Sie können Ihr Cloud Identity- oder Google Workspace-Konto für die Verwendung der Einmalanmeldung (SSO) konfigurieren. Wenn Sie SSO aktivieren, werden Nutzer nicht aufgefordert, ein Passwort einzugeben, wenn sie versuchen, auf Google-Dienste zuzugreifen. Stattdessen werden sie zur Authentifizierung an einen externen Identitätsanbieter (Identity Provider, IdP) weitergeleitet.
Die Verwendung der SSO bietet mehrere Vorteile:
- Sie bieten eine bessere Nutzererfahrung, da Nutzer ihre vorhandenen Anmeldedaten zur Authentifizierung verwenden können und diese Daten seltener eingeben müssen.
- Sie gewährleisten, dass Ihr bestehender IdP das Erfassungssystem zur Authentifizierung von Nutzern bleibt.
- Sie müssen Passwörter nicht mit Cloud Identity oder Google Workspace synchronisieren.
Für die Verwendung von SSO benötigen Nutzer ein Nutzerkonto in Cloud Identity oder Google Workspace sowie eine entsprechende Identität beim externen IdP. SSO wird häufig in Kombination mit einer externen autoritativen Quelle verwendet, die Nutzer automatisch für Cloud Identity oder Google Workspace bereitstellt.
Einmalanmeldung (SSO)
Cloud Identity und Google Workspace unterstützen SAML 2.0 (Security Assertion Markup Language) für die Einmalanmeldung. SAML ist ein offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem SAML-IdP und einem SAML-Dienstanbieter. Wenn Sie SSO für Cloud Identity oder Google Workspace verwenden, ist Ihr externer IdP der SAML-IdP und Google der SAML-Dienstanbieter.
Google implementiert die SAML 2.0 HTTP-POST-Bindung. Diese Bindung gibt an, wie Authentifizierungsinformationen zwischen SAML-IdP und SAML-Dienstanbietern ausgetauscht werden. Das folgende Diagramm zeigt ein Beispiel für diesen Vorgang, wenn die Einmalanmeldung für den Zugriff auf die Google Cloud Console verwendet wird.
- Rufen Sie in Ihrem Browser die Google Cloud Console bzw. eine andere Google-Ressource auf, die eine Authentifizierung erfordert.
- Da Sie noch nicht authentifiziert sind, leitet die Google Cloud Console Ihren Browser an Google Log-in weiter.
- Google Log-in gibt eine Anmeldeseite zurück, auf der Sie aufgefordert werden, Ihre E-Mail-Adresse einzugeben.
- Sie geben Ihre E-Mail-Adresse ein und senden das Formular ab.
- Google Log-in sucht nach dem Cloud Identity- oder Google Workspace-Konto, das mit Ihrer E-Mail-Adresse verknüpft ist.
Da für das verknüpfte Cloud Identity- oder Google Workspace-Konto die Einmalanmeldung aktiviert ist, leitet Google Log-in den Browser an die URL des konfigurierten externen IdP weiter. Vor der Weiterleitung werden der URL zwei Parameter hinzugefügt:
RelayStateundSAMLRequest.RelayStateenthält eine ID, die der externe IdP später zurückgeben soll.SAMLRequestenthält die SAML-Authentifizierungsanfrage, ein XML-Dokument, das komprimiert, base64-codiert und URL-codiert ist. In decodierter Form sieht die SAML-Authentifizierungsanfrage in etwa so aus:<samlp:AuthnRequest ProviderName="google.com" IsPassive="false" AssertionConsumerServiceURL="https://www.google.com/a/example.com/acs" ...> <saml:Issuer xmlns:saml="...">google.com</saml:Issuer> <samlp:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/> </samlp:AuthnRequest>
In dieser Beispielanfrage wird der externe IdP angewiesen, den Nutzer zu authentifizieren, eine SAML-Assertion für die Zielgruppe
google.comzu erstellen und diese an den Assertion Consumer Service (ACS) unter https://www.google.com/a/example.com/acs zu übergeben.Die Domain, die in die ACS-URL (
example.com) eingebettet ist, entspricht der primären Domain Ihres Google Workspace- oder Cloud Identity-Kontos.Wenn Sie bei der Konfiguration der Einmalanmeldung das Feature für einen domainspezifischen Aussteller verwenden, lautet der Aussteller
google.com/a/DOMAINanstelle vongoogle.com, wobeiDOMAINdie primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos ist.Die Schritte, die der externe IdP für die Authentifizierung durchführt, sind vom IdP und dessen Konfiguration abhängig. Es könnte z. B. ein Anmeldedialog angezeigt oder eine MFA oder ein Fingerabdruck angefordert werden. Wenn diese Schritte erfolgreich abgeschlossen wurden, wird der SAML-Austausch fortgesetzt:
