Nutzerverwaltung und Einmalanmeldung (SSO) für Microsoft Entra ID (früher Azure AD)

Cloud Identity- oder Google Workspace-Konto vorbereiten

Nutzer für Microsoft Entra ID erstellen

Damit Microsoft Entra ID auf Ihr Cloud Identity- oder Google Workspace-Konto zugreifen kann, müssen Sie in Ihrem Cloud Identity- oder Google Workspace-Konto einen Nutzer für Microsoft Entra ID erstellen.

Der Microsoft Entra ID-Nutzer ist nur für die automatisierte Nutzerverwaltung vorgesehen. Daher sollten Sie es von anderen Nutzerkonten getrennt halten, indem Sie es in einer separaten Organisationseinheit platzieren. Durch die Verwendung einer separaten Organisationseinheit wird außerdem sichergestellt, dass Sie später die Einmalanmeldung für den Microsoft Entra ID-Nutzer deaktivieren können.

So erstellen Sie eine neue Organisationseinheit:

1. Rufen Sie die Admin-Konsole auf und melden Sie sich mit dem Super Admin-Nutzer an, der bei der Registrierung für Cloud Identity oder Google Workspace erstellt wurde.
2. Klicken Sie im Menü auf Verzeichnis > Organisationseinheiten.
3. Klicken Sie auf Organisationseinheit erstellen und geben Sie einen Namen und eine Beschreibung für die Organisationseinheit an:
   • Name: Automation
   • Beschreibung: Automation users
4. Klicken Sie auf Erstellen.

Erstellen Sie ein Nutzerkonto für Microsoft Entra ID und legen Sie es in der Organisationseinheit Automation ab:

1. Rufen Sie im Menü Verzeichnis > Nutzer auf und klicken Sie auf Neuen Nutzer hinzufügen, um einen Nutzer zu erstellen.

2. Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:

   • Vorname: Microsoft Entra ID
   • Nachname: Provisioning

   • Primäre E-Mail-Adresse: azuread-provisioning

     Behalten Sie die primäre Domain für die E-Mail-Adresse bei.

3. Klicken Sie auf Passwort, Organisationseinheit und Profilbild verwalten und konfigurieren Sie die folgenden Einstellungen:

   • Organisationseinheit: Wählen Sie die Organisationseinheit Automation aus, die Sie zuvor erstellt haben.
   • Passwort: Wählen Sie Passwort erstellen aus und geben Sie ein Passwort ein.
   • Bei nächster Anmeldung zur Passwortänderung auffordern: Deaktiviert.

4. Klicken Sie auf Neuen Nutzer hinzufügen.

5. Klicken Sie auf Fertig.

Berechtigungen für Microsoft Entra ID zuweisen

Damit Microsoft Entra ID Nutzer und Gruppen in Ihrem Cloud Identity- oder Google Workspace-Konto erstellen, auflisten und sperren kann, müssen Sie dem azuread-provisioning-Nutzer zusätzliche Berechtigungen erteilen:

• Damit Microsoft Entra ID alle Nutzer verwalten kann, einschließlich delegierter Administratoren und Super Admin-Nutzer, müssen Sie den azuread-provisioning-Nutzer zu einem Super Admin machen.

• Damit Microsoft Entra ID nur Nutzer verwalten kann, die keine Administratoren sind, reicht es aus, den azuread-provisioning-Nutzer zu einem delegierten Administrator zu machen. Als delegierter Administrator kann Microsoft Entra ID keine anderen delegierten Administratoren oder Super Admin-Nutzer verwalten.

Domains registrieren

In Cloud Identity und Google Workspace werden Nutzer und Gruppen anhand ihrer E-Mail-Adresse identifiziert. Die von diesen E-Mail-Adressen verwendeten Domains müssen dafür registriert und bestätigt werden.

Erstellen Sie eine Liste der DNS-Domains, die Sie registrieren müssen:

• Wenn Sie Nutzer nach UPN zuordnen möchten, fügen Sie der Liste alle von UPNs verwendeten Domains hinzu. Fügen Sie im Zweifelsfall alle benutzerdefinierten Domains des Microsoft Entra ID-Mandanten hinzu.
• Wenn Sie Nutzer nach E-Mail-Adresse zuordnen möchten, fügen Sie alle in E-Mail-Adressen verwendeten Domains hinzu. Die Liste der Domains unterscheidet sich möglicherweise von der Liste der benutzerdefinierten Domains des Microsoft Entra ID-Mandanten.

Wenn Sie Gruppen verwalten möchten, ergänzen Sie die Liste der DNS-Domains:

• Wenn Sie Gruppen nach E-Mail-Adresse zuordnen möchten, fügen Sie alle Domains hinzu, die in den E-Mail-Adressen der Gruppe verwendet werden. Fügen Sie im Zweifelsfall alle benutzerdefinierten Domains des Microsoft Entra ID-Mandanten hinzu.
• Wenn Sie Gruppen nach Namen zuordnen möchten, fügen Sie eine dedizierte Subdomain wie groups.PRIMARY_DOMAIN hinzu. Dabei ist PRIMARY_DOMAIN der primäre Domainname Ihres Cloud Identity- oder Google Workspace-Kontos.

Nachdem Sie nun die Liste der DNS-Domains ermittelt haben, können Sie alle fehlenden Domains registrieren. Führen Sie für jede Domain in der Liste, die noch nicht registriert ist, die folgenden Schritte aus:

1. Wählen Sie in der Admin-Konsole Konto > Domains > Domains verwalten aus.
2. Klicken Sie auf Domain hinzufügen.
3. Geben Sie den Domainnamen ein und wählen Sie Sekundäre Domain aus.
4. Klicken Sie auf Domain hinzufügen und Bestätigung starten und folgen Sie der Anleitung, um die Inhaberschaft der Domain zu bestätigen.

Bereitstellung von Microsoft Entra ID konfigurieren

Unternehmensanwendung erstellen

Sie können Microsoft Entra ID mit Ihrem Cloud Identity- oder Google Workspace-Konto verbinden. Richten Sie dazu die Gallery-Anwendung Google Cloud/G Suite Connector von Microsoft aus dem Microsoft Azure Marketplace ein.

Die Gallery App kann sowohl für die Nutzerverwaltung als auch für die Einmalanmeldung konfiguriert werden. In diesem Dokument verwenden Sie zwei Instanzen der Gallery-Anwendung: eine für die Nutzerverwaltung und eine für die Einmalanmeldung.

Erstellen Sie zuerst eine Instanz der Gallery App für die Nutzerverwaltung:

1. Öffnen Sie das Azure-Portal und melden Sie sich als Nutzer mit globalen Administratorberechtigungen an.
2. Wählen Sie Microsoft Entra ID > Unternehmensanwendungen aus.
3. Klicken Sie auf Neue Anwendung.
4. Suchen Sie nach Google Cloud und klicken Sie dann in der Ergebnisliste auf Google Cloud/G Suite Connector von Microsoft.
5. Legen Sie den Namen der Anwendung auf Google Cloud (Provisioning) fest.
6. Klicken Sie auf Erstellen.
7. Das Hinzufügen der Anwendung kann einige Sekunden dauern. Anschließend werden Sie auf eine Seite namens Google Cloud (Provisioning) – Overview (Google Cloud (Bereitstellung) – Übersicht) weitergeleitet.
8. Klicken Sie im Menü links auf Verwalten > Attribute:
   1. Geben Sie für Enabled for users to sign-in (Für Nutzer zur Anmeldung aktiviert) No (Nein) an.
   2. Geben Sie für Zuweisung erforderlich die Option Nein an.
   3. Wählen Sie für Visible to users (Für Nutzer sichtbar) No (Nein) aus.
   4. Klicken Sie auf Speichern.
9. Klicken Sie im Menü links auf Verwalten > Bereitstellung:
   1. Klicken Sie auf Jetzt starten.
   2. Ändern Sie Provisioning Mode (Bereitstellungsmodus) in Automatic (Automatisch).
   3. Klicken Sie auf Administrator-Anmeldedaten > Autorisieren.
   4. Melden Sie sich mit dem zuvor erstellten Nutzer azuread-provisioning@DOMAIN an. Dabei ist DOMAIN die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos.
   5. Da Sie sich zum ersten Mal mit diesem Nutzer anmelden, werden Sie aufgefordert, die Nutzungsbedingungen und die Datenschutzerklärung von Google zu akzeptieren.
   6. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Ich habe verstanden.
   7. Bestätigen Sie den Zugriff auf die Cloud Identity API. Klicken Sie dazu auf Zulassen.
   8. Klicken Sie auf Verbindung testen, um zu prüfen, ob sich Microsoft Entra ID bei Cloud Identity oder Google Workspace erfolgreich authentifizieren kann.
   9. Klicken Sie auf Speichern.

Nutzerverwaltung konfigurieren

Die richtige Methode zum Konfigurieren der Nutzerverwaltung hängt davon ab, ob Sie Nutzer nach E-Mail-Adresse oder nach UPN zuordnen möchten.

Sie müssen Zuordnungen für primaryEmail, name.familyName, name.givenName und suspended konfigurieren. Alle anderen Attributzuordnungen sind optional.

Beachten Sie beim Konfigurieren zusätzlicher Attributzuordnungen Folgendes:

• In der Galerie Google Cloud/G Suite Connector von Microsoft können Sie derzeit keine E-Mail-Aliasse zuweisen.
• In der Galerie Google Cloud/G Suite Connector von Microsoft können Sie Nutzern derzeit keine Lizenzen zuweisen. Als Behelfslösung können Sie die automatische Lizenzierung für Organisationseinheiten einrichten.
• Wenn Sie einen Nutzer einer Organisationseinheit zuweisen möchten, fügen Sie eine Zuordnung für OrgUnitPath hinzu. Der Pfad muss mit einem /-Zeichen beginnen und muss auf eine Organisationseinheit verweisen, die bereits vorhanden ist, z. B. /employees/engineering.

Nutzerverwaltung für Gruppen konfigurieren

Die richtige Methode zum Konfigurieren der Nutzerverwaltung für Gruppen hängt davon ab, ob Ihre Gruppen für E-Mails aktiviert sind. Wenn Gruppen nicht für E-Mails aktiviert sind oder Gruppen eine E-Mail-Adresse verwenden, die mit "onmicrosoft.com" endet, können Sie eine E-Mail-Adresse aus dem Namen der Gruppe ableiten.

Nutzerzuweisung konfigurieren

Wenn Sie wissen, dass nur eine bestimmte Teilmenge von Nutzern Zugriff auf Google Cloud benötigt, können Sie optional die Menge der einzurichtenden Nutzer beschränken. In diesem Fall weisen Sie die Unternehmensanwendung nur bestimmten Nutzern oder Nutzergruppen zu.

Wenn Sie alle Nutzer in die Nutzerverwaltung einbeziehen möchten, überspringen Sie die folgenden Schritte.

1. Klicken Sie im Menü links auf Verwalten > Nutzer und Gruppen.
2. Wählen Sie die Nutzer oder Gruppen aus, die Sie in die Nutzerverwaltung einbeziehen möchten. Wenn Sie eine Gruppe auswählen, werden alle Mitglieder dieser Gruppe automatisch einbezogen.
3. Klicken Sie auf Zuweisen.

Automatische Nutzerverwaltung aktivieren

Im nächsten Schritt konfigurieren Sie Microsoft Entra ID, um Nutzer automatisch für Cloud Identity oder Google Workspace zu verwalten:

1. Klicken Sie im Menü links auf Verwalten > Bereitstellung.
2. Wählen Sie Nutzerverwaltung bearbeiten aus.
3. Setzen Sie den Bereitstellungsstatus auf Ein.

4. Legen Sie unter Einstellungen eine der folgenden Optionen für Bereich fest:

   1. Sync only assigned users and groups (Nur zugewiesene Nutzer und Gruppen synchronisieren), wenn Sie die Nutzerzuweisung konfiguriert haben.
   2. Sync all users and groups (Alle Nutzer und Gruppen synchronisieren) in allen anderen Fällen.

   Wenn das Feld zum Festlegen des Bereichs nicht angezeigt wird, klicken Sie auf Save (Speichern) und aktualisieren Sie die Seite.

5. Klicken Sie auf Speichern.

Microsoft Entra ID startet eine erste Synchronisierung. Je nach Anzahl der Nutzer und Gruppen im Verzeichnis kann dieser Vorgang mehrere Minuten oder Stunden dauern. Aktualisieren Sie die Browserseite, um den Status der Synchronisierung am unteren Seitenrand anzeigen zu lassen, oder wählen Sie Audit-Logs im Menü aus, um weitere Details aufzurufen.

Nach der ersten Synchronisierung gibt Microsoft Entra ID dann regelmäßig Updates von Microsoft Entra ID an Ihr Cloud Identity- oder Google Workspace-Konto weiter. Weitere Informationen dazu, wie Microsoft Entra ID Nutzer- und Gruppenänderungen verarbeitet, finden Sie unter Nutzerlebenszyklus zuordnen und Gruppenlebenszyklus zuordnen.

Fehlerbehebung

Wenn die Synchronisierung nicht innerhalb von fünf Minuten startet, können Sie den Start mit folgenden Schritten erzwingen:

1. Klicken Sie auf Edit provisioning.
2. Setzen Sie den Provisioning Status (Bereitstellungsstatus) auf Off (Aus).
3. Klicken Sie auf Speichern.
4. Setzen Sie den Bereitstellungsstatus auf Ein.
5. Klicken Sie auf Speichern.
6. Schließen Sie das Dialogfeld zur Bereitstellung.
7. Klicken Sie auf Bereitstellung neu starten.

Wenn die Synchronisierung noch nicht startet, klicken Sie auf Test Connection (Verbindung testen), um zu überprüfen, ob Ihre Anmeldeinformationen erfolgreich gespeichert wurden.

Microsoft Entra ID für Einmalanmeldung (SSO) konfigurieren

Alle relevanten Microsoft Entra ID-Nutzer werden jetzt automatisch in Cloud Identity oder Google Workspace bereitgestellt, können aber noch nicht zum Anmelden verwendet werden. Damit Nutzer sich anmelden können, müssen Sie die Einmalanmeldung (SSO) konfigurieren.

SAML-Profil erstellen

Zum Konfigurieren der Einmalanmeldung (SSO) mit Microsoft Entra ID erstellen Sie zuerst ein SAML-Profil in Ihrem Cloud Identity- oder Google Workspace-Konto. Das SAML-Profil enthält die Einstellungen für Ihren Microsoft Entra ID-Mandanten, einschließlich der URL und des Signaturzertifikats.

Später weisen Sie das SAML-Profil dann bestimmten Gruppen oder Organisationseinheiten zu.

So erstellen Sie ein neues SAML-Profil in Ihrem Cloud Identity- oder Google Workspace-Konto:

1. Gehen Sie in der Admin-Konsole zu SSO mit Drittanbieter-IdP.

   Zu „SSO mit Drittanbieter-IdP“

2. Klicken Sie auf Externe SSO-Profile > SAML-Profil hinzufügen.

3. Geben Sie auf der Seite SAML SSO Profile (SAML-SSO-Profil) die folgenden Einstellungen ein:

   • Name: Entra ID
   • IdP-Entitäts-ID: Lassen Sie das Feld leer.
   • URL für Anmeldeseite: Lassen Sie das Feld leer.
   • URL für Abmeldeseite: Lassen Sie das Feld leer.
   • Passwort-URL ändern:: Lassen Sie das Feld leer.

   Laden Sie noch kein Bestätigungszertifikat hoch.

4. Klicken Sie auf Speichern.

   Die angezeigte Seite SAML-SSO-Profil enthält zwei URLs:

   • Entitäts-ID
   • ACS-URL

   Sie benötigen diese URLs im nächsten Abschnitt, wenn Sie Microsoft Entra ID konfigurieren.

Microsoft Entra ID-Anwendung erstellen

Erstellen Sie eine zweite Unternehmensanwendung für die Einmalanmeldung (SSO).

1. Klicken Sie im Azure-Portal auf Microsoft Entra ID > Unternehmensanwendungen.
2. Klicken Sie auf Neue Anwendung.
3. Suchen Sie nach Google Cloud und klicken Sie dann in der Ergebnisliste auf Google Cloud/G Suite Connector von Microsoft.
4. Legen Sie den Namen der Anwendung auf Google Cloud fest.

5. Klicken Sie auf Erstellen.

   Das Hinzufügen der Anwendung kann einige Sekunden dauern. Sie werden dann auf die Seite Google Cloud – Overview (Google Cloud Platform – Übersicht) weitergeleitet.

6. Klicken Sie im Menü links auf Verwalten > Attribute:

7. Geben Sie für Enabled for users to sign-in (Für Nutzer zur Anmeldung aktiviert) Yes (Ja) an.

8. Geben Sie für Assignment required (Nutzerzuweisung erforderlich) Yes (Ja) an, damit die Einmalanmeldung (SSO) nicht für alle Nutzer zulässig ist.

9. Klicken Sie auf Speichern.

Nutzerzuweisung konfigurieren

Wenn Sie bereits wissen, dass nur eine bestimmte Teilmenge von Nutzern Zugriff auf Google Cloud benötigt, können Sie optional die Menge der Nutzer beschränken, die sich anmelden können. In diesem Fall weisen Sie die Unternehmensanwendung nur bestimmten Nutzern oder Nutzergruppen zu.

Wenn Sie für User assignment required (Nutzerzuweisung erforderlich) No (Nein) angeben, können Sie die folgenden Schritte überspringen.

1. Klicken Sie im Menü links auf Verwalten > Nutzer und Gruppen.
2. Fügen Sie die Nutzer oder Gruppen hinzu, für die Sie die Einmalanmeldung (SSO) zulassen möchten.
3. Klicken Sie auf Zuweisen.

Aktivieren Sie Single Sign On (Einmalanmeldung (SSO)).

Damit Cloud Identity Microsoft Entra ID für die Authentifizierung verwenden kann, müssen Sie die folgenden Einstellungen anpassen:

1. Klicken Sie im Menü links auf Verwalten > Einmalanmeldung (SSO).
2. Klicken Sie im Auswahlbildschirm auf die Karte SAML.
3. Klicken Sie in der Karte SAML-Basiskonfiguration auf edit Bearbeiten.

4. Geben Sie im Dialogfeld Basic SAML Configuration (SAML-Basiskonfiguration) die folgenden Einstellungen ein:

   1. ID (Entitäts-ID):
      • Fügen Sie die Entitäts-URL aus Ihrem SSO-Profil hinzu und setzen Sie Standard auf Aktiviert.
      • Entfernen Sie alle anderen Einträge.
   2. Antwort-URL: Fügen Sie die ACS-URL aus Ihrem SSO-Profil hinzu.

   3. Anmelde-URL:

      https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
      

      Ersetzen Sie PRIMARY_DOMAIN durch den primären Domainnamen, der von Ihrem Cloud Identity- oder Google Workspace-Konto verwendet wird.

5. Klicken Sie auf Speichern und schließen Sie das Dialogfeld. Klicken Sie dazu auf X.

6. Suchen Sie auf der Karte SAML-Signaturzertifikat den Eintrag Zertifikat (Base 64) und klicken Sie auf Herunterladen, um das Zertifikat auf Ihren lokalen Computer herunterzuladen.

7. Auf der Karte Google Cloud Platform einrichten finden Sie zwei URLs:

   • Anmelde-URL
   • Microsoft Entra ID-ID

   Sie benötigen diese URLs im nächsten Abschnitt, wenn Sie das SAML-Profil ausfüllen.

Die verbleibenden Schritte unterscheiden sich je nachdem, ob Sie Nutzer nach E-Mail-Adresse oder nach UPN zuordnen.

SAML-Profil ausfüllen

Schließen Sie die Konfiguration Ihres SAML-Profils ab:

1. Kehren Sie zur Admin-Konsole zurück und gehen Sie zu Sicherheit > Authentifizierung > SSO mit Drittanbieter-IdP.

   Zu „SSO mit Drittanbieter-IdP“

2. Öffnen Sie das SAML-Profil Entra ID, das Sie zuvor erstellt haben.

3. Klicken Sie auf den Abschnitt IdP-Details, um die Einstellungen zu bearbeiten.

4. Geben Sie die folgenden Einstellungen ein:

   • IdP-Entitäts-ID: Geben Sie den Microsoft Entra Identifier von der Karte Google Cloud einrichten im Azure-Portal ein.
   • Anmeldeseiten-URL: Geben Sie die Login-URL von der Karte Google Cloud einrichten im Azure-Portal ein.
   • URL für Abmeldeseite: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
   • Passwort-URL ändern: https://account.activedirectory.windowsazure.com/changepassword.aspx

5. Klicken Sie unter Bestätigungszertifikat auf Zertifikat hochladen und wählen Sie das Tokensignaturzertifikat aus, das Sie zuvor heruntergeladen haben.

6. Klicken Sie auf Speichern.

Das Microsoft Entra ID-Tokensignaturzertifikat ist für eine begrenzte Zeit gültig und Sie müssen das Zertifikat rotieren, bevor es abläuft. Weitere Informationen finden Sie weiter unten in diesem Dokument unter SSO-Zertifikat rotieren.

Das SAML-Profil ist vollständig, Sie müssen es aber noch zuweisen.

SAML-Profil zuweisen

Wählen Sie die Nutzer aus, auf die das neue SAML-Profil angewendet werden soll:

1. Klicken Sie in der Admin-Konsole auf der Seite SSO mit Drittanbieter-IdPs auf SSO-Profilzuweisungen verwalten > Verwalten.

   Zur Seite „SSO-Profilzuweisungen verwalten“

2. Wählen Sie im linken Bereich die Gruppe oder Organisationseinheit aus, auf die Sie das SSO-Profil anwenden möchten. Wählen Sie die Stammorganisationseinheit aus, wenn das Profil auf alle Nutzer angewendet werden soll.

3. Wählen Sie im rechten Bereich Ein anderes SSO-Profil aus.

4. Wählen Sie im Menü das SSO-Profil Entra ID - SAML aus, das Sie zuvor erstellt haben.

5. Klicken Sie auf Speichern.

Wiederholen Sie die obigen Schritte, um das SAML-Profil einer anderen Gruppe oder Organisationseinheit zuzuweisen.

Aktualisieren Sie die SSO-Einstellungen für die Organisationseinheit Automation, um die Einmalanmeldung zu deaktivieren:

1. Wählen Sie im linken Bereich die Organisationseinheit Automation aus.
2. Wählen Sie im rechten Bereich Keine aus.
3. Klicken Sie auf Überschreiben.

Optional: Weiterleitungen für domainspezifische Dienst-URLs konfigurieren

Wenn Sie von internen Portalen oder Dokumenten aus eine Verknüpfung zur Google Cloud Console herstellen, können Sie die Nutzererfahrung mithilfe von domainspezifischen Dienst-URLs verbessern.

Im Gegensatz zu regulären Dienst-URLs wie https://console.cloud.google.com/ enthalten domainspezifische Dienst-URLs den Namen Ihrer primären Domain. Nicht authentifizierte Nutzer, die auf einen Link zu einer URL für einen domainspezifischen Dienst klicken, werden sofort zu Entra ID weitergeleitet und nicht zuerst eine Google-Anmeldeseite angezeigt.

Beispiele für domainspezifische Dienst-URLs:

Google-Dienst	URL	Logo
Google Cloud Console	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com
Google Docs	https://docs.google.com/a/DOMAIN
Google Tabellen	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Groups	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Notizen	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com

So konfigurieren Sie domainspezifische Dienst-URLs, damit sie zu Entra ID weiterleiten:

1. Klicken Sie in der Admin-Konsole auf der Seite SSO mit Drittanbieter-IDPs auf Domainspezifische Dienst-URLs > Bearbeiten.

   Zu den domainspezifischen Dienst-URLs

2. Setzen Sie Nutzer automatisch an den externen IdP im folgenden SSO-Profil weiterleiten auf Aktiviert.

3. Legen Sie SSO-Profil auf Entra ID fest.

4. Klicken Sie auf Speichern.

Optional: Identitätsbestätigungen konfigurieren

Google Log-in fordert Nutzer möglicherweise zur zusätzlichen Überprüfung auf, wenn sie sich von unbekannten Geräten aus anmelden oder wenn ihr Anmeldeversuch aus anderen Gründen verdächtig aussieht. Diese Identitätsbestätigungen verbessern die Sicherheit. Wir empfehlen, die Identitätsbestätigungen aktiviert zu lassen.

Wenn Sie feststellen, dass Identitätsbestätigungen zu viel Aufwand verursachen, können Sie die Identitätsbestätigung so deaktivieren:

1. Wechseln Sie in der Admin-Konsole zu Sicherheit > Authentifizierung > Identitätsbestätigungen.
2. Wählen Sie im linken Bereich eine Organisationseinheit aus, für die Sie die Identitätsbestätigung deaktivieren möchten. Wenn Sie die Identitätsbestätigung für alle Nutzer deaktivieren möchten, wählen Sie die Stammorganisationseinheit aus.
3. Wählen Sie unter Einstellungen für Nutzer, die sich mit anderen SSO-Profilen anmelden die Option Keine zusätzliche Google-Identitätsbestätigung von Nutzern anfordern aus.
4. Klicken Sie auf Speichern.

Einmalanmeldung (SSO) testen

Sie haben jetzt die Konfiguration der Einmalanmeldung (SSO) sowohl in Microsoft Entra ID als auch in Cloud Identity oder Google Workspace abgeschlossen und haben nun zwei Optionen, um auf Google Cloud zuzugreifen:

• Über eine der Anwendungen, die im Microsoft Office-Portal aufgeführt sind
• Direkt durch Öffnen von https://console.cloud.google.com/

Führen Sie den folgenden Test aus, um zu prüfen, ob die zweite Option wie beabsichtigt funktioniert:

1. Wählen Sie einen Microsoft Entra ID-Nutzer aus, der in Cloud Identity oder Google Workspace bereitgestellt wurde und dem keine Super Admin-Rechte zugewiesen wurden. Nutzer mit Super Admin-Berechtigungen müssen sich immer mit Google-Anmeldedaten anmelden und eignen sich daher nicht zum Testen der Einmalanmeldung (SSO).
2. Öffnen Sie ein neues Browserfenster und rufen Sie https://console.cloud.google.com/ auf.

3. Geben Sie auf der angezeigten Google Log-in-Seite die E-Mail-Adresse des Nutzers ein und klicken Sie auf Weiter. Wenn Sie die Domainersetzung verwenden, muss es sich bei dieser Adresse um die E-Mail-Adresse handeln, auf die die Ersetzung angewendet wird.

   

4. Sie werden zu Microsoft Entra ID weitergeleitet und sehen eine weitere Aufforderung zur Anmeldung. Geben Sie die E-Mail-Adresse des Nutzers ohne Domainersetzung ein und klicken Sie auf Weiter.

   

5. Nach der Eingabe Ihres Passworts werden Sie gefragt, ob Sie angemeldet bleiben möchten oder nicht. Wählen Sie Nein aus.

   Nach erfolgreicher Authentifizierung werden Sie von Microsoft Entra ID zurück zu Google Log-in weitergeleitet. Da Sie sich zum ersten Mal mit diesem Nutzer angemeldet haben, werden Sie aufgefordert, die Nutzungsbedingungen und die Datenschutzerklärung von Google zu akzeptieren.

6. Wenn Sie mit den Nutzungsbedingungen einverstanden sind, klicken Sie auf Ich habe verstanden.

   Sie werden zur Google Cloud Console weitergeleitet. Dort werden Sie aufgefordert, die Einstellungen zu bestätigen und die Nutzungsbedingungen von Google Cloud zu akzeptieren.

7. Wenn Sie den Bedingungen zustimmen, wählen Sie Ja und klicken Sie auf Zustimmen und Fortfahren.

8. Klicken Sie oben links auf der Seite auf das Avatarsymbol und anschließend auf Abmelden.

   Sie werden auf eine Microsoft Entra ID-Seite weitergeleitet, auf der die Abmeldung bestätigt wird.

Beachten Sie, dass Nutzer mit Super Admin-Berechtigungen von der Einmalanmeldung ausgenommen sind. Sie können über die Admin-Konsole jedoch weiterhin Einstellungen prüfen oder ändern.

Einmalanmeldungszertifikat rotieren

Das Microsoft Entra ID-Tokensignaturzertifikat ist nur einige Monate gültig. Sie müssen das Zertifikat ersetzen, bevor es abläuft.

Fügen Sie Microsoft Entra ID ein zusätzliches Zertifikat hinzu, um ein Signaturzertifikat zu rotieren:

1. Wechseln Sie im Azure-Portal zu Microsoft Entra ID > Unternehmensanwendungen und öffnen Sie die von Ihnen erstellte Anwendung für die Einmalanmeldung.
2. Klicken Sie im Menü links auf Verwalten > Einmalanmeldung (SSO).

3. Klicken Sie auf der Karte SAML-Signaturzertifikat auf edit Bearbeiten.

   Sie sehen eine Liste mit einem oder mehreren Zertifikaten. Ein Zertifikat ist als Aktiv markiert.

4. Klicken Sie auf Neues Zertifikat.

5. Behalten Sie die Standardsignatureinstellungen bei und klicken Sie auf Speichern.

   Das Zertifikat wird der Liste der Zertifikate hinzugefügt und ist als inaktiv markiert.

6. Wählen Sie das neue Zertifikat aus und klicken Sie auf more_horiz > Base64-Zertifikat herunterladen.

   Lassen Sie das Browserfenster geöffnet und schließen Sie das Dialogfeld nicht.

So verwenden Sie das neue Zertifikat:

1. Öffnen Sie eine neuen Tab im Browser oder ein neues Browserfenster.

2. Öffnen Sie die Admin-Konsole und gehen Sie zu SSO mit Drittanbieter-IdP.

   Zu „SSO mit Drittanbieter-IdP“

3. Öffnen Sie das SAML-Profil Entra ID.

4. Klicken Sie auf IdP-Details.

5. Klicken Sie auf Weiteres Zertifikat hochladen und wählen Sie das neue Zertifikat aus, das Sie zuvor heruntergeladen haben.

6. Klicken Sie auf Speichern.

7. Kehren Sie zum Microsoft Entra ID-Portal und zum SAML-Signaturzertifikat zurück.

8. Wählen Sie das neue Zertifikat aus und klicken Sie auf more_horiz > Zertifikat aktivieren.

9. Klicken Sie auf Ja, um das Zertifikat zu aktivieren.

   Microsoft Entra ID verwendet jetzt das neue Signaturzertifikat.

10. Testen Sie, ob das SSO wie erwartet funktioniert. Weitere Informationen finden Sie unter Einmalanmeldung (SSO) testen.

So entfernen Sie das alte Zertifikat:

1. Kehren Sie zur Admin-Konsole und zum SAML-Profil Entra ID zurück.
2. Klicken Sie auf IdP-Details.
3. Vergleichen Sie unter Bestätigungszertifikat die Ablaufdaten Ihrer Zertifikate, um das alte Zertifikat zu finden, und klicken Sie auf delete.
4. Klicken Sie auf Speichern.