Zum Hauptinhalt springen

Single Sign-On mit Google Workspace einrichten

Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit Microsoft Entra ID für Enterprise SSO.

tipp:

Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.

Schritt 1: Ein neues Projekt auf der Google Cloud Platform erstellen

Bevor du Google Workspace als Authentifizierungsanbieter verwenden kannst, musst du ein Projekt in der Google API Console einrichten, um OAuth 2.0-Anmeldedaten zu erhalten. Wenn du bereits ein Projekt hast, kannst du diesen Schritt überspringen. Andernfalls erstelle ein neues Projekt unter deiner Google-Organisation.

Um ein neues OIDC-Zertifikat zu erstellen, musst du den Zustimmungsbildschirm für deine Anwendung konfigurieren.

  1. Navigiere zur Seite OAuth-Zustimmungsbildschirm und wähle den Benutzertyp Intern. Dadurch wird die OAuth-Anwendung nur für Benutzer innerhalb deiner Organisation verfügbar.

Google Workspace consent screen user type.webp

  1. Fülle die Einstellungen des Zustimmungsbildschirms gemäß den Anweisungen auf der Seite aus. Du musst die folgenden Mindestinformationen angeben:
  • Anwendungsname: Der Name deiner Anwendung. Er wird auf dem Zustimmungsbildschirm angezeigt.
  • Support-E-Mail: Die Support-E-Mail deiner Anwendung. Sie wird auf dem Zustimmungsbildschirm angezeigt.

Google Workspace consent screen settings.webp

  1. Setze die Berechtigungen (Scopes) für deine Anwendung. Um die Identitätsinformationen und die E-Mail-Adresse des Benutzers ordnungsgemäß vom IdP abzurufen, müssen Logto SSO Connectors die folgenden Berechtigungen vom IdP gewähren:

Google Workspace consent screen scopes.webp

  • openid: Diese Berechtigung ist für die OIDC-Authentifizierung erforderlich. Sie wird verwendet, um das ID-Token abzurufen und Zugriff auf den userInfo-Endpunkt des IdP zu erhalten.
  • profile: Diese Berechtigung ist erforderlich, um auf die grundlegenden Profilinformationen des Benutzers zuzugreifen.
  • email: Diese Berechtigung ist erforderlich, um auf die E-Mail-Adresse des Benutzers zuzugreifen.

Klicke auf die Schaltfläche Speichern, um die Einstellungen des Zustimmungsbildschirms zu speichern.

Schritt 3: Ein neues OAuth-Anmeldeinformation erstellen

Navigiere zur Seite Credentials und klicke auf die Schaltfläche Create Credentials. Wähle die Option OAuth client ID aus dem Dropdown-Menü, um ein neues OAuth-Zertifikat für deine Anwendung zu erstellen.

Google Workspace create credentials.webp

Fahre mit der Einrichtung des OAuth-Zertifikats fort, indem du die folgenden Informationen ausfüllst:

Google Workspace credentials config.webp

  1. Wähle Web application als Anwendungstyp.
  2. Fülle den Name deiner Client-Anwendung aus, zum Beispiel Logto SSO Connector. Dies hilft dir, die Anmeldeinformationen in der Zukunft zu identifizieren.
  3. Fülle die Authorized redirect URIs mit der Logto-Callback-URI aus. Dies ist die URI, zu der Google den Browser des Benutzers nach erfolgreicher Authentifizierung umleitet. Nachdem sich ein Benutzer erfolgreich beim IdP authentifiziert hat, leitet der IdP den Browser des Benutzers zurück zu dieser festgelegten URI zusammen mit einem Autorisierungscode. Logto wird den Authentifizierungsprozess basierend auf dem von dieser URI erhaltenen Autorisierungscode abschließen.
  4. Fülle die Authorized JavaScript origins mit dem Ursprung der Logto-Callback-URI aus. Dies stellt sicher, dass nur deine Logto-Anwendung Anfragen an den Google OAuth-Server senden kann.
  5. Klicke auf die Schaltfläche Create, um das OAuth-Zertifikat zu erstellen.

Schritt 4: Logto-Connector mit den Client-Anmeldeinformationen einrichten

Nach erfolgreicher Erstellung der OAuth-Anmeldeinformationen erhältst du ein Eingabeaufforderungsfenster mit der Client-ID und dem Client-Geheimnis.

Google Workspace client credentials.webp

Kopiere die Client ID und das Client secret und fülle die entsprechenden Felder im Connection-Tab des SSO-Connectors von Logto aus.

Jetzt hast du erfolgreich einen Google Workspace SSO-Connector auf Logto konfiguriert.

Schritt 5: Zusätzliche Berechtigungen (Optional)

Verwende das Feld Scope, um zusätzliche Berechtigungen zu deiner OAuth-Anfrage hinzuzufügen. Dadurch kannst du mehr Informationen vom Google OAuth-Server anfordern. Bitte sieh dir die Google OAuth Scopes Dokumentation für weitere Informationen an.

Unabhängig von den benutzerdefinierten Berechtigungseinstellungen wird Logto immer die Berechtigungen openid, profile und email an den Identitätsanbieter (IdP) senden. Dies stellt sicher, dass Logto die Identitätsinformationen und die E-Mail-Adresse des Benutzers ordnungsgemäß abrufen kann.

Schritt 6: E-Mail-Domains festlegen und den SSO-Connector aktivieren

Gib die E-Mail-Domains deiner Organisation auf der Registerkarte SSO-Erfahrung des Logto-Connectors an. Dadurch wird der SSO-Connector als Authentifizierungsmethode für diese Benutzer aktiviert.

Benutzer mit E-Mail-Adressen in den angegebenen Domains werden weitergeleitet, um deinen SSO-Connector als einzige Authentifizierungsmethode zu verwenden.

Für weitere Informationen über den Google Workspace SSO-Connector, siehe bitte Google OpenID Connector.