Google Workspace OIDC Federation Anleitung
Zuletzt aktualisiert am
Richten Sie eine OpenID Connect (OIDC)-Federation mit Google Workspace ein. Der STACKIT IdP agiert als Relying Party (RP) und Ihre Google Workspace-Umgebung als Identity Provider (IdP).
Verhalten bei der Erstellung von Benutzerkonten
Abschnitt betitelt „Verhalten bei der Erstellung von Benutzerkonten“OIDC-Federationen in STACKIT können so konfiguriert werden, dass Benutzer beim ersten erfolgreichen Login automatisch erstellt werden (auch bekannt als JIT-Benutzererstellung), abhängig von Ihren Onboarding-Anforderungen.
- Automatische Erstellung aktiviert: Benutzer werden beim ersten erfolgreichen OIDC-Login erstellt, sofern sie nicht bereits existieren.
- Automatische Erstellung deaktiviert: Benutzer müssen bereits existieren (beispielsweise durch SCIM-Provisionierung oder manuelle Einrichtung), bevor sie sich anmelden können.
Legen Sie Ihren bevorzugten Modus während des Onboardings fest, damit die Federation entsprechend konfiguriert werden kann.
Schritt 0: Erstellen Sie eine Google-Anwendung
Abschnitt betitelt „Schritt 0: Erstellen Sie eine Google-Anwendung“Um diese Federation mit Google zu konfigurieren, müssen die folgenden Schritte von Ihrer Seite aus durchgeführt werden.
- Google-Anwendung erstellen: Sie müssen die Anwendung auf Google erstellen, um die
erforderlichen Zugangsdaten für die Einrichtung der Federation zu erhalten.
Beim Erstellen des Clients lautet die Redirect-URL:https://developers.google.com/identity/openid-connect/openid-connecthttps://accounts.stackit.cloud/ui/login/login/externalidp/callback
- Token-Claims: Die Anwendung muss das Token in der „Token-Konfiguration“ mit den folgenden
Claims konfigurieren:
- family_name
- given_name
- preferred_username
Schritt 1: Eröffnen Sie ein Support-Ticket
Abschnitt betitelt „Schritt 1: Eröffnen Sie ein Support-Ticket“Eröffnen Sie ein Support-Ticket mit den folgenden Informationen:
Allgemeine Informationen
- Federationstyp: OpenID Connect (OIDC)
- Grund für die Integration: Kurze Erläuterung (zum Beispiel „SSO über Google Workspace aktivieren“)
- Email-Domänen: Alle primären und sekundären Email-Domänen, die Ihre Mitarbeitenden über Google Workspace verwenden
- Modus für die Erstellung von Benutzerkonten:
Automatische Erstellung aktiviertoderAutomatische Erstellung deaktiviertOIDC-spezifische Informationen
| Pflichtfeld | Beschreibung | Ihre Eingabe |
|---|---|---|
| Issuer | Issuer-ID für den OIDC-Dienst von Google | https://accounts.google.com/ |
| Client-ID | ID, die dem STACKIT-Dienst in Ihrem Google Cloud-Projekt in Schritt 0 zugewiesen wurde | Anwendungs-(Client-)ID aus den Zugangsdaten |
| Client-Secret | Für die Client-ID generierter geheimer Schlüssel | Sicher bereitstellen |
| Scopes | Erforderliche Berechtigungen (mindestens openid erforderlich) | openid email profile |
| Anzeigename (optional) | Interner Name für diese Federation (Kleinbuchstaben und Unterstriche verwenden) | google_workspace_acme_corp |
Claims-Mapping definieren
Sie können das Benutzerfeld-Mapping von Google Workspace zu unserem IdP angeben. Wenn Sie die unten stehenden Standard-OIDC-Claims von Google Workspace verwenden, ist dies nicht erforderlich:
| STACKIT IdP-Feld | Google Workspace-Claim | Anmerkungen |
|---|---|---|
| Eindeutige Benutzer-ID | sub | Standardmäßige eindeutige Kennung von Google |
| E-Mail-Adresse | email | Primäre E-Mail-Adresse des Benutzers |
| Bevorzugter Name | name | Vollständiger Name des Benutzers |
| Vorname | given_name | Vorname des Benutzers |
| Nachname | family_name | Nachname des Benutzers |
Schritt 2: Verifizierung
Abschnitt betitelt „Schritt 2: Verifizierung“Bestätigen Sie, dass die Federation funktioniert, und melden Sie uns das Ergebnis oder alle aufgetretenen Probleme.
Federation-Typ ändern
Abschnitt betitelt „Federation-Typ ändern“Wenn Sie eine bestehende Federation über ein anderes Protokoll nutzen und zu OIDC mit Google Workspace wechseln, verläuft der Übergang nahtlos. Solange die E-Mail-Adressen gleich bleiben, verlieren Benutzer weder Zugriff noch Daten. Benutzerkonten sind an E-Mail-Adressen gebunden, nicht an Federation-Methoden.