Zum Hauptinhalt springen

SSO mit Google Workspace (SAML 2.0) einrichten

Erfahre, wie Du Single-Sign On (SSO) zwischen Yokoy und Google Workspace mithilfe von SAML 2.0 konfigurieren kannst.

Verfasst von Yokoy Team

🌐 Web App | 👤 Organisations-Admin

Um Yokoy so einzurichten, dass Du Google Workspace mit SAML 2.0 nutzen kannst, müssen sowohl Yokoy als auch Google Workspace konfiguriert werden. Abhängig vom jeweiligen Schritt musst Du entweder in Yokoy oder in Google Workspace handeln.

Um SSO einzurichten und Usern die Anmeldung bei Yokoy über Google Workspace zu ermöglichen:

  1. Domain(s) und Authentifizierungsprotokoll einrichten

  2. SP Entity ID und ACS-URL abrufen

  3. Yokoy als SAML-App in Google Workspace hinzufügen

  4. SP Entity ID und ACS URL konfigurieren

  5. X509-Zertifikat und SSO-URL mit POST-Binding abrufen

  6. Zertifikat und SSO-URL in der SSO-Konfiguration von Yokoy einfügen

  7. Beschriftung für SSO-Schaltfläche hinzufügen

  8. Konfiguration testen

  9. Passwortauthentifizierung deaktivieren (optional)

Domain(s) und Authentifizierungsprotokoll einrichten

Gehe zu Admin > Organisation, Tab Authentifizierung.

🚧 Vorsicht

Stelle sicher, dass die Funktion Authentifizierung für Deine Organisation aktiviert wurde. Andernfalls ist dieser Tab nicht sichtbar.

Füge die Domain Deines Unternehmens hinzu, indem Du auf + Domain hinzufügen klickst. Verwende dabei das Format: yourcompany.com. Klicke auf Speichern.

Du kannst mehrere Domains hinzufügen – z. B. für verschiedene Länder oder Niederlassungen Deines Unternehmens (z. B. company.it, company.ch, company.de).

Sobald Du alle Domains hinzugefügt hast, kannst Du die gewünschte Authentifizierungsmethode festlegen. Klicke auf Anbieter hinzufügen und wähle das SAML-Protokoll aus.

SP Entity ID und ACS-URL abrufen

Wähle in diesem Schritt das SAML-Protokoll aus. Nach der Auswahl von SAML werden folgende Informationen angezeigt:

  • SP Entity ID

  • ACS URL

Klicke auf das Kopiersymbol neben dem Feld, um die URLs zu kopieren.
Diese URLs benötigst Du, um Google Workspace so zu konfigurieren, dass es mit Yokoy im Rahmen eines Service-Provider-initiierten SAML-Flows kommuniziert.

✏️ Hinweis

Wenn Du einen Identity-Provider-initiierten Flow einrichten möchtest,

musst Du Dich direkt an den Yokoy Support wenden, um dies zu konfigurieren.

Eigene SAML-App erstellen

Gehe zur Google Workspace Admin-Konsole. Klicke auf Apps > Web- und mobile Apps. Klicke auf App hinzufügen > Eigene SAML-App hinzufügen.

💡 Tipp

Für weitere Informationen, siehe Benutzerdefinierte SAML-App einrichten - Google Workspace Admin Help.

SP Entity ID und ACS URL konfigurieren

Im Fenster Service Provider Details musst Du die Informationen eingeben, die Du von Yokoy kopiert hast:

Feld

Beschreibung

ACS URL

Füge die URL ein, die im ACS URL-Feld angezeigt wird.

Entity ID

Füge den Wert ein, der im SP Entity ID-Feld angezeigt wird.

💡 Tipp

Im Namensfeld kannst Du einen Namen eingeben, bspw. "Yokoy", und, falls Du willst, ein Icon hinzufügen. Sobald Du diese Informationen eingegeben hast, klicke auf Weiter.

IdP-Metadata herunterladen

Auf der Seite mit den Google Identity Provider-Details musst Du die SSO-URL kopieren und das Zertifikat herunterladen. Die OPOST Binding SSO-URL und das OX509-Zertifikat werden von Yokoy benötigt.

Zum Beispiel kannst Du die Metadaten-Datei verwenden, die in etwa so aussieht.

Das Zertifikat selbst kannst Du finden, indem Du nach dem String IDPSSODescriptor suchst.

💡 Tipp
Du kannst jeden Browser verwenden, um die XML-Metadaten-Datei zu öffnen und die jeweiligen Teile der Datei auszuwählen, die Du benötigst.

Zertifikat und IdP-Login-URL in Yokoy konfigurieren

Füge nun das OX509-Zertifikat in das Zertifikat-Feld und die POST Binding SSO-URL in das IdP-Login-URL-Feld in Yokoy ein.

Stelle beim Einfügen des Zertifikats sicher, dass:

  • Nur der Text ab der tatsächlichen Zeichenkette eingefügt wird.

  • Keine XML-Tags (z. B. </ds:X509Certificate>) enthalten sind.

  • Keine line breaks (Zeilenumbrüche) vorhanden sind.

✏️ Hinweis

Die SSO-URLs erfordern keine Authentifizierung und Du wirst sofort sehen, ob sie gültig sind, indem Du sie in einem Browser öffnest. Das kann dabei helfen, Probleme durch eine fehlerhafte Konfiguration zu vermeiden.

Button-Label für den SSO-Anmeldebutton hinzufügen

Am Ende kannst Du ein Label für den Button hinzufügen, der dem Endbenutzer angezeigt wird, indem Du es im Textfeld der Schaltfläche eingibst. Das Label wird mit Login mit vorangestellt. Beispielsweise könnte der angezeigte Text GSuite (SAML 2.0) sein. Klicke anschließend auf Speichern.

SSO-Konfiguration testen

Nachdem Du die Konfiguration abgeschlossen hast, fahre mit dem Testen fort. Sobald Du eine E-Mail-Adresse mit der Domain Deines Unternehmens eingibst,

wird die SSO-Option angezeigt. Zum Beispiel siehst Du einen zusätzlichen Button oberhalb der Passwort-Option: Login mit GSuite (SAML 2.0).

Richte einen Testbenutzer ein, mit dem Du den vollständigen Ablauf testen kannst, um sicherzustellen, dass SSO korrekt konfiguriert ist. Der Test kann das Klicken auf den SSO-Button beinhalten. Dies kann zeigen, ob die Anwendung korrekt konfiguriert wurde. Andernfalls können Fehler wie „Anwendung fehlt“ angezeigt werden.

💡 Tipp

Falls der Button nicht angezeigt wird, überprüfe die folgenden Dinge:

  • Umgebung: Stelle sicher, dass Du die richtige Umgebung (Sandbox/Production) konfiguriert hast.

  • Domain: Überprüfen, dass die E-Mail-Domain korrekt geschrieben ist und mit der konfigurierten Domain übereinstimmt.

Passwort-Authentifizierung deaktivieren

Nachdem Du bestätigt hast, dass SSO korrekt eingerichtet wurde und Benutzer sich über SSO anmelden können, kannst Du die Passwort-Authentifizierung für die Organisation deaktivieren, um Anmeldeprobleme zu vermeiden. Obwohl dieser Schritt empfohlen wird, kannst Du auch einfach beide Authentifizierungsmethoden zulassen.

Gehe dazu zu Admin > Organisation > Tab Authentifizierung und deaktiviere Passwort einschalten aus.

Hat dies deine Frage beantwortet?