Zum Inhalt springen

Google Workspace OIDC Federation Anleitung

Zuletzt aktualisiert am

Richten Sie eine OpenID Connect (OIDC)-Federation mit Google Workspace ein. Der STACKIT IdP agiert als Relying Party (RP) und Ihre Google Workspace-Umgebung als Identity Provider (IdP).

OIDC-Federationen in STACKIT können so konfiguriert werden, dass Benutzer beim ersten erfolgreichen Login automatisch erstellt werden (auch bekannt als JIT-Benutzererstellung), abhängig von Ihren Onboarding-Anforderungen.

  • Automatische Erstellung aktiviert: Benutzer werden beim ersten erfolgreichen OIDC-Login erstellt, sofern sie nicht bereits existieren.
  • Automatische Erstellung deaktiviert: Benutzer müssen bereits existieren (beispielsweise durch SCIM-Provisionierung oder manuelle Einrichtung), bevor sie sich anmelden können.

Legen Sie Ihren bevorzugten Modus während des Onboardings fest, damit die Federation entsprechend konfiguriert werden kann.

Um diese Federation mit Google zu konfigurieren, müssen die folgenden Schritte von Ihrer Seite aus durchgeführt werden.

  1. Google-Anwendung erstellen: Sie müssen die Anwendung auf Google erstellen, um die erforderlichen Zugangsdaten für die Einrichtung der Federation zu erhalten.
    https://developers.google.com/identity/openid-connect/openid-connect
    Beim Erstellen des Clients lautet die Redirect-URL:
    https://accounts.stackit.cloud/ui/login/login/externalidp/callback
  2. Token-Claims: Die Anwendung muss das Token in der „Token-Konfiguration“ mit den folgenden Claims konfigurieren:
    • email
    • family_name
    • given_name
    • preferred_username

Eröffnen Sie ein Support-Ticket mit den folgenden Informationen:

Allgemeine Informationen

  • Federationstyp: OpenID Connect (OIDC)
  • Grund für die Integration: Kurze Erläuterung (zum Beispiel „SSO über Google Workspace aktivieren“)
  • Email-Domänen: Alle primären und sekundären Email-Domänen, die Ihre Mitarbeitenden über Google Workspace verwenden
  • Modus für die Erstellung von Benutzerkonten: Automatische Erstellung aktiviert oder Automatische Erstellung deaktiviert OIDC-spezifische Informationen

Claims-Mapping definieren

Sie können das Benutzerfeld-Mapping von Google Workspace zu unserem IdP angeben. Wenn Sie die unten stehenden Standard-OIDC-Claims von Google Workspace verwenden, ist dies nicht erforderlich:

Bestätigen Sie, dass die Federation funktioniert, und melden Sie uns das Ergebnis oder alle aufgetretenen Probleme.

Wenn Sie eine bestehende Federation über ein anderes Protokoll nutzen und zu OIDC mit Google Workspace wechseln, verläuft der Übergang nahtlos. Solange die E-Mail-Adressen gleich bleiben, verlieren Benutzer weder Zugriff noch Daten. Benutzerkonten sind an E-Mail-Adressen gebunden, nicht an Federation-Methoden.