Der externe IdP gibt eine speziell konzipierte HTML-Seite zurück, die Ihren Browser dazu veranlasst, sofort eine HTTP-POST-Anfrage an die ACS-URL zu senden. Diese Anfrage enthält zwei Parameter:
RelayStatemit dem Wert, der ursprünglich in der SAML-Authentifizierungsanfrage an den IdP übergeben wurde.SAMLResponse, die die Base64-codierte SAML-Assertion enthält. Die SAML-Assertion ist ein XML-Dokument, das angibt, dass der IdP den Nutzer erfolgreich authentifiziert hat. In decodierter Form sieht die SAML-Assertion so aus:<samlp:Response ...> ... <Assertion x...> <Issuer>https://idp.example.org/</Issuer> <Signature ...> ... </Signature> <Subject> <NameID Format="...:nameid-format:emailAddress">bob@example.org</NameID> ... </Subject> <Conditions NotBefore="..." NotOnOrAfter="..."> <AudienceRestriction> <Audience>google.com</Audience> </AudienceRestriction> </Conditions> <AttributeStatement> ... </AttributeStatement> <AuthnStatement AuthnInstant="..." ...> <AuthnContext> <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef> </AuthnContext> </AuthnStatement> </Assertion> </samlp:Response>
Diese Beispiel-Assertion wurde für die Zielgruppe
google.comausgestellt, die dem Aussteller der SAML-Authentifizierungsanfrage entspricht. Sie gibt an, dass der IdPhttps://idp.example.org/den Nutzerbob@example.orgauthentifiziert hat.Die SAML-Assertion enthält auch eine digitale Signatur. Der IdP erstellt diese Signatur unter Verwendung des privaten Schlüssels eines Signaturzertifikats. Der private Schlüssel ist nur dem IdP bekannt. Der entsprechende öffentliche Schlüssel ist Teil der SSO-Konfiguration in Cloud Identity oder Google Workspace und wird für Google Log-in freigegeben.
Die SAML-Assertion enthält auch eine digitale Signatur, mit der der SAML-Dienstanbieter die Authentizität der Assertion bestätigen kann.
Der Browser sendet die SAML-Assertion an den Google-ACS-Endpunkt.
Der ACS-Endpunkt verifiziert die digitale Signatur der SAML-Assertion. Mit dieser Prüfung wird sichergestellt, dass die Assertion vom vertrauenswürdigen externen IdP stammt und nicht manipuliert wurde. Wenn die Signatur gültig ist, analysiert der ACS-Endpunkt den Inhalt der Assertion. Dabei werden die Zielgruppeninformationen überprüft und das Attribut
NameIDgelesen.Der ACS-Endpunkt sucht nach Ihrem Nutzerkonto. Dazu wird die
NameIDder SAML-Assertion mit der primären E-Mail-Adresse des Nutzers abgeglichen. Der Endpunkt startet dann eine Sitzung.Anhand der Informationen, die im Parameter
RelayStatecodiert sind, bestimmt der Endpunkt die URL der Ressource, auf die Sie ursprünglich zugreifen wollten, und Sie werden zur Google Cloud Console weitergeleitet.
Vom IdP initiierte Anmeldung
Der im vorherigen Abschnitt beschriebene Prozess wird manchmal als Vom Dienstanbieter initiierte Anmeldung bezeichnet, da der Prozess beim Dienstanbieter gestartet wird. Im vorherigen Beispiel ist dies die Google Cloud Console.
Außerdem definiert SAML einen alternativen Prozess namens Vom IdP initiierte Anmeldung, die beim IdP beginnt. Google unterstützt diesen Ablauf derzeit nicht. Sie können jedoch ähnliche Ergebnisse erzielen, indem Sie die folgende URL zur Initiierung eines Dienstanbieters verwenden:
https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
In diesem Beispiel ist DOMAIN die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos.
Multi-Faktor-Authentifizierung
Um Nutzerkonten vor nicht autorisiertem Zugriff zu schützen, können Sie festlegen, dass Nutzer einen zweiten Faktor bei der Authentifizierung angeben müssen. Es gibt zwei Möglichkeiten, die Multi-Faktor-Authentifizierung zu implementieren, wenn die Einmalanmeldung verwendet wird:
- Wenn Ihr externer IdP die Multi-Faktor-Authentifizierung unterstützt, können Sie diese im Rahmen des SAML-basierten Anmeldevorgangs durchführen. In diesem Fall ist keine weitere Konfiguration in Cloud Identity oder Google Workspace erforderlich.
- Wenn Ihr IdP keine Multi-Faktor-Authentifizierung unterstützt, können Sie Ihr Cloud Identity- oder Google Workspace-Konto so konfigurieren, dass die Bestätigung in zwei Schritten sofort nach der Authentifizierung eines Nutzers beim externen IdP durchgeführt wird.
Netzwerk
In SAML-2.0-HTTP-Weiterleitungsbindungen kommunizieren der IdP und der Dienstanbieter nicht direkt. Stattdessen wird die gesamte Kommunikation über den Browser des Nutzers weitergeleitet, wie im folgenden Diagramm dargestellt:
Aufgrund dieser Architektur ist es nicht erforderlich, dass der IdP über das Internet verfügbar ist oder sogar Internetzugriff haben muss, solange Nutzer von Ihrem Unternehmensnetzwerk aus darauf zugreifen können.
Konfiguration des externen IdP
Mit Cloud Identity und Google Workspace können Sie die Einmalanmeldung (SSO) mithilfe der folgenden Features konfigurieren:
SAML-Profile: Sie können ein SAML-Profil für jeden IdP erstellen, den Sie integrieren möchten. Für jeden Nutzer, jede Gruppe oder Organisationseinheit in Ihrem Cloud Identity- oder Google Workspace-Konto entscheiden Sie, ob er die SSO verwenden muss und welches SAML-Profil er verwenden muss.
Klassische Organisations-SSO-Profile: Sie können ein einzelnes Organisationsprofil erstellen, das in einen einzelnen IdP integriert werden soll. Für jeden Nutzer, jede Gruppe oder Organisationseinheit in Ihrem Cloud Identity- oder Google Workspace-Konto entscheiden Sie, ob er die SSO verwenden muss.
Die richtige Methode zum Konfigurieren Ihres IdP hängt davon ab, ob Sie SAML-Profile oder klassische Organisationsprofile verwenden. In der folgenden Tabelle sind die Einstellungen zusammengefasst, die normalerweise in einem externen IdP konfiguriert werden müssen, um die Kompatibilität zu gewährleisten.
| Konfiguration | Erforderliche Einstellung für klassische Organisationsprofile |
Erforderliche Einstellung für SAML-Profile |
Anmerkungen |
|---|---|---|---|
| Name-ID | Primäre E-Mail-Adresse eines Nutzers | Primäre E-Mail-Adresse eines Nutzers | |
| Name-ID-Format | urn:oasis:names:tc:SAML:1.1: |
urn:oasis:names:tc:SAML:1.1: |
|
| Entitäts-ID |
Wenn die Funktion für den domainspezifischen Aussteller aktiviert ist:
Wenn die Funktion für den domainspezifischen Aussteller deaktiviert ist (Standardeinstellung):
Verwenden Sie das domainspezifische Ausstellerfeature, wenn Sie mehrere Google Workspace- oder Cloud Identity-Konten mit demselben IdP einbinden möchten. Andernfalls deaktivieren Sie sie. |
Eindeutige Entitäts-ID Ihres SAML-Profils. Abhängig vom Erstellungsdatum Ihres SAML-Profils verwendet die Entitäts-ID eines der folgenden Formate:
|
|
| ACS-URL-Muster (oder Weiterleitungs-URL) | https://www.google.com/a/* |
Eindeutige ACS-URL Ihres SAML-Profils. Je nach Erstellungsdatum Ihres SAML-Profils verwendet die URL eines der folgenden Formate:
|
|
| Anfragensignatur | Aus | Aus | Von Google Log-in ausgegebene SAML-Authentifizierungsanfragen werden nicht signiert. |
| Assertion-Signatur | An | An | SAML-Assertions müssen signiert sein, damit Google Log-in ihre Echtheit prüfen kann. Wenn Sie die SSO in der Admin-Konsole einrichten, müssen Sie den öffentlichen Schlüssel des Schlüsselpaares für die Tokensignatur hochladen. |
| Assertion-Verschlüsselung | Aus | Aus | |
| Signaturalgorithmus | RSA-SHA256 | RSA-SHA256 | RSA-SHA256 (manchmal als „RS256“ abgekürzt) |
Weitere Informationen
- Referenzarchitekturen für die Verknüpfung mit einem externen IdP
- Kontenbereitstellung und SSO mit Azure AD oder Active Directory einrichten
- Best Practices für die Föderation von Google Cloud mit einem externen Identitätsanbieter