Informazioni sull'SSO

Una volta configurato l'SSO,  gli utenti che accedono al proprio IdP di terze parti possono accedere alle app Google senza ulteriore verifica, con le seguenti eccezioni:

• Anche se hanno già eseguito l'accesso al proprio IdP, a volte Google chiederà agli utenti di verificare la loro identità come misura di sicurezza aggiuntiva. Per saperne di più e per informazioni dettagliate su come disattivare questa verifica, se necessario, vai a Informazioni sull'accesso sicuro SAML.
• Puoi configurare un'ulteriore verifica in due passaggi per gli utenti che accedono ai servizi Google. La verifica in due passaggi viene normalmente ignorata quando il servizio SSO è attivo. Per saperne di più, vedi Attivare le verifiche con SSO.

La Figura 1 illustra la procedura con cui un utente accede a un'applicazione Google, come Gmail, tramite un servizio SSO basato su SAML gestito da un partner. L'elenco numerato che segue l'immagine descrive ogni passaggio.

Importante: Prima dell'esecuzione di questo processo, il partner deve fornire a Google l'URL del proprio servizio SSO e la chiave pubblica che Google dovrà utilizzare per verificare le risposte SAML.

Figura 1: questa immagine mostra la procedura di accesso a Google utilizzando un servizio SSO basato su SAML. 

L'immagine illustra i seguenti passaggi.

1. L'utente tenta di raggiungere un'applicazione Google ospitata, come Gmail, Google Calendar o un altro servizio Google.
2. Google genera una richiesta di autenticazione SAML, che viene codificata e incorporata nell'URL del servizio SSO del partner. Anche il parametro RelayState, che contiene l'URL codificato dell'applicazione Google alla quale l'utente sta cercando di accedere, viene incorporato nell'URL dell'SSO. Questo parametro RelayState è un identificatore opaco che viene restituito senza alcuna modifica o ispezione.
3. Google invia un reindirizzamento al browser dell'utente. L'URL di reindirizzamento include la richiesta di autenticazione SAML codificata che dovrà essere inoltrata al servizio SSO del partner.
4. Il browser reindirizza all'URL dell'SSO.
5. Il partner decodifica la richiesta SAML ed estrae sia l'URL del servizio ACS (Assertion Consumer Service) di Google sia l'URL di destinazione dell'utente (parametro RelayState). 
6. A questo punto il partner esegue l'autenticazione dell'utente. I partner possono autenticare gli utenti richiedendo credenziali di accesso valide o verificando la presenza di cookie di sessione validi.
7. Il partner genera una risposta SAML contenente il nome utente dell'utente autenticato. In conformità alla specifica SAML v2.0, questa risposta include una firma digitale con le chiavi DSA/RSA pubbliche e private del partner.
8. Il partner codifica la risposta SAML e il parametro RelayState e restituisce le informazioni al browser dell'utente. Il partner fornisce un meccanismo che consente al browser di inoltrare le informazioni al servizio ACS di Google. Ad esempio, il partner può incorporare la risposta SAML e l'URL di destinazione in un modulo e fornire un pulsante sul quale l'utente potrà fare clic per inoltrare il modulo a Google. Il partner potrebbe anche includere JavaScript nella pagina che invia il modulo a Google.
9. Il browser invia una risposta all'URL ACS. Il servizio ACS di Google verifica la risposta SAML utilizzando la chiave pubblica del partner. Se la verifica della risposta ha esito positivo, il servizio ACS reindirizza l'utente all'URL di destinazione. 
10. L'utente ha eseguito l'accesso all'app Google.