SSO für Cloudanwendungen aktivieren

Geschäftsproblem

Unternehmen nutzen immer häufiger Cloud-Anwendungen. Durch die Ausweitung der Einmalanmeldung (Single Sign-On, SSO) auf Cloud-Anwendungen können sich Mitarbeiter auch bei SaaS-Anwendungen (Software as a Service) oder bei in der Cloud gehosteten internen Anwendungen mit ihren Unternehmensanmeldedaten anmelden.

SSO bietet einen einzigen Authentifizierungspunkt über einen Identitätsanbieter (Identity Provider, IdP). Nutzer können auf Cloud-Anwendungen von Drittanbietern zugreifen, ihre Anmeldedaten werden jedoch nicht beim Drittanbieter gespeichert. In vielen Fällen sind für Anwendungen von Drittanbietern keine Anmeldedaten erforderlich.

Ihr Unternehmen möchte die Sicherheit durch das Erzwingen von SSO erhöhen und den Nutzern gleichzeitig den Komfort von SSO bieten. Dazu muss ein IdP den Zugriff auf alle Cloud-Anwendungen in Ihrem Unternehmen authentifizieren.

Lösungen

Für den Zugriff der Nutzer auf ausgewählte Cloud-Anwendungen über SSO unterstützt Cloud Identity als Ihr IdP die Protokolle OIDC (OpenID Connect) und SAML 2.0 (Security Assertion Markup Language).

Cloud Identity stellt einen umfangreichen Katalog an SAML-Anwendungen bereit. G Suite-Nutzer können OIDC-Anwendungen in G Suite Marketplace abrufen. Die meisten Cloud-Anwendungen unterstützen nur ein Protokoll, einige aber auch beide.

SAML-Kataloganwendungen

Vorteile

  • SAML ist bereits im Unternehmen eingeführt.
  • Die Anwendungen können nur von Administratoren installiert werden. Diese legen fest, welche Anwendungen für die Mitarbeiter verfügbar sind.
  • Der SaaS-Drittanbieter und Google stellen gemeinsam den Connector bereit. Google validiert die Anwendungen im Katalog.
  • Die Installation verläuft schnell und reibungslos.

Nachteile

  • Das Einrichten einer SAML-Anwendung erfordert etwas mehr Aufwand als das Einrichten einer OIDC-Anwendung.
  • SAML wird nicht von allen Unternehmensanwendungen unterstützt. Für einige Unternehmensanwendungen fallen mehr Gebühren für SAML-Features an.

OIDC-Anwendungen von G Suite Marketplace

Vorteile

  • OIDC ist ein schlankeres, moderneres Protokoll als SAML.
  • Die Anwendungen können sowohl von Administratoren als auch von Nutzern installiert werden. Nutzer können aber nur Anwendungen installieren, die der Administrator auf die Zulassungsliste gesetzt hat.
  • Die Anwendungen von G Suite Marketplace erweitern die Funktionen von G Suite. Da die Anwendungen die Core Google Services API nutzen, sind sie gut in Google-Produkte eingebunden. Es wird überprüft, ob die Anwendungen die G Suite Marketplace-Anforderungen erfüllen.

Nachteil

  • OIDC wird von Unternehmensanwendungen eher selten unterstützt.

Empfehlungen

Prüfen Sie die SAML- und G Suite Marketplace-Kataloge. Einige Anwendungen sind in beiden Katalogen enthalten. In einem solchen Fall empfehlen wir die Nutzung der Anwendung von G Suite Marketplace, wenn Sie G Suite-Kunde sind und Ihre Unternehmens-IT-Richtlinie OIDC unterstützt.

Wenn die gewünschte Anwendung in keinem der beiden Kataloge enthalten ist und SAML unterstützt, installieren Sie diese Anwendung als benutzerdefinierte SAML-Anwendung. Beachten Sie, dass benutzerdefinierte SAML-Anwendungen nicht im allgemeinen SAML-Katalog verfügbar sind, da sie für die Abteilung konfiguriert werden, die diese Anwendungen nutzt.

Installieren Sie die Anwendungen, die die verschiedenen Abteilungen in Ihrem Unternehmen benötigen, und weisen Sie dann die einzelnen Anwendungen nur denjenigen Abteilungen zu, für die sie vorgesehen sind.

Externe Identitätsanbieter

Auch bei Verwendung eines externen Identitätsanbieters können Sie SSO für Anwendungen von Drittanbietern im Cloud Identity-Katalog konfigurieren. In diesem Fall erfolgt die Nutzerauthentifizierung über den externen Identitätsanbieter und Cloud Identity verwaltet die Cloud-Anwendungen.

Zur Verwendung von Cloud Identity für SSO benötigen Ihre Nutzer Cloud Identity-Konten. Die Nutzer melden sich über Ihren externen Identitätsanbieter an oder geben ein Passwort für ihre Cloud Identity-Konten ein.

Beispiel

Neben den Geschäftsanwendungen nutzen die Mitarbeiter von Unternehmen A in ihrer täglichen Arbeit verschiedene Arten von Cloudanwendungen für folgende Bereiche:

  • Zusammenarbeit
  • Benachrichtigung (Messaging) und Kommunikation
  • Konferenzen
  • CRM (Customer Relationship Management)
  • Personaldienstleistungen
  • Kundensupport

Unternehmen A hat bisher einen lokalen, selbst gehosteten IdP verwendet. Zur Erhöhung der Sicherheit, Reduzierung der Supportkosten und Verbesserung der Skalierbarkeit möchte es Cloud Identity als primären IdP nutzen. Mitarbeiter möchten die Möglichkeit haben, mit einmal definierten Anmeldedaten auf alle ihre Cloud-Anwendungen zuzugreifen. Alle Cloud-Anwendungen sollen anhand ihrer Google-Identität mithilfe von SAML und OIDC authentifiziert werden.

Die IT-Abteilung muss die Cloud-Anwendungen mit folgenden Schritten für SSO einrichten:

  • Erstellen Sie eine Liste der Cloudanwendungen, die von Mitarbeitern verwendet werden
  • Suchen Sie diese Anwendungen im G Suite Marketplace- oder im SAML-Katalog
  • Richten Sie SSO für diese Anwendungen ein und aktivieren Sie SSO einzeln für jede Anwendung
  • Weisen Sie den einzelnen Abteilungen die entsprechenden Anwendungen zu, z. B.:
    • Anwendungen zur Benachrichtigung (Messaging), für Personaldienstleistungen und zur Zusammenarbeit für die allgemeine Organisation und damit für alle
    • CRM für den Vertrieb
    • Kundensupportanwendung für die Supportabteilung

Die Erzwingung von Sicherheitsschlüsseln variiert je nach Abteilung.

Die Mitarbeiter müssen sich bei Cloud Identity anmelden. Über SSO können sie dabei mithilfe ihrer Cloud Identity-Anmeldedaten auf die benötigten Cloud-Anwendungen zugreifen.

Bei Cloud-Anwendungen über SSO anmelden