://mail.google.com/a/DOMAIN`
Google Groups	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com`
Notizen	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com`
Looker Studio	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com`

Einmalanmeldung (SSO) testen

Nachdem Sie die Konfiguration der Einmalanmeldung sowohl in Okta als auch in Cloud Identity oder Google Workspace abgeschlossen haben, können Sie auf zwei Arten auf Google Cloud zugreifen:

Über die Liste im Okta-Nutzer-Dashboard
Direkt durch Öffnen von https://console.cloud.google.com/

Führen Sie den folgenden Test aus, um zu prüfen, ob die zweite Option wie beabsichtigt funktioniert:

Wählen Sie einen Okta-Nutzer aus, der zuvor für Cloud Identity oder Google Workspace bereitgestellt wurde und dem keine Super Admin-Rechte zugewiesen wurden. Nutzer mit Super Admin-Berechtigungen müssen sich immer mit Google-Anmeldedaten anmelden und eignen sich daher nicht zum Testen der Einmalanmeldung (SSO).
Öffnen Sie ein neues Browserfenster und rufen Sie https://console.cloud.google.com/ auf.
Geben Sie auf der angezeigten Google Log-in-Seite die E-Mail-Adresse des Nutzers ein und klicken Sie auf Weiter.
Sie werden zu Okta weitergeleitet und sehen eine weitere Anmeldeaufforderung. Geben Sie Ihre E-Mail-Adresse des Nutzers ein und folgen Sie den Schritten zur Authentifizierung.

Nach erfolgreicher Authentifizierung sollte Okta Sie zurück zu Google Log-in weiterleiten. Da Sie sich zum ersten Mal mit diesem Nutzer angemeldet haben, werden Sie aufgefordert, die Nutzungsbedingungen und die Datenschutzerklärung von Google zu akzeptieren.
Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Ich habe verstanden.

Sie werden zur Google Cloud Console weitergeleitet. Dort werden Sie aufgefordert, die Einstellungen zu bestätigen und die Nutzungsbedingungen von Google Cloud zu akzeptieren.
Wenn Sie den Bedingungen zustimmen, wählen Sie Ja und klicken Sie auf Zustimmen und Fortfahren.
Klicken Sie oben links auf der Seite auf das Avatarsymbol und anschließend auf Abmelden.

Sie werden auf eine Okta-Seite weitergeleitet, auf der die Abmeldung bestätigt wird.

Beachten Sie, dass Nutzer mit Super Admin-Berechtigungen von der Einmalanmeldung ausgenommen sind. Sie können über die Admin-Konsole jedoch weiterhin Einstellungen prüfen oder ändern.

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.