Connect to Google Workspace with SAML 2.0

Collega FoxIDs come identity provider esterno per Google Workspace con SAML 2.0.

Configurando un metodo di autenticazione OpenID Connect e Google Workspace come applicazione SAML 2.0, FoxIDs diventa un bridge tra OpenID Connect e SAML 2.0 e converte automaticamente i claim JWT (OAuth 2.0) in claim SAML 2.0.

Configure Google Workspace

Questa guida descrive come configurare FoxIDs come identity provider esterno per Google Workspace. Gli utenti vengono collegati tramite il loro indirizzo email e devono gia esistere in Google Workspace.

1 - Inizia configurando un certificato in FoxIDs Control Client

E necessario caricare i metadata SAML 2.0 da FoxIDs in Google Workspace. Per questo motivo e necessario usare in FoxIDs un certificato a lunga durata, ad esempio valido 3 anni.

1. Seleziona la scheda Certificates
2. Fai clic su Change Container type
3. Trova Self-signed or your certificate e fai clic su Change to this container type
4. Il certificato self-signed e valido 3 anni, e facoltativamente puoi caricare il tuo certificato

2 - Poi inizia a creare un'applicazione SAML 2.0 in FoxIDs Control Client

1. Seleziona la scheda Applications
2. Fai clic su New application
3. Fai clic su Web application (SAML 2.0)
4. Inserisci il Name, ad esempio Google Workspace
5. Nel pannello a destra, fai clic su Show more nella sezione denominata The application will have the following information
6. Salva le informazioni dell'applicazione per usarle successivamente in Google Workspace:
   • Copia IdP Issuer
   • Copia Single Sign-On URL
   • Sotto IdP Signing Certificate, fai clic su Download certificate
7. Mantieni aperta l'interfaccia dell'applicazione FoxIDs per usarla piu tardi

3 - Poi vai al portale Google Workspace

1. Apri Admin console ed esegui l'accesso se richiesto
2. Vai a Security > Authentication > SSO with third party IdP
3. Nella sezione Third-party SSO profiles, fai clic su ADD SAML PROFILE
4. Inserisci un SSO profile name
5. Sotto Autofill email, seleziona Send email address in the URL as the login_hint parameter
6. Trova la sezione IDP details
7. Imposta IDP entity ID sul valore IdP Issuer dell'applicazione FoxIDs che hai copiato
8. Imposta Sign-in page URL sul valore Single Sign-On URL dell'applicazione FoxIDs che hai copiato
9. Facoltativamente imposta Sign-out page URL sulla pagina in cui gli utenti devono arrivare dopo il logout. Google Workspace non supporta single logout, quindi FoxIDs non viene invocato durante il logout.
10. Fai clic su UPLOAD CERTIFICATE e carica IdP Signing Certificate che hai scaricato da FoxIDs
11. Fai clic su Save
12. Nella sezione SP details, salva le informazioni per usarle successivamente in FoxIDs:
    • Copia EntityID Issuer
    • Copia ACS URL

4 - Poi continua la creazione dell'applicazione SAML 2.0 in FoxIDs Control Client

1. Torna all'interfaccia dell'applicazione FoxIDs che hai lasciato aperta
2. Imposta Application issuer sul valore Google Workspace EntityID Issuer che hai copiato
3. Imposta Assertion consumer service (ACS) URL sul valore Google Workspace ACS URL che hai copiato
4. Fai clic su Create
5. Fai clic su Change application per aprire l'applicazione in modalita modifica
6. Seleziona la scheda Claims Transform
7. Fai clic su Add claim transform, scegli Map e aggiungi un claim NameID con l'indirizzo email dell'utente che corrisponde all'email dell'utente Google Workspace.
8. Imposta New claim su http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier - che e l'URI del claim NameID
9. Imposta Select claim su http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
10. Fai clic su Update

Devi attivare il single sign-on per gli utenti in Google Workspace. Per maggiori informazioni consulta la documentazione Google Workspace.

Documentazione correlata

• Registrazione applicazione SAML 2.0
• Applicazioni
• SAML 2.0
• Claim
• Claim transforms e claim tasks