Sobre o SSO

Quando o SSO está configurado,  os usuários que fazem login no IdP de terceiros podem acessar os apps do Google sem uma verificação adicional, com estas exceções:

• Mesmo que eles já tenham feito login no IdP, o Google às vezes solicita a verificação da identidade como medida de segurança adicional. Veja mais informações e instruções para desativar essa verificação (se necessário) em "Noções básicas sobre o login seguro por SAML".
• Você pode configurar a verificação em duas etapas adicional para os usuários que acessam os serviços do Google. A verificação em duas etapas normalmente é ignorada quando o SSO está ativado. Veja mais informações em "Ativar desafios de login com SSO".

A Figura 1 ilustra o processo de login em um app do Google, como o Gmail, usando um serviço de SSO baseado em SAML operado por parceiros. A lista numerada que segue a imagem detalha cada etapa.

Importante: antes da criação desse processo, o parceiro precisava fornecer ao Google o URL para o serviço de SSO, bem como a chave pública que o Google deveria usar para verificar respostas SAML.

Figura 1 : mostra o processo de login no Google usando um serviço de SSO baseado em SAML. 

Esta imagem ilustra as etapas a seguir.

1. O usuário tentar alcançar um aplicativo Google hospedado, como o Gmail, Google Agenda ou outro serviço do Google.
2. O Google gera uma solicitação de autenticação SAML, que é codificada e incorporada no URL do serviço de SSO do parceiro. O parâmetro RelayState que contém o URL codificado do aplicativo Google que o usuário está tentando alcançar também é incorporado no URL de SSO. Esse parâmetro RelayState é um identificador opaco que é transmitido de volta sem nenhuma modificação ou inspeção.
3. O Google envia um redirecionamento ao navegador do usuário. O URL de redirecionamento inclui uma autenticação SAML codificada que deverá ser enviada ao serviço de SSO do parceiro.
4. O navegador redireciona para o URL do SSO.
5. O parceiro decodifica a solicitação SAML e extrai o URL para o serviço de declaração de consumidor (ACS) do Google e para o URL de destino do usuário (parâmetro RelayState). 
6. O parceiro autentica o usuário. Os parceiros podem autenticar os usuários por meio da solicitação de credenciais de login válidas ou da verificação de cookies de sessão válidos.
7. O parceiro gera uma resposta SAML que contém o nome de usuário autenticado. De acordo com a especificação do SAML v2.0, essa resposta é digitalmente assinada com as chaves DSA/RSA públicas e privadas do parceiro.
8. O parceiro codifica a resposta SAML e o parâmetro RelayState e retorna essas informações para o navegador do usuário. O parceiro fornece um mecanismo para que o navegador possa encaminhar essa informação para o ACS do Google. Por exemplo, o parceiro poderia incorporar a resposta SAML e o URL de destino em um formulário e fornecer um botão que o usuário pudesse clicar e enviar o formulário para o Google. O parceiro também pode incluir JavaScript na página que envia o formulário para o Google.
9. O navegador envia uma resposta ao URL do ACS. O ACS do Google verifica a resposta SAML usando a chave pública do parceiro. Se a resposta for verificada com sucesso, o ACS redirecionará o usuário para o URL de destino. 
10. O usuário está conectado ao Google app.