Zum Inhalt springen

Google SAML Konfigurationshandbuch für Jitterbit App Builder

Zweck des Dokuments

Beschreibung der für die Konfiguration erforderlichen Konfigurationsschritte App Builder um Google als externen SAML Sicherheitsanbieter für die Benutzerauthentifizierung zu verwenden.

Einführung

SAML verwendet die Terminologie von IdP (Identity Provider) und SP (Service Provider), um die beiden beteiligten Systeme in einer SAML -Konfiguration zu beschreiben. In diesem Fall ist Google Workspace der IdP und der App Builder Instanz ist der SP.

Die Konfiguration der externen Authentifizierung erfordert die Einrichtung sowohl im IdP als auch im SP. In beiden Fällen sind Administratorrechte erforderlich.

Wichtig

Die in diesem Handbuch angegebenen Beispielwerte sind repräsentativ, aber fiktiv und sollten nicht in realen Konfigurationen verwendet werden.

Schritte in App Builder

Erstellen eines Sicherheitsanbieters

  1. Melden Sie sich an App Builder als Administrator
  2. Navigieren Sie zu IDE > Sicherheitsanbieter
  3. Im Abschnitt Benutzerauthentifizierung + Benutzerauthentifizierung ein neuer Sicherheitsanbieter

  4. Geben Sie die folgenden Werte ein:

    • Name: kurzer, beschreibender Name für den Sicherheitsanbieter. Vermeiden Sie nach Möglichkeit Leerzeichen. Diese Zeichenfolge wird in ihrer genauen Form Teil der ACS URL.
    • Typ: Externe Authentifizierung > SAML
    • Priorität: Akzeptieren Sie den Standardvorschlag oder aktualisieren Sie ihn nach Ihren Wünschen
    • Aktiviert: Aktivieren
    • Weiterleitung bei Herausforderung: Prüfen
    • Im Login-Formular anzeigen: Aktivieren Sie das Kontrollkästchen
    • Benutzerbereitstellung: Prüfen
    • Store Claims: Prüfen. Diese Einstellung ist bei der ersten Einrichtung und Fehlerbehebung wichtig, kann aber später bei Bedarf entfernt werden.

  5. Klicken Sie auf Speichern

Schritte in Google Workspace

Hinweis

Beachten Sie, dass Sie Superadministrator Ihres Google Workspace sein müssen, um diese Schritte auszuführen.

Einrichten Ihrer benutzerdefinierten SAML App

  1. Melden Sie sich bei Ihrer Google Admin-Konsole an
  2. Gehen Sie auf der Startseite der Admin-Konsole zu Apps > Web- und mobile Apps
  3. Klicken Sie auf App hinzufügen > Benutzerdefinierte SAML -App hinzufügen

  4. Auf der Seite „App-Details“:

    1. Geben Sie den App-Namen der benutzerdefinierten App ein. Beispiel: App Builder Instanz. Normalerweise geben Sie Dev, QA oder Prod oder den Zweck der Instanz, falls dieser unterschiedlich ist, als Teil des App-Namens an. Dieser Wert wird ausschließlich als Bezeichnung in Google Workspace verwendet und nicht anderswo.
    2. (Optional) Laden Sie ein App-Symbol hoch. Wenn Sie kein Symbol hochladen, wird ein Symbol mit den ersten beiden Buchstaben des App-Namens erstellt.

    googleSAMLapp.png

    Beispiel für eine benutzerdefinierte SAML App-Konfiguration

  5. Klicken Sie auf Weiter

  6. Beachten Sie auf der Detailseite des Google Identity Providers die vom Dienstanbieter benötigten Einrichtungsinformationen. Diese Werte sind spezifisch für das Google Workspace-Konto und nicht allgemein:

    • SSO URL: Zum Beispiel: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
    • Entitäts-ID: Zum Beispiel: https://accounts.google.com/o/saml2?idpid=C01D02E032
    • Zertifikat

  7. Klicken Sie auf Weiter. Sie können später zu diesen Werten zurückkehren, indem Sie auf Metadaten herunterladen klicken.

  8. Geben Sie im Fenster „Service Provider Details“ eine ACS URL und eine Entity-ID für Ihre benutzerdefinierte App ein. Beachten Sie, dass bei den Pfadteilen der folgenden URLs zwischen Groß- und Kleinschreibung unterschieden wird (also der Teil nach dem FQDN).

  9. ACS URL: Die URL der App Builder Instanzstamm, mit dem folgenden Anhang: /signin-<name of service provider>

    • Zum Beispiel: https://example.zudy.com/App Builder/signin-GoogleSAML
    • Hinweis: Die ACS URL muss beginnen mit https://

  10. Entitäts-ID: Die Wurzel der App Builder Instanz. Dies muss mit einem Schrägstrich enden. - Zum Beispiel: https://example.zudy.com/App Builder/

  11. Aktivieren Sie das Kontrollkästchen Signierte Antwort
  12. Das Standardformat Namens-ID kann auf dem Standardformat (primäre Email) belassen werden.

  13. Weitere Informationen zur Zuordnung von Name-IDs finden Sie hier: SAML App-Katalog. Bei Bedarf können Sie auch benutzerdefinierte Attribute erstellen, entweder in der Admin-Konsole oder über Google Admin SDK APIs und diesen zuordnen. Benutzerdefinierte Attribute müssen vor dem Einrichten Ihrer SAML -App erstellt werden und sind im Allgemeinen nicht erforderlich für App Builder. Beispielkonfiguration:

    customSAML.png

    Benutzerdefinierte SAML App-Konfiguration in Google Workspace

  14. Klicken Sie auf Weiter

  15. Beachten Sie, dass auf der Seite Attributzuordnung bei Bedarf weitere Zuordnungen erstellt werden können, und klicken Sie auf Fertigstellen. Wenn weitere Zuordnungen erforderlich sind, können diese später konfiguriert werden. Beim Konfigurieren von Zuordnungen müssen die Werte des App-Attributs mit den Werten des Bezeichners übereinstimmen, die in App Builder unter Anspruchstypen.
  16. Klicken Sie auf Fertigstellen
  17. Klicken Sie auf der Seite Anwendung (unter Web- und mobile Apps) im Abschnitt Benutzerzugriff auf den Abwärtspfeil

  18. Der Zugriff kann für Gruppen, Organisationseinheiten oder für alle Benutzer im Konto konfiguriert werden. Der Einfachheit halber empfehlen wir, den Zugriff für alle zu aktivieren. Wenn nur einer begrenzten Anzahl von Benutzern Zugriff gewährt werden soll, lesen Sie die Google Workspace-Dokumentation zum Erstellen und Konfigurieren von Gruppen und Organisationseinheiten und zum Zuweisen des Anwendungszugriffs auf dieser Ebene.

    Hinweis

    Wenn der Zugriff zum ersten Mal konfiguriert wird, meldet Google Workspace, dass es bis zu 24 Stunden dauern kann, bis diese Änderung an alle Benutzer weitergegeben wird. Wenn beim Testen ein Fehler auftritt, der angibt, dass der Benutzer keinen Zugriff auf die Anwendung hat oder diese für ihn nicht aktiviert ist, stellen Sie sicher, dass nach der Konfiguration genügend Zeit vergangen ist, bevor Sie den Test erneut durchführen.

  19. Damit sind die Schritte in Google Workspace abgeschlossen. Weitere Informationen finden Sie unter: https://support.google.com/a/answer/6087519

Schritte in App Builder

Konfigurieren der Eigenschaften und Anspruchstypen des Sicherheitsanbieters

  1. Kehren Sie zur Konfigurationsseite für den Dienstanbieter zurück, der in den Schritten 1 bis 5 des App Builder Konfiguration wie zuvor beschrieben
  2. Unter dem Abschnitt Eigenschaften + Eigenschaft und Speichern Sie die folgenden Eigenschaften mit den folgenden angegebenen Werten:
    • Zielgruppe: die Wurzel der App Builder Instanz. Beispiel: https://example.zudy.com/App Builder/
      • Hinweis: Dies entspricht der Entitäts-ID, die in Google Workspace konfiguriert ist.
    • Empfänger: Dies entspricht der in Google Workspace konfigurierten ACS- URL und besteht aus der URL von App Builder Instanzstamm, mit dem folgenden Anhang: /signin-<name of service provider>
      • Zum Beispiel: https://example.zudy.com/App Builder/signin-GoogleSAML
    • RequestRedirectEndpoint: Dies ist die SSO- URL von Google Workspace, siehe Schritt 6 der Google-Konfigurationsschritte. Beispiel: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
    • SigningCertificate: Dies ist die lange Textzeichenfolge aus Schritt 6. Achten Sie beim Kopieren des Zertifikats darauf, BEGIN Und END und entfernen Sie alle Zeilenumbrüche oder Leerzeichen am Anfang/Ende.

      • Beispiel für Zertifikatsinhalt, der kopiert werden soll:

        MIIDdDCCAlygAwIBAgIGAXy6QtfkMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ bmMuMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MQ8wDQYDVQQDEwZHb29nbGUxGDAWBgNVBAsTD0dv b2dsZSBGb3IgV29yazELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEwHhcNMjExMDI2 MDE0MTU0WhcNMjYxMDI1MDE0MTU0WjB7MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEWMBQGA1UEBxMN TW91bnRhaW4gVmlIjANBgkqhkiG9w0BAQEFAAOCAQ8A MIIBCgKCAQEAlwzhMrwH3WO1rbv5Ftkkg7USOhE6bBl7xVPyy3o6HCq1Rcnh/T5zsvmNyLQ3n7GL Q7AomWFRTa8sriXQPqz8xT67fVq5tWpl3t0CiJ36XxM8AUd1u9juaxSTdYFDRQf5JCvE/RK1aqR/ qVIqU/keehoozfhMM9jlrxqNfcwKPiKb3583jHGpu6TvSet4Dmg5NzE0y28ZFDaB2NBa0fE9euEq o3Ulf2uqY2RSGw8x92d8YMLX/1qZtp+/xkYmAQaIUNGe0PhHpLoDhjxNN6RVRESiA/Jkcyc6ZCUd Wn+6B5ZNq0X4OZkdfgkjfgdskrTTSRFASSF3333fgfsg/LZNPSDlbwJId2SX48ejzbcNpGBWCPPKNeSwIDAQABMA0GCSqGSIb3DQEBCwUA A4IBAQBzokabj8aD6/DStvpzuUPn0P/EIu4fKEx8MwsDnKzGC0s/3EcWZuiutKmaTdLbWY2BJhZmaj 5mg8Xs+EtGAQqZ2DxFJDeyWruGMKW3S5NMMtZC+w8fj7kdHRByBTVgEqAGfehCoP7zjf7jAQfLe/ wjeehVlc8Q0nNzueNNrPQABgdyAuknS5Syzkjl8Wmd611uUjMXlBsoLY3gBvSuF8WNzqQXYOUQuL OIJXJ2K/o8dBNRQC015ygcRi57nHaBMTh3BL22jMX

Konfigurieren von Anspruchstypen für Sicherheitsanbieter (optional)

  1. Kehren Sie zur Konfigurationsseite des Dienstanbieters zurück oder minimieren Sie das Fenster Eigenschaften
  2. Unter dem Abschnitt Ansprüche + Anspruch und Speichern Sie den folgenden Anspruchstyp. Dies ist optional, stellt jedoch sicher, dass das Attribut „Email Adresse“ des App Builder Benutzer wird ausgefüllt, wenn sich der Benutzer anmeldet bei App Builder mithilfe des externen Authentifizierungsanbieters.

  3. Klicken Sie auf + Anspruch und verwenden Sie die folgenden Werte:

    • Kennung: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
    • Verwendung: Email-Adresse
    • Name: beschreibende Bezeichnung. Beispiel: Email Adresse

  4. Klicken Sie auf Speichern

Testen

An diesem Punkt ist die Konfiguration bereit zum Testen. Es wird empfohlen, alle Tests in neuen Inkognito- oder privaten Browserfenstern oder in einem anderen Browser durchzuführen.

Testschritte

  1. Klicken Sie in Google Workspace unter Web- und mobile Apps auf SAML -LOGIN TESTEN und überprüfen Sie das Ergebnis

  2. Navigieren Sie zur Anmeldeseite des App Builder Instanz und:

    1. Bestätigen Sie, dass die neue Authentifizierungsmethode richtig angezeigt wird
    2. Versuchen Sie, sich mit der neuen Authentifizierungsmethode anzumelden und überprüfen Sie das Ergebnis. Dies sollte mit einem anderen Login erfolgen als dem, das zur Verwaltung verwendet wurde App Builder.

  3. Wenn Fehler gemeldet werden, überprüfen Sie die gesamte Konfiguration und bestätigen Sie, dass die für die Übereinstimmung erforderlichen Elemente korrekt sind - Groß- und Kleinschreibung beachten und mit übereinstimmendem abschließendem / usw.

  4. Wenn von einer Google-Seite eine Fehlermeldung angezeigt wird, dass die Anwendung für den Benutzer nicht aktiviert ist, bestätigen Sie, dass die Schritte 17 und 18 abgeschlossen wurden und dass einige Zeit vergangen ist, sodass sich der Zugriff im gesamten Google Workspace verbreiten konnte.
  5. Wenn alle Einstellungen vorhanden sind und korrekt erscheinen, die externe Authentifizierung jedoch immer noch nicht funktioniert, wenden Sie sich bitte an App Builder Unterstützung.