SSO

Wenn die SSO eingerichtet ist, können sich Nutzer bei ihrem Drittanbieter-IdP anmelden und dann ohne zusätzliche Bestätigung auf Google-Apps zugreifen, mit folgenden Ausnahmen:

• Auch wenn sie sich bereits bei ihrem IdP angemeldet haben, fordert Google sie als zusätzliche Sicherheitsmaßnahme gelegentlich auf, ihre Identität zu bestätigen. Weitere Informationen und Details dazu, wie Sie diese Überprüfung ggf. deaktivieren, finden Sie unter "Sichere SAML-Anmeldung".
• Sie können für Nutzer, die auf Google-Dienste zugreifen, zusätzlich eine Bestätigung in zwei Schritten einrichten. Die Bestätigung in zwei Schritten wird normalerweise umgangen, wenn SSO aktiviert ist. Weitere Informationen finden Sie im Hilfeartikel "Identitätsbestätigungen" mit SSO aktivieren.

Abbildung 1 zeigt, wie sich ein Nutzer über einen von Partnern betriebenen SAML-basierten SSO-Dienst in einer Google-Anwendung wie Gmail anmeldet. In der nummerierten Liste unter der Abbildung sind die einzelnen Schritte im Detail erläutert.

Wichtig: Bevor dieser Vorgang stattfindet, muss der Partner Google die URL für seinen Dienst zur Einmalanmeldung sowie den öffentlichen Schlüssel zur Verfügung stellen, den Google zur Überprüfung der SAML-Antworten verwendet.

Abbildung 1: Hier sehen Sie die Anmeldung bei Google über einen SAML-basierten SSO-Dienst. 

Dieses Bild stellt die folgenden Schritte dar:

1. Der Nutzer versucht, eine Anwendung von Google aufzurufen, etwa Gmail, Google Kalender oder einen anderen Google-Dienst.
2. Google generiert eine SAML-Authentifizierungsanfrage, die codiert und in die URL für den SSO-Dienst des Partners eingebettet wird. Auch der RelayState-Parameter, der die verschlüsselte URL der Google-Anwendung enthält, die der Nutzer aufrufen möchte, ist in die SSO-URL eingebettet. Dieser RelayState-Parameter ist eine intransparente Kennzeichnung, die ohne Änderung oder Prüfung zurückgegeben wird.
3. Google sendet eine Weiterleitung an den Browser des Nutzers. Die Weiterleitungs-URL enthält die codierte SAML-Authentifizierungsanfrage, die an den SSO-Dienst des Partners gesendet wird.
4. Der Browser wird zur SSO-URL weitergeleitet.
5. Der Partner decodiert die SAML-Anfrage und extrahiert die URL für den Google-ACS (Assertion Consumer Service) und die Ziel-URL des Nutzers (RelayState-Parameter). 
6. Der Partner authentifiziert den Nutzer anschließend. Partner haben diese Möglichkeiten zur Authentifizierung: durch die Frage nach gültigen Anmeldedaten oder anhand gültiger Cookies für die Sitzung.
7. Der Partner erstellt eine SAML-Antwort, die den Nutzernamen des authentifizierten Nutzers enthält. Gemäß der SAML v2.0-Spezifikation ist diese Antwort mit dem öffentlichen und privaten DSA-/RSA-Schlüssel des Partners digital signiert.
8. Der Partner codiert die SAML-Antwort und den RelayState-Parameter und gibt diese Informationen an den Browser des Nutzers zurück. Der Partner stellt einen Mechanismus zur Verfügung, mit dem der Browser diese Informationen an den Google-ACS weiterleiten kann. Der Partner kann beispielsweise die SAML-Antwort und die Ziel-URL in ein Formular einbetten und eine Schaltfläche bereitstellen, über die der Nutzer das Formular an Google senden kann. Der Partner kann auch JavaScript auf der Seite verwenden, das das Formular an Google sendet.
9. Der Browser sendet eine Antwort an die ACS-URL. Der ACS von Google verifiziert die SAML-Antwort anhand des öffentlichen Schlüssels des Partners. Wenn die Antwort erfolgreich verifiziert wurde, leitet ACS den Nutzer an die Ziel-URL weiter. 
10. Der Nutzer ist in der Google App angemeldet.