Active Directory-Einmalanmeldung (SSO)

Last reviewed 2024-04-30 UTC

In diesem Artikel erfahren Sie, wie Sie die Einmalanmeldung zwischen Ihrer Active Directory-Umgebung und Ihrem Cloud Identity oder Google Workspace-Konto mithilfe von Microsoft Active Directory Federation Services (AD FS) und SAML Federation einrichten.

In diesem Artikel wird davon ausgegangen, dass Sie wissen, wie die Active Directory-Identitätsverwaltung auf die Google Cloud erweitert werden kann, und dass Sie die Nutzerverwaltung bereits konfiguriert haben. Es wird außerdem angenommen, dass Sie einen funktionierenden AD FS 4.0-Server haben, der unter Windows Server 2016 oder einer höheren Version von Windows Server ausgeführt wird.

Für ein besseres Verständnis dieses Leitfadens sind Kenntnisse der Active Directory-Domaindienste und AD FS-Kenntnisse erforderlich. Sie benötigen außerdem ein Cloud Identity- oder Google Workspace-Nutzerkonto mit Super Admin-Berechtigungen und ein Active Directory-Nutzerkonto mit Administratorzugriff auf Ihren AD FS-Server.

Lernziele

  • Den AD FS-Server so konfigurieren, dass er von Cloud Identity oder Google Workspace als Identitätsanbieter verwendet werden kann.
  • Eine Anspruchsausstellungs-Richtlinie erstellen, die Identitäten zwischen Active Directory und Cloud identity oder Google Workspace abgleicht
  • Cloud Identity- oder Google Workspace-Konto so konfigurieren, dass die Authentifizierung an AD FS delegiert wird

Kosten

Mit der kostenlosen Version von Cloud Identity werden keine kostenpflichtigen Komponenten von Google Cloud verwendet, wenn Sie die Anleitung in diesem Artikel befolgen.

Hinweis

  1. Achten Sie darauf, dass auf Ihrem AD FS-Server Windows Server 2016 oder höher ausgeführt wird. Sie können die Einmalanmeldung auch mit früheren Versionen von Windows Server und AD FS konfigurieren. Die erforderlichen Konfigurationsschritte unterscheiden sich jedoch möglicherweise von den Schritten in diesem Artikel.
  2. Machen Sie sich damit vertraut, wie die Active Directory-Identitätsverwaltung auf Google Cloud erweitert wird.
  3. Konfigurieren Sie die Nutzerverwaltung zwischen Active Directory und Cloud Identity oder Google Workspace.
  4. Sie können AD FS in einer Serverfarmkonfiguration einrichten, um die Entstehung eines Single Point of Failure zu verhindern. Nachdem Sie die Einmalanmeldung aktiviert haben, liegt es an der Verfügbarkeit von AD FS, ob sich Nutzer in der Google Cloud Console anmelden können.

Einmalanmeldung (SSO)

Mit Google Cloud Directory Sync werden Nutzer bereits automatisiert erstellt und verwaltet und der Lebenszyklus ist an die Konten in Active Directory gebunden.

GCDS synchronisiert zwar Nutzerkontodetails, aber keine Passwörter. Falls die Authentifizierung eines Nutzers in der Google Cloud erforderlich ist, muss die Authentifizierung zurück an Active Directory delegiert werden. Dies geschieht mithilfe von AD FS und mithilfe des SAML-Protokolls (Security Assertion Markup Language). Diese Einrichtung sorgt dafür, dass nur Active Directory auf Nutzeranmeldeinformationen zugreifen kann und geltende Richtlinien oder MFA-Mechanismen (Multi-Faktor-Authentifizierung) durchsetzt. Außerdem wird dadurch die Einmalanmeldung (SSO) zwischen Ihrer lokalen Umgebung und Google ermöglicht.

Weitere Informationen zur Einmalanmeldung (SSO) finden Sie unter Einmalanmeldung (SSO).

SAML-Profil erstellen

Zum Konfigurieren der Einmalanmeldung (SSO) mit AD FS erstellen Sie zuerst ein SAML-Profil in Ihrem Cloud Identity- oder Google Workspace-Konto. Das SAML-Profil enthält die Einstellungen für Ihre AD FS-Instanz, einschließlich der URL und des Signaturzertifikats.

Später weisen Sie das SAML-Profil dann bestimmten Gruppen oder Organisationseinheiten zu.

So erstellen Sie ein neues SAML-Profil in Ihrem Cloud Identity- oder Google Workspace-Konto:

  1. Gehen Sie in der Admin-Konsole zu SSO mit Drittanbieter-IdP.

    Zu „SSO mit Drittanbieter-IdP“

  2. Klicken Sie auf Externe SSO-Profile > SAML-Profil hinzufügen.

  3. Geben Sie auf der Seite SAML SSO Profile (SAML-SSO-Profil) die folgenden Einstellungen ein:

    • Name: AD FS
    • IdP-Entitäts-ID

      https://ADFS/adfs/services/trust
      
    • URL für Anmeldeseite

      https://ADFS/adfs/ls/
      
    • URL für Abmeldeseite

      https://ADFS/adfs/ls/?wa=wsignout1.0
      
    • Passwort-URL ändern

      https://ADFS/adfs/portal/updatepassword/
      

    Ersetzen Sie in allen URLs ADFS durch den vollqualifizierten Domainnamen Ihres AD FS-Servers:

    Laden Sie noch kein Bestätigungszertifikat hoch.

  4. Klicken Sie auf Speichern.

    Die angezeigte Seite SAML-SSO-Profil enthält zwei URLs:

    • Entitäts-ID
    • ACS-URL

    Sie benötigen diese URLs im nächsten Abschnitt, wenn Sie AD FS konfigurieren.

AD FS konfigurieren

Zum Konfigurieren des AD FS-Servers erstellen Sie eine Vertrauensstellung der vertrauenden Seite.

Vertrauensstellung der vertrauenden Seite erstellen

Erstellen Sie eine neue Vertrauensstellung der vertrauenden Seite:

  1. Stellen Sie eine Verbindung zu Ihrem AD FS-Server her und öffnen Sie das AD FS Management MMC-Snap-in.
  2. Wählen Sie AD FS > Vertrauensstellungen der vertrauenden Seite.
  3. Klicken Sie im Bereich Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.
  4. Wählen Sie auf der Willkommensseite des Assistenten Claims aware und klicken Sie dann auf Start.
  5. Wählen Sie auf der Seite Datenquelle wählen Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
  6. Geben Sie auf der Seite Anzeigename angeben einen Namen wie Google Cloud ein und klicken Sie auf Weiter.
  7. Klicken Sie auf der Seite Zertifikat konfigurieren auf Weiter.
  8. Wählen Sie auf der Seite URL konfigurieren Unterstützung für SAML 2.0 WebSSO-Protokoll aktivieren aus und geben Sie die ACS-URL aus Ihrem SAML-Profil ein. Klicken Sie anschließend auf Weiter.

    Unterstützung für das SAML 2.0-WebSSO-Protokoll aktivieren

  9. Fügen Sie auf der Seite IDs konfigurieren die Entitäts-ID aus Ihrem SAML-Profil hinzu.

    Bezeichner der Vertrauensstellung der vertrauenden Seite

    Klicken Sie anschließend auf Weiter.

  10. Wählen Sie auf der Seite Zugriffssteuerungsrichtlinie wählen eine geeignete Zugriffsrichtlinie aus und klicken Sie auf Weiter.

  11. Prüfen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung Ihre Einstellungen und klicken Sie dann auf Weiter.

  12. Deaktivieren Sie auf der letzten Seite das Kästchen Anspruchsausstellungs-Richtlinie konfigurieren und schließen Sie den Assistenten.

    In der Liste der Vertrauensstellungen der vertrauenden Seite wird ein neuer Eintrag angezeigt.

Abmelde-URL konfigurieren

Wenn Nutzer die Einmalanmeldung (SSO) für mehrere Anwendungen verwenden können, muss auch die Möglichkeit bestehen, sich über mehrere Anwendungen abzumelden.

  1. Öffnen Sie die Vertrauensstellung der vertrauenden Seite, die Sie gerade erstellt haben.
  2. Wählen Sie den Tab Endpunkte aus.
  3. Klicken Sie auf SAML hinzufügen und konfigurieren Sie die folgenden Einstellungen:

    1. Endpunkttyp: SAML-Abmeldung
    2. Bindung: POST
    3. Vertrauenswürdige URL:

      https://ADFS/adfs/ls/?wa=wsignout1.0
      

      Ersetzen Sie ADFS durch den vollständig qualifizierten Domainnamen Ihres AD FS-Servers.

      Endpunkt hinzufügen

  4. Klicken Sie auf OK.

  5. Klicken Sie auf OK, um das Dialogfeld zu schließen.

Anspruchszuordnung konfigurieren

Nachdem AD FS einen Nutzer authentifiziert hat, wird eine SAML-Assertion ausgegeben. Diese Assertion dient als Beleg für eine erfolgreiche Authentifizierung. In der Assertion muss angegeben werden, wer authentifiziert wurde – das ist der Zweck der NameID-Anforderung.

Damit Google Log-in die NameID mit einem Nutzer verknüpfen kann, muss NameID die primäre E-Mail-Adresse dieses Nutzers enthalten. Je nach Zuordnung der Kontoidentitäten zwischen Active Directory und Cloud Identity oder der G Suite muss die NameID den UPN oder die E-Mail-Adresse des Active Directory-Kontos enthalten. Die Domains müssen nach Bedarf ersetzt werden.

UPN

  1. Wählen Sie in der Liste der Vertrauensstellungen der vertrauenden Seite die soeben erstellte Vertrauensstellung aus und klicken Sie auf Richtlinie für Anspruchsausstellung bearbeiten.
  2. Klicken Sie auf Regel hinzufügen.
  3. Wählen Sie auf der Seite Regeltyp wählen desTransformationsregelanforderung hinzufügen-Assistenten Eingehenden Anspruch transformieren aus und klicken Sie dann aufWeiter.
  4. Konfigurieren Sie auf der Seite Anspruchsregel konfigurieren die folgenden Einstellungen:

    • Name der Anspruchsregel: Name Identifier.
    • Typ des eingehenden Anspruchs: UPN
    • Typ des ausgehenden Anspruchs: Namens-ID
    • Format der ausgehenden Namens-ID: Email
  5. Wählen Sie Alle Anspruchswerte übergeben aus und klicken Sie auf Fertigstellen.

  6. Klicken Sie auf OK, um das Dialogfeld für die Anspruchsausstellungsrichtlinie zu schließen.

UPN: Domainersetzung

  1. Wählen Sie in der Liste der Vertrauensstellungen der vertrauenden Seite die soeben erstellte Vertrauensstellung aus und klicken Sie auf Richtlinie für Anspruchsausstellung bearbeiten.
  2. Klicken Sie auf Regel hinzufügen.
  3. Wählen Sie auf der Seite Regeltyp wählen desTransformationsregelanforderung hinzufügen-Assistenten Eingehenden Anspruch transformieren aus und klicken Sie dann aufWeiter.
  4. Konfigurieren Sie auf der Seite Anspruchsregel konfigurieren die folgenden Einstellungen:

    • Name der Anspruchsregel: Name Identifier.
    • Typ des eingehenden Anspruchs: UPN
    • Typ des ausgehenden Anspruchs: Namens-ID
    • Format der ausgehenden Namens-ID: Email
  5. Wählen Sie E-Mail-Suffix für eingehenden Anspruch durch neues E-Mail-Suffix ersetzen und konfigurieren Sie folgende Einstellung:

    • Neues E-Mail-Suffix: Ein Domainname, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.
  6. Klicken Sie auf Beenden und dann auf OK.

E-Mail

  1. Wählen Sie in der Liste der Vertrauensstellungen der vertrauenden Seite die soeben erstellte Vertrauensstellung aus und klicken Sie auf Richtlinie für Anspruchsausstellung bearbeiten.
  2. Fügen Sie eine Regel hinzu, mit der die E-Mail-Adresse gesucht werden soll:
    1. Klicken Sie im Dialogfeld auf Regel hinzufügen.
    2. Wählen Sie LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
    3. Wenden Sie auf der nächsten Seite folgende Einstellungen an:
      1. Name der Anspruchsregel: Email address.
      2. Attributspeicher: Active Directory
    4. Fügen Sie der Liste der LDAP-Attributzuordnungen eine Zeile hinzu:
      1. LDAP-Attribut: E-Mail-Addresses
      2. Typ des ausgehenden Anspruchs: E-Mail-Adresse
    5. Klicken Sie auf Beenden.
  3. Fügen Sie eine weitere Regel hinzu, um die NameID festzulegen:

    1. Klicken Sie auf Regel hinzufügen.
    2. Wählen Sie auf der Seite Regeltyp wählen desTransformationsregelanforderung hinzufügen-Assistenten Eingehenden Anspruch transformieren aus und klicken Sie dann aufWeiter.
    3. Konfigurieren Sie auf der Seite Anspruchsregel konfigurieren die folgenden Einstellungen:

      • Name der Anspruchsregel: Name Identifier.
      • Typ des eingehenden Anspruchs: E-Mail-Adresse
      • Typ des ausgehenden Anspruchs: Namens-ID
      • Format der ausgehenden Namens-ID: Email
    4. Wählen Sie Alle Anspruchswerte übergeben aus und klicken Sie auf Fertigstellen.

    5. Klicken Sie auf OK, um das Dialogfeld für die Anspruchsausstellungsrichtlinie zu schließen.

E-Mail: Domainsubstitution

  1. Wählen Sie in der Liste der Vertrauensstellungen der vertrauenden Seite die soeben erstellte Vertrauensstellung aus und klicken Sie auf Richtlinie für Anspruchsausstellung bearbeiten.
  2. Fügen Sie eine Regel hinzu, mit der die E-Mail-Adresse gesucht werden soll:
    1. Klicken Sie im Dialogfeld auf Regel hinzufügen.
    2. Wählen Sie LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
    3. Wenden Sie auf der nächsten Seite folgende Einstellungen an:
      1. Name der Anspruchsregel: Email address.
      2. Attributspeicher: Active Directory
    4. Fügen Sie der Liste der LDAP-Attributzuordnungen eine Zeile hinzu:
      1. LDAP-Attribut: E-Mail-Addresses
      2. Typ des ausgehenden Anspruchs: E-Mail-Adresse
    5. Klicken Sie auf Beenden.
  3. Fügen Sie eine weitere Regel hinzu, um den NameID-Wert festzulegen:

    1. Klicken Sie auf Regel hinzufügen.
    2. Wählen Sie auf der Seite Regeltyp wählen desTransformationsregelanforderung hinzufügen-Assistenten Eingehenden Anspruch transformieren aus und klicken Sie dann aufWeiter.
    3. Konfigurieren Sie auf der Seite Anspruchsregel konfigurieren die folgenden Einstellungen:

      • Name der Anspruchsregel: Name Identifier.
      • Typ des eingehenden Anspruchs: E-Mail-Adresse
      • Typ des ausgehenden Anspruchs: Namens-ID
      • Format der ausgehenden Namens-ID: Email
  4. Wählen Sie E-Mail-Suffix für eingehenden Anspruch durch neues E-Mail-Suffix ersetzen und konfigurieren Sie folgende Einstellung:

    • Neues E-Mail-Suffix: Ein Domainname, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.
  5. Klicken Sie auf Beenden und dann auf OK.

AD FS-Tokensignaturzertifikat exportieren

Nachdem AD FS einen Nutzer authentifiziert hat, wird eine SAML-Assertion an Cloud Identity oder Google Workspace übergeben. Damit Cloud Identity und Google Workspace die Integrität und Authentifizierung der Assertion prüfen können, signiert AD FS die Assertion mit einem speziellen Tokensignaturschlüssel und stellt ein Zertifikat bereit, mit dem Cloud Identity oder Google Workspace die Signatur prüfen können.

So exportieren Sie das Signaturzertifikat aus AD FS:

  1. Klicken Sie in der AD FS-Verwaltungskonsole auf Dienst > Zertifikate.
  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das unter Tokensignatur aufgeführt ist, und klicken Sie dann auf Zertifikat anzeigen.
  3. Gehen Sie zum Tab Details.
  4. Klicken Sie auf In Datei kopieren, um den Zertifikatexport-Assistenten zu öffnen.
  5. Klicken Sie im Assistenten für den Zertifikatsexport auf Weiter.
  6. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Nein, privaten Schlüssel nicht exportieren.
  7. Wählen Sie auf der Seite Dateiformat exportieren Base-64-codiert X.509 (.CER) aus und klicken Sie auf Weiter.
  8. Geben Sie auf der Seite Zu exportierende Datei einen lokalen Dateinamen an und klicken Sie auf Weiter.
  9. Klicken Sie auf Beenden, um das Dialogfeld zu schließen.
  10. Kopieren Sie das exportierte Zertifikat auf Ihren lokalen Computer.

SAML-Profil ausfüllen

Verwenden Sie das Signaturzertifikat, um die Konfiguration Ihres SAML-Profils abzuschließen:

  1. Kehren Sie zur Admin-Konsole zurück und gehen Sie zu Sicherheit > Authentifizierung > SSO mit Drittanbieter-IdP.

    Zu „SSO mit Drittanbieter-IdP“

  2. Öffnen Sie das SAML-Profil AD FS, das Sie zuvor erstellt haben.

  3. Klicken Sie auf den Abschnitt IdP-Details, um die Einstellungen zu bearbeiten.

  4. Klicken Sie auf Zertifikat hochladen und wählen Sie das Tokensignaturzertifikat aus, das Sie aus AD FS exportiert haben.

  5. Klicken Sie auf Speichern.

Das SAML-Profil ist vollständig, Sie müssen es aber noch zuweisen.

SAML-Profil zuweisen

Wählen Sie die Nutzer aus, auf die das neue SAML-Profil angewendet werden soll:

  1. Klicken Sie in der Admin-Konsole auf der Seite SSO mit Drittanbieter-IdPs auf SSO-Profilzuweisungen verwalten > Verwalten.

    Zur Seite „SSO-Profilzuweisungen verwalten“

  2. Wählen Sie im linken Bereich die Gruppe oder Organisationseinheit aus, auf die Sie das SSO-Profil anwenden möchten. Wählen Sie die Stammorganisationseinheit aus, wenn das Profil auf alle Nutzer angewendet werden soll.

  3. Wählen Sie im rechten Bereich Anderes SSO-Profil aus.

  4. Wählen Sie im Menü das SSO-Profil AD FS - SAML aus, das Sie zuvor erstellt haben.

  5. Klicken Sie auf Speichern.

Wiederholen Sie die Schritte, um das SAML-Profil einer anderen Gruppe oder Organisationseinheit zuzuweisen.

Einmalanmeldung (SSO) testen

Sie haben die Konfiguration der Einmalanmeldung (SSO) abgeschlossen. Sie können prüfen, ob SSO funktioniert.

  1. Wählen Sie einen Active Directory-Nutzer aus, der folgende Kriterien erfüllt:

    • Der Nutzer wurde in Cloud Identity oder Google Workspace bereitgestellt.
    • Der Cloud Identity-Nutzer hat keine Super Admin-Berechtigungen.

      Nutzerkonten mit Super Admin-Berechtigungen müssen zur Anmeldung immer Google-Anmeldedaten verwenden. Deshalb eignen sie sich nicht für das Testen der Einmalanmeldung (SSO).

  2. Öffnen Sie ein neues Browserfenster und rufen Sie https://console.cloud.google.com/ auf.

  3. Geben Sie auf der angezeigten Google Log-in-Seite die E-Mail-Adresse des Nutzers ein und klicken Sie auf Weiter. Wenn Sie die Domainsubstitution verwenden, muss die Ersetzung auf die E-Mail-Adresse angewendet werden.

    E-Mail-Adresse des Nutzers eingeben

    Sie werden zu AD FS weitergeleitet. Wenn Sie AD FS für die Verwendung der formularbasierten Authentifizierung konfiguriert haben, wird die Log-in-Seite angezeigt.

  4. Geben Sie Ihren UPN und Ihr Passwort für den Active Directory-Nutzer ein und klicken Sie auf Sign in.

    UPN und Passwort für Active Directory-Nutzer eingeben

  5. Nach erfolgreicher Authentifizierung werden Sie von AD FS zurück zur Google Cloud Console weitergeleitet. Da dies die erste Anmeldung dieses Nutzers ist, werden Sie aufgefordert, die Nutzungsbedingungen und Datenschutzerklärung von Google zu akzeptieren.

  6. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Akzeptieren.

  7. Sie werden zur Google Cloud Console weitergeleitet. Dort werden Sie aufgefordert, die Einstellungen zu bestätigen und die Nutzungsbedingungen von Google Cloud zu akzeptieren. Wenn Sie den Bedingungen zustimmen möchten, klicken Sie auf Ja und dann auf Ich stimme zu – weiter.

  8. Klicken Sie oben links auf das Avatarsymbol und dann auf Abmelden.

    Sie werden dann auf eine AD FS-Seite weitergeleitet, auf der die Abmeldung bestätigt wird.

Wenn Sie Probleme bei der Anmeldung haben, finden Sie zusätzliche Informationen im AD FS-Administratorlog.

Beachten Sie, dass Nutzer mit Super Admin-Berechtigungen von der Einmalanmeldung ausgenommen sind. Sie können über die Admin-Konsole jedoch weiterhin Einstellungen prüfen oder ändern.

Optional: Weiterleitungen für domainspezifische Dienst-URLs konfigurieren

Wenn Sie von internen Portalen oder Dokumenten aus eine Verknüpfung zur Google Cloud Console herstellen, können Sie die Nutzererfahrung mithilfe von domainspezifischen Dienst-URLs verbessern.

Im Gegensatz zu regulären Dienst-URLs wie https://console.cloud.google.com/ enthalten domainspezifische Dienst-URLs den Namen Ihrer primären Domain. Nicht authentifizierte Nutzer, die auf einen Link zu einer URL für einen domainspezifischen Dienst klicken, werden sofort zu AD FS weitergeleitet und nicht zuerst eine Google-Anmeldeseite angezeigt.

Beispiele für domainspezifische Dienst-URLs:

Google-Dienst URL Logo
Google Cloud Console https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logo: Google Cloud
Google Docs https://docs.google.com/a/DOMAIN Logo: Google Docs
Google Sheets https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Google Sheets-Logo
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Google Sites-Logo
Google Drive https://drive.google.com/a/DOMAIN Google Drive-Logo
Gmail https://mail.google.com/a/DOMAIN Gmail-Logo
Google Groups https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logo: Google Groups
Google Notizen https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logo: Google Notizen
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logo: Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logo: YouTube

So konfigurieren Sie domainspezifische Dienst-URLs, damit sie zu AD FS weiterleiten:

  1. Klicken Sie in der Admin-Konsole auf der Seite SSO mit Drittanbieter-IDPs auf Domainspezifische Dienst-URLs > Bearbeiten.

    Zu den domainspezifischen Dienst-URLs

  2. Setzen Sie Nutzer automatisch an den externen IdP im folgenden SSO-Profil weiterleiten auf Aktiviert.

  3. Legen Sie SSO-Profil auf AD FS fest.

  4. Klicken Sie auf Speichern.

Optional: Identitätsbestätigungen konfigurieren

Google Log-in fordert Nutzer möglicherweise zur zusätzlichen Überprüfung auf, wenn sie sich von unbekannten Geräten aus anmelden oder wenn ihr Anmeldeversuch aus anderen Gründen verdächtig aussieht. Diese Identitätsbestätigungen verbessern die Sicherheit. Wir empfehlen, die Identitätsbestätigungen aktiviert zu lassen.

Wenn Sie feststellen, dass Identitätsbestätigungen zu viel Aufwand verursachen, können Sie die Identitätsbestätigung so deaktivieren:

  1. Wechseln Sie in der Admin-Konsole zu Sicherheit > Authentifizierung > Identitätsbestätigungen.
  2. Wählen Sie im linken Bereich eine Organisationseinheit aus, für die Sie die Identitätsbestätigung deaktivieren möchten. Wenn Sie die Identitätsbestätigung für alle Nutzer deaktivieren möchten, wählen Sie die Stammorganisationseinheit aus.
  3. Wählen Sie unter Einstellungen für Nutzer, die sich mit anderen SSO-Profilen anmelden die Option Keine zusätzliche Google-Identitätsbestätigung von Nutzern anfordern aus.
  4. Klicken Sie auf Speichern.

Bereinigen

Wenn Sie die Einmalanmeldung für Ihre Organisation nicht aktiviert lassen möchten, können Sie die Funktion in Cloud Identity oder Google Workspace deaktivieren:

  1. Gehen Sie in der Admin-Konsole zu SSO-Profilzuweisungen verwalten.

    Zur Seite „SSO-Profilzuweisungen verwalten“

  2. Führen Sie für jede Profilzuweisung folgende Schritte aus:

    1. Rufen Sie das Profil auf.
    2. Wenn die Schaltfläche Übernehmen angezeigt wird, klicken Sie auf Übernehmen. Wenn die Schaltfläche Übernehmen nicht angezeigt wird, wählen Sie Keine aus und klicken Sie auf Speichern.
  3. Kehren Sie zur Seite SSO mit Drittanbieter-IDPs zurück und öffnen Sie das SAML-Profil AD FS.

  4. Klicken Sie auf Löschen.

So bereinigen Sie die Konfiguration in AD FS:

  1. Stellen Sie eine Verbindung zu Ihrem AD FS-Server her und öffnen Sie das AD FS MMC-Snap-in.
  2. Klicken Sie im Menü links mit der rechten Maustaste auf den Ordner Vertrauensstellungen der vertrauenden Seite.
  3. Klicken Sie in der Liste der Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die von Ihnen erstellte Vertrauensstellung der vertrauenden Seite und klicken Sie dann auf Löschen.
  4. Bestätigen Sie den Löschvorgang mit Ja.

Nächste Schritte