Verbind Google Workspace met SAML 2.0

Verbind FoxIDs als een externe identity provider voor Google Workspace met SAML 2.0.

Door een OpenID Connect authenticatiemethode en Google Workspace als een SAML 2.0 applicatie te configureren wordt FoxIDs een bridge tussen OpenID Connect en SAML 2.0 en zet automatisch JWT (OAuth 2.0) claims om naar SAML 2.0 claims.

Google Workspace configureren

Deze gids beschrijft hoe je FoxIDs instelt als externe identity provider voor Google Workspace. Gebruikers worden gekoppeld op hun e-mailadres en moeten al bestaan in Google Workspace.

1 - Begin met het configureren van een certificaat in FoxIDs Control Client

Je moet de SAML 2.0 metadata van FoxIDs uploaden naar Google Workspace. Daarom is het nodig om een langdurig certificaat in FoxIDs te gebruiken, bijv. geldig voor 3 jaar.

1. Selecteer het tabblad Certificates
2. Klik Change Container type
3. Zoek Self-signed or your certificate en klik Change to this container type
4. Het self-signed certificaat is 3 jaar geldig, en je kunt optioneel je eigen certificaat uploaden

2 - Begin daarna met het maken van een SAML 2.0 applicatie in FoxIDs Control Client

1. Selecteer het tabblad Applications
2. Klik New application
3. Klik Web application (SAML 2.0)
4. Voer de Name in, bijv. Google Workspace
5. Klik in het paneel rechts op Show more in de sectie The application will have the following information
6. Bewaar de applicatie-informatie voor later gebruik in Google Workspace:
   • Kopieer de IdP Issuer
   • Kopieer de Single Sign-On URL
   • Onder IdP Signing Certificate, klik Download certificate
7. Houd de FoxIDs applicatie-UI open voor later gebruik

3 - Ga daarna naar de Google Workspace portal

1. Open de Admin console en log in indien gevraagd
2. Navigeer naar Security > Authentication > SSO with third party IdP
3. Klik in de sectie Third-party SSO profiles op ADD SAML PROFILE
4. Voer een SSO profile name in
5. Kies onder Autofill email voor Send email address in the URL as the login_hint parameter
6. Zoek de sectie IDP details
7. Zet IDP entity ID op de IdP Issuer waarde uit FoxIDs
8. Zet Sign-in page URL op de Single Sign-On URL waarde uit FoxIDs
9. (Optioneel) Zet Sign-out page URL op de pagina waar gebruikers na sign-out landen. Google Workspace ondersteunt geen single logout, dus FoxIDs wordt niet aangeroepen tijdens sign-out.
10. Klik UPLOAD CERTIFICATE en upload het IdP Signing Certificate dat je uit FoxIDs hebt gedownload
11. Klik Save
12. Bewaar in de sectie SP details de informatie voor later gebruik in FoxIDs:
    • Kopieer de EntityID Issuer
    • Kopieer de ACS URL

4 - Ga verder met het maken van de SAML 2.0 applicatie in FoxIDs Control Client

1. Ga terug naar de FoxIDs applicatie-UI die je open hield
2. Zet Application issuer op de EntityID Issuer van Google Workspace
3. Zet Assertion consumer service (ACS) URL op de ACS URL van Google Workspace
4. Klik Create
5. Klik Change application om de applicatie in bewerkmodus te openen
6. Selecteer het tabblad Claims Transform
7. Klik Add claim transform, kies Map, en voeg een NameID claim toe met het e-mailadres van de gebruiker dat overeenkomt met het Google Workspace e-mailadres.
8. Zet New claim op http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier - dit is de NameID claim URI
9. Zet Select claim op http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
10. Klik Update

Je moet single sign-on voor gebruikers in Google Workspace activeren. Zie de Google Workspace documentatie voor meer informatie.