Google Admin SSO-Konfigurationsanleitung

Diese Schritt-für-Schritt-Anleitung beschreibt umfassend die SSO-Konfiguration mit SAML für Google Admin auf der GPTBots-Plattform. Weitere Informationen und Details zum gesamten Ablauf finden Sie auf der SSO-Konfigurationsseite von GPTBots.

Bei der SSO-Integration zwischen Google Admin und GPTBots erfolgt die Zuordnung der Benutzer:innenkonten durch die Zuordnung der in Google Admin konfigurierten Gruppen zu den SSO-Gruppen in GPTBots.

Damit Sie die Google Admin SSO-Konfiguration erfolgreich durchführen können, müssen folgende Voraussetzungen erfüllt sein. In diesem Artikel werden die einzelnen Schritte in folgender Reihenfolge beschrieben:

• Google Admin-Konto: Sie verfügen über ein registriertes Google Admin-Konto mit Administratorrechten.
• GPTBots-Konto und SSO: Die Zielorganisation muss die SSO-Funktion aktiviert haben (falls nicht aktiviert, kontaktieren Sie bitte den Vertrieb).
• Gruppenberechtigung: Die GPTBots-Anwendung wurde in Google Admin für die Gruppen, die SSO-Zugriff benötigen, autorisiert.
• Anforderung an die Kontokonsistenz: Die für den Login bei GPTBots verwendete E-Mail-Adresse muss exakt mit der in Google Admin autorisierten E-Mail-Adresse übereinstimmen.

Hinweis: In der Google-Umgebung basiert die SSO-Konfiguration auf dem Attribut „Primäre E-Mail“ der Benutzer:innen. Google Admin unterstützt nicht die Konfiguration mehrerer SSO-E-Mail-Adressen für dieselbe Person. Bitte stellen Sie sicher, dass die für den SSO-Login verwendete E-Mail-Adresse mit der primären E-Mail im Google Admin-Verzeichnis übereinstimmt, um eine erfolgreiche Authentifizierung zu gewährleisten.

Konfigurationsprozess

1. Melden Sie sich in der Google Admin-Konsole an und klicken Sie im linken Seitenmenü auf „Apps > Web- und mobile Apps“.

   

2. Klicken Sie auf „App hinzufügen“ und wählen Sie „Benutzerdefinierte SAML-App“ aus.
   

3. Geben Sie den App-Namen und eine Beschreibung ein, um diese SAML-App zu identifizieren.
   

4. Kopieren und speichern Sie die SSO-URL sowie die Zertifikatsinformationen sorgfältig. Diese werden später bei der SSO-Konfiguration in GPTBots benötigt.
   

5. Melden Sie sich in der GPTBots-Konsole an, rufen Sie die SSO-Konfigurationsseite auf und kopieren Sie wichtige Informationen wie Entity ID und ACS-URL.
   

6. Tragen Sie die Entity ID und die ACS-URL in die entsprechenden Felder der Google Admin SAML-App-Konfiguration ein.
   

7. Wählen Sie als Name-ID-Format „EMAIL“ aus und wählen Sie unter Basisinformationen die Primäre E-Mail als Name ID. Klicken Sie anschließend auf „Weiter“.
   

8. Fügen Sie das Google-Verzeichnisattribut Primäre E-Mail hinzu und setzen Sie das Anwendungsattribut auf:
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
   Dieses Attribut gilt für alle Google SSO-Konfigurationen für GPTBots.
   
   Klicken Sie auf „Fertig“, um die Grundkonfiguration auf der Google Admin-Seite abzuschließen.

9. Kehren Sie zur GPTBots SSO-Konfigurationsseite zurück und tragen Sie die gespeicherte SSO-URL sowie die Zertifikatsinformationen in die Felder IdP-Login-URL, IdP-Logout-URL und x509-Zertifikat ein.
   

10. Nach Abschluss der Konfiguration finden Sie die neu erstellte SAML-App unter „Web- und mobile Apps“ im Menü „Apps“. Klicken Sie auf den Bereich „Nutzerzugriff“ (nicht auf den Link).
    

11. Stellen Sie den Servicestatus auf „Für alle aktiviert“, damit alle Nutzer:innen SSO nutzen können.
    

Hinweise zu Login und Logout

Ausführliche Informationen zu den Standardprozessen für Login und Logout finden Sie auf der SSO-Konfigurationsseite von GPTBots. Im Folgenden werden die Authentifizierungsprozesse und Besonderheiten bei der Nutzung von Google Admin als Identity Provider (IdP) erläutert, die sich von anderen IdPs unterscheiden.

Prüfung der Kontokonsistenz

Bei der Authentifizierung über Google Admin SSO prüft das System, ob das eingegebene Google-Konto mit dem im Browser aktuell angemeldeten Google-Konto übereinstimmt. Folgende Szenarien sind relevant:

• Login-Prozess über den SSO-Login-Button
• SSO-Login-Links (einschließlich Einladungslinks in E-Mails, wenn Nutzer:innen eingeladen werden, einer SSO-Organisation beizutreten)

Je nach Login-Status und Übereinstimmung des Google-Kontos reagiert das System wie folgt:

Im Browser angemeldet und Konten stimmen überein

Es ist keine weitere Aktion erforderlich; das System fährt automatisch mit dem SSO-Authentifizierungsprozess fort.

Im Browser mit mehreren Google-Konten angemeldet

Das System zeigt ein Fenster zur Kontenauswahl an. Bitte wählen Sie das Konto aus, das mit der SSO-Login-E-Mail übereinstimmt.

Im Browser bei keinem Google-Konto angemeldet

Das System fordert automatisch zur Anmeldung bei einem Google-Konto auf. Bitte folgen Sie den Anweisungen und melden Sie sich mit dem Konto an, das mit der SSO-Login-E-Mail übereinstimmt.

Im Browser angemeldet, aber Konten stimmen nicht überein

Das System zeigt einen 403-Fehler an und blockiert den Login-Versuch.

Fehlerbehebung und Kontowechsel

Sollte ein 403-Fehler auftreten, gehen Sie wie folgt vor, um das Problem zu beheben und das Konto zu wechseln:

Am Beispiel von Google Chrome: Öffnen Sie die Seite „Chrome-Profile verwalten“.

Fügen Sie das benötigte Google-Konto hinzu oder wechseln Sie zu diesem. Vergewissern Sie sich, dass das richtige Konto aktiv ist, bevor Sie den SSO-Login erneut versuchen.

Alternativ können Sie, falls Sie keinen Browserverlauf speichern möchten, den Inkognito-Modus des Browsers für den SSO-Login nutzen. Im Inkognito-Modus werden Sie automatisch zur Anmeldung bei einem Google-Konto aufgefordert – dies sorgt für eine saubere Umgebung und minimiert Kontokonflikte.

FAQ

F: Beim Logout erscheint eine Kontenauswahl, aber nach Klick darauf wird eine 400-Fehlerseite angezeigt.

A: Google Workspace unterstützt kein SLO (Single Logout), daher ist es nicht möglich, das Google-Konto direkt über den GPTBots-Logout-Button abzumelden. Um sich abzumelden, öffnen Sie die Google-Kontoverwaltung im Browser und melden Sie sich dort manuell ab.