Connect to Google Workspace with SAML 2.0

Ligue o FoxIDs como identity provider externo para Google Workspace com SAML 2.0.

Ao configurar um método de autenticação OpenID Connect e o Google Workspace como aplicação SAML 2.0, o FoxIDs torna-se uma bridge entre OpenID Connect e SAML 2.0 e converte automaticamente claims JWT (OAuth 2.0) em claims SAML 2.0.

Configure Google Workspace

Este guia descreve como configurar o FoxIDs como identity provider externo para Google Workspace. Os utilizadores são ligados pelo respetivo endereço de email e já têm de existir no Google Workspace.

1 - Comece por configurar um certificado no FoxIDs Control Client

É necessário carregar os metadata SAML 2.0 do FoxIDs para o Google Workspace. Por isso, é necessário usar no FoxIDs um certificado de longa duração, por exemplo válido durante 3 anos.

1. Selecione o separador Certificates
2. Clique em Change Container type
3. Encontre Self-signed or your certificate e clique em Change to this container type
4. O certificado self-signed é válido durante 3 anos e, opcionalmente, pode carregar o seu próprio certificado

2 - Depois comece a criar uma aplicação SAML 2.0 no FoxIDs Control Client

1. Selecione o separador Applications
2. Clique em New application
3. Clique em Web application (SAML 2.0)
4. Introduza o Name, por exemplo Google Workspace
5. No painel à direita, clique em Show more na secção com o nome The application will have the following information
6. Guarde a informação da aplicação para usar mais tarde no Google Workspace:
   • Copie o IdP Issuer
   • Copie o Single Sign-On URL
   • Em IdP Signing Certificate, clique em Download certificate
7. Mantenha aberta a UI da aplicação FoxIDs para usar mais tarde

3 - Depois vá ao portal Google Workspace

1. Abra a Admin console e inicie sessão se lhe for pedido
2. Navegue até Security > Authentication > SSO with third party IdP
3. Na secção Third-party SSO profiles, clique em ADD SAML PROFILE
4. Introduza um SSO profile name
5. Em Autofill email, selecione Send email address in the URL as the login_hint parameter
6. Encontre a secção IDP details
7. Defina IDP entity ID com o valor IdP Issuer da aplicação FoxIDs que copiou
8. Defina Sign-in page URL com o valor Single Sign-On URL da aplicação FoxIDs que copiou
9. Opcionalmente defina Sign-out page URL com a página para onde os utilizadores devem ir após o logout. O Google Workspace não suporta single logout, por isso o FoxIDs não é invocado durante o logout.
10. Clique em UPLOAD CERTIFICATE e carregue o IdP Signing Certificate que descarregou do FoxIDs
11. Clique em Save
12. Na secção SP details, guarde a informação para usar mais tarde no FoxIDs:
    • Copie o EntityID Issuer
    • Copie o ACS URL

4 - Depois continue a criar a aplicação SAML 2.0 no FoxIDs Control Client

1. Volte à UI da aplicação FoxIDs que deixou aberta
2. Defina Application issuer com o valor Google Workspace EntityID Issuer que copiou
3. Defina Assertion consumer service (ACS) URL com o valor Google Workspace ACS URL que copiou
4. Clique em Create
5. Clique em Change application para abrir a aplicação em modo de edição
6. Selecione o separador Claims Transform
7. Clique em Add claim transform, escolha Map e adicione um claim NameID com o endereço de email do utilizador correspondente ao email do utilizador Google Workspace.
8. Defina New claim como http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier - que é o URI do claim NameID
9. Defina Select claim como http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
10. Clique em Update

Precisa de ativar single sign-on para os utilizadores no Google Workspace. Veja a documentação do Google Workspace para mais informação.

Documentação relacionada

• Registo de aplicação SAML 2.0
• Aplicações
• SAML 2.0
• Claims
• Claim transforms e claim tasks