SAML SSO instellen in Google Workspace
Complete gids voor SAML SSO in Google Workspace: configureren met Azure AD, Okta of ADFS, Just-in-Time provisioning, certificaatbeheer en SSO per OU instellen.
Single Sign-On via SAML stelt gebruikers in staat om in te loggen op Google Workspace met hun bestaande bedrijfsidentiteit. Authenticatie verloopt via de identity provider (IdP): Microsoft Entra ID, Okta, Ping Identity of ADFS.
Hoe werkt SAML SSO?
Gebruiker opent Gmail
|
Google stuurt SAML-aanvraag naar IdP
|
IdP verifieert gebruiker (of herkent actieve sessie)
|
IdP stuurt SAML-respons terug naar Google
|
Google verifieert en verleent toegangGoogle kent nooit het wachtwoord. Authenticatie vindt volledig plaats bij de IdP.
Voordelen
| Voordeel | Praktisch effect |
|---|---|
| Een wachtwoord voor alles | Minder helpdesk-tickets voor wachtwoordresets |
| Centraal gebruikersbeheer | Uitschakelen in AD werkt direct door in Workspace |
| MFA centraal beheerbaar | MFA-beleid van IdP geldt ook voor Workspace |
| Betere audittrail | Alle aanmeldingen gelogd bij IdP |
SSO-profiel aanmaken
Admin Console > Beveiliging > Verificatie > SSO met een externe IdP
Klik op Profiel toevoegenIdP-metadata ophalen
Je hebt nodig: SSO-aanmeldings-URL, Verificatiecertificaat (X.509), Afmeldings-URL.
Vanuit Azure AD:
Azure Portal > Enterprise Applications > [Google Workspace app]
SAML-instellingen > Federatiemetadata XML downloadenConfigureren in Workspace
Admin Console > SSO-profiel
Aanmeldings-URL: [IdP URL]
Afmeldings-URL: [IdP URL]
Verificatiecertificaat: [upload X.509]Google SP-metadata naar de IdP
Na opslaan genereert Google metadata voor de IdP:
- Entity ID:
google.com - ACS URL:
https://www.google.com/a/[jouwdomein.nl]/acs - Naam-ID formaat: EMAIL
Testen voor live gang
Admin Console > Beveiliging > SSO
Koppel SSO-profiel aan test-OU
Test aanmelden met testgebruikerTip: Ga live in fasen: eerst IT-afdeling, dan management, dan de rest. Los configuratieproblemen op voor de brede uitrol.
Veelgestelde vragen
Wat als de IdP niet beschikbaar is?
Gebruikers kunnen dan niet inloggen via SSO. Super Admins kunnen altijd inloggen via hun Google-wachtwoord. Zorg voor een highly-available IdP.
Kunnen Super Admins altijd inloggen?
Ja, Super Admins kunnen altijd inloggen via hun Google-wachtwoord, ook als SSO is ingeschakeld.
Hoe update ik het SAML-certificaat als het verloopt?
Upload het nieuwe certificaat in het SSO-profiel en in de IdP. Zet een reminder 30 dagen voor de vervaldatum.
Kan ik SSO per OU in- en uitschakelen?
Ja. Koppel het SSO-profiel aan specifieke OUs. Gebruikers zonder SSO-profiel loggen in via Google-wachtwoord.
Wat is het verschil tussen SAML en OAuth?
SAML is voor authenticatie (wie ben je). OAuth is voor autorisatie (wat mag de app doen).
Wat als gebruikers hun wