Google SAML -Konfigurationshandbuch für Jitterbit App Builder
Zweck des Dokuments
Beschreiben Sie die erforderlichen Konfigurationsschritte, um App Builder so zu konfigurieren, dass Google als externer SAML Sicherheitsanbieter für die Benutzerauthentifizierung verwendet wird.
Einführung
SAML verwendet die Terminologie IdP (Identity Provider) und SP (Service Provider), um die beiden beteiligten Systeme in einer SAML -Konfiguration zu beschreiben. In diesem Fall ist Google Workspace der IdP und die App Builder Instanz der SP.
Die Konfiguration der externen Authentifizierung erfordert die Einrichtung sowohl beim IdP als auch beim SP. In beiden Fällen sind Administratorrechte erforderlich.
Wichtig
Die in dieser Anleitung angegebenen Beispielwerte sind repräsentativ, aber fiktiv und sollten nicht in realen Konfigurationen verwendet werden.
Schritte im App Builder
Erstellen eines Sicherheitsanbieters
- Melden Sie sich als Administrator beim App Builder an
- Navigieren Sie zu IDE > Sicherheitsanbieter
- Im Abschnitt Benutzerauthentifizierung + Benutzerauthentifizierung ein neuer Sicherheitsanbieter
-
Geben Sie die folgenden Werte ein:
- Name: Kurzer, beschreibender Name für den Sicherheitsanbieter. Leerzeichen sollten möglichst vermieden werden. Diese Zeichenfolge wird in ihrer genauen Form Teil der ACS URL.
- Typ: Externe Authentifizierung > SAML
- Priorität: Standardvorschlag akzeptieren oder nach Ihren Wünschen aktualisieren
- Aktiviert: Aktivieren
- Weiterleitung bei Herausforderung: Prüfen
- Im Anmeldeformular anzeigen: Aktivieren
- Benutzerbereitstellung: Prüfen
- Store-Ansprüche: Aktivieren. Diese Einstellung ist bei der Ersteinrichtung und Fehlerbehebung wichtig, kann aber später bei Bedarf entfernt werden.
-
Klicken Sie auf Speichern
Schritte in Google Workspace
Hinweis
Beachten Sie, dass Sie Superadministrator Ihres Google Workspace sein müssen, um diese Schritte ausführen zu können.
Einrichten Ihrer benutzerdefinierten SAML -App
- Melden Sie sich bei Ihrer Google Admin-Konsole an
- Gehen Sie auf der Startseite der Admin-Konsole zu Apps > Web- und mobile Apps
- Klicken Sie auf App hinzufügen > Benutzerdefinierte SAML -App hinzufügen
-
Auf der Seite „App-Details“:
- Geben Sie den App-Namen der benutzerdefinierten App ein. Beispiel: App Builder Instanz. Normalerweise geben Sie Dev, QA oder Prod bzw. den Zweck der Instanz, falls abweichend, als Teil des App-Namens an. Dieser Wert dient ausschließlich als Bezeichnung in Google Workspace und wird nicht anderweitig verwendet.
- (Optional) Laden Sie ein App-Symbol hoch. Wenn Sie kein Symbol hochladen, wird ein Symbol aus den ersten beiden Buchstaben des App-Namens erstellt.
Beispiel für eine benutzerdefinierte SAML App-Konfiguration
-
Klicken Sie auf Weiter
-
Beachten Sie auf der Detailseite des Google Identity Providers die vom Dienstanbieter benötigten Einrichtungsinformationen. Diese Werte sind spezifisch für das Google Workspace-Konto und nicht allgemein:
- SSO URL: Zum Beispiel:
https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
- Entitäts-ID: Zum Beispiel:
https://accounts.google.com/o/saml2?idpid=C01D02E032
- Zertifikat
- SSO URL: Zum Beispiel:
-
Klicken Sie auf Weiter. Sie können später auf diese Werte zurückgreifen, indem Sie auf Metadaten herunterladen klicken.
- Geben Sie im Fenster „Service Provider Details“ eine ACS URL und eine Entity-ID für Ihre benutzerdefinierte App ein. Beachten Sie, dass bei den Pfadteilen der folgenden URLs die Groß- und Kleinschreibung beachtet wird (d. h. der Teil nach dem FQDN).
-
ACS URL: Die URL des Stammverzeichnisses der App Builder Instanz mit folgendem Anhang:
/signin-<name of service provider>
- Zum Beispiel:
https://example.zudy.com/App Builder/signin-GoogleSAML
- Hinweis: Die ACS URL muss mit beginnen
https://
- Zum Beispiel:
-
Entitäts-ID: Die Stamminstanz der App Builder Instanz. Diese muss mit einem Schrägstrich enden. - Zum Beispiel:
https://example.zudy.com/App Builder/
- Aktivieren Sie das Kontrollkästchen Signierte Antwort
- Das Standardformat Namens-ID kann auf dem Standardformat (primäre Email) belassen werden.
-
Weitere Informationen zur Name-ID-Zuordnung finden Sie hier: SAML App-Katalog. Bei Bedarf können Sie auch benutzerdefinierte Attribute erstellen, entweder in der Admin-Konsole oder über Google Admin SDK APIs und ordnen Sie diese zu. Benutzerdefinierte Attribute müssen vor der Einrichtung Ihrer SAML -App erstellt werden und sind für App Builder im Allgemeinen nicht erforderlich. Beispielkonfiguration:
Benutzerdefinierte SAML -App-Konfiguration in Google Workspace
-
Klicken Sie auf Weiter
- Beachten Sie, dass auf der Seite Attributzuordnung bei Bedarf weitere Zuordnungen erstellt werden können. Klicken Sie auf Fertigstellen. Falls weitere Zuordnungen erforderlich sind, können diese später konfiguriert werden. Beim Konfigurieren der Zuordnungen müssen die Werte der App-Attribute mit den im App Builder unter Anspruchstypen angegebenen Werten der Kennung übereinstimmen.
- Klicken Sie auf Fertig
- Klicken Sie auf der Seite Anwendung (unter Web- und mobile Apps) im Abschnitt Benutzerzugriff auf den Abwärtspfeil
-
Der Zugriff kann für Gruppen, Organisationseinheiten oder für alle Nutzer im Konto konfiguriert werden. Der Einfachheit halber empfehlen wir, den Zugriff für alle zu aktivieren. Wenn nur einer begrenzten Anzahl von Nutzern Zugriff gewährt werden soll, finden Sie in der Google Workspace-Dokumentation Informationen zum Erstellen und Konfigurieren von Gruppen und Organisationseinheiten sowie zur Zuweisung des Anwendungszugriffs auf dieser Ebene.
Hinweis
Bei der ersten Konfiguration des Zugriffs meldet Google Workspace, dass es bis zu 24 Stunden dauern kann, bis diese Änderung für alle Nutzer wirksam wird. Sollte beim Testen eine Fehlermeldung angezeigt werden, die darauf hinweist, dass der Nutzer keinen Zugriff auf die Anwendung hat oder diese nicht für ihn aktiviert ist, stellen Sie sicher, dass nach der Konfiguration genügend Zeit vergangen ist, bevor Sie den Test erneut durchführen.
-
Damit sind die Schritte in Google Workspace abgeschlossen. Weitere Informationen finden Sie unter: https://support.google.com/a/answer/6087519
Schritte im App Builder
Konfigurieren der Eigenschaften und Anspruchstypen des Sicherheitsanbieters
- Kehren Sie zur Konfigurationsseite für den Dienstanbieter zurück, der in den Schritten 1 bis 5 der zuvor beschriebenen App Builder Konfiguration erstellt wurde.
- Klicken Sie im Abschnitt Eigenschaften auf + Eigenschaft und Speichern Sie die folgenden Eigenschaften mit den folgenden angegebenen Werten:
- Zielgruppe: die Stamminstanz der App Builder Instanz. Beispiel:
https://example.zudy.com/App Builder/
- Hinweis: Dies entspricht der in Google Workspace konfigurierten Entitäts-ID
- Empfänger: Dies entspricht der in Google Workspace konfigurierten ACS- URL und besteht aus der URL des Stammverzeichnisses der App Builder Instanz mit folgendem Anhang:
/signin-<name of service provider>
- Zum Beispiel:
https://example.zudy.com/App Builder/signin-GoogleSAML
- Zum Beispiel:
- RequestRedirectEndpoint: Dies ist die SSO- URL von Google Workspace, siehe Schritt 6 der Google-Konfigurationsschritte. Beispiel:
https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
- SigningCertificate: Dies ist der lange Text aus Schritt 6. Achten Sie beim Kopieren des Zertifikats darauf,
BEGIN
UndEND
Entfernen Sie alle Zeilenumbrüche und Leerzeichen am Anfang und Ende.-
Beispiel für den zu kopierenden Zertifikatsinhalt:
MIIDdDCCAlygAwIBAgIGAXy6QtfkMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ bmMuMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MQ8wDQYDVQQDEwZHb29nbGUxGDAWBgNVBAsTD0dv b2dsZSBGb3IgV29yazELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEwHhcNMjExMDI2 MDE0MTU0WhcNMjYxMDI1MDE0MTU0WjB7MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEWMBQGA1UEBxMN TW91bnRhaW4gVmlIjANBgkqhkiG9w0BAQEFAAOCAQ8A MIIBCgKCAQEAlwzhMrwH3WO1rbv5Ftkkg7USOhE6bBl7xVPyy3o6HCq1Rcnh/T5zsvmNyLQ3n7GL Q7AomWFRTa8sriXQPqz8xT67fVq5tWpl3t0CiJ36XxM8AUd1u9juaxSTdYFDRQf5JCvE/RK1aqR/ qVIqU/keehoozfhMM9jlrxqNfcwKPiKb3583jHGpu6TvSet4Dmg5NzE0y28ZFDaB2NBa0fE9euEq o3Ulf2uqY2RSGw8x92d8YMLX/1qZtp+/xkYmAQaIUNGe0PhHpLoDhjxNN6RVRESiA/Jkcyc6ZCUd Wn+6B5ZNq0X4OZkdfgkjfgdskrTTSRFASSF3333fgfsg/LZNPSDlbwJId2SX48ejzbcNpGBWCPPKNeSwIDAQABMA0GCSqGSIb3DQEBCwUA A4IBAQBzokabj8aD6/DStvpzuUPn0P/EIu4fKEx8MwsDnKzGC0s/3EcWZuiutKmaTdLbWY2BJhZmaj 5mg8Xs+EtGAQqZ2DxFJDeyWruGMKW3S5NMMtZC+w8fj7kdHRByBTVgEqAGfehCoP7zjf7jAQfLe/ wjeehVlc8Q0nNzueNNrPQABgdyAuknS5Syzkjl8Wmd611uUjMXlBsoLY3gBvSuF8WNzqQXYOUQuL OIJXJ2K/o8dBNRQC015ygcRi57nHaBMTh3BL22jMX
-
- Zielgruppe: die Stamminstanz der App Builder Instanz. Beispiel:
Konfigurieren von Anspruchstypen für Sicherheitsanbieter (optional)
- Kehren Sie zur Konfigurationsseite des Dienstanbieters zurück oder minimieren Sie das Fenster Eigenschaften
- Wählen Sie im Abschnitt Ansprüche den folgenden Anspruchstyp aus und klicken Sie auf + Anspruch und Speichern. Dies ist optional, stellt aber sicher, dass das Attribut „Email-Adresse“ des App Builder Benutzers ausgefüllt wird, wenn sich der Benutzer über den externen Authentifizierungsanbieter bei App Builder anmeldet.
-
Klicken Sie auf + Anspruch und verwenden Sie die folgenden Werte:
- Kennung:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
- Verwendung: E-Mail-Adresse
- Name: beschreibende Bezeichnung. Beispiel: Email-Adresse
- Kennung:
-
Klicken Sie auf Speichern
Testen
Die Konfiguration ist nun testbereit. Es wird empfohlen, alle Tests in einem neuen Inkognito- oder privaten Browserfenster oder in einem anderen Browser durchzuführen.
Testschritte
- Klicken Sie in Google Workspace unter Web- und mobile Apps auf SAML -LOGIN TESTEN und überprüfen Sie das Ergebnis
-
Navigieren Sie zur Anmeldeseite der App Builder-Instanz und:
- Bestätigen Sie, dass die neue Authentifizierungsmethode korrekt angezeigt wird
- Versuchen Sie, sich mit der neuen Authentifizierungsmethode anzumelden und überprüfen Sie das Ergebnis. Dies sollte mit einem anderen Login als dem für die Verwaltung des App Builder verwendeten erfolgen.
-
Wenn Fehler gemeldet werden, überprüfen Sie die gesamte Konfiguration und bestätigen Sie, dass die für die Übereinstimmung erforderlichen Elemente korrekt sind - unter Berücksichtigung der Groß-/Kleinschreibung und mit übereinstimmendem abschließendem / usw.
- Wenn von einer Google-Seite die Fehlermeldung angezeigt wird, dass die Anwendung für den Benutzer nicht aktiviert ist, bestätigen Sie, dass die Schritte 17 und 18 abgeschlossen wurden und dass einige Zeit vergangen ist, sodass sich der Zugriff im gesamten Google Workspace verbreiten konnte.
- Wenn alle Einstellungen vorhanden sind und korrekt erscheinen, die externe Authentifizierung aber immer noch nicht funktioniert, wenden Sie sich bitte an den App Builder Support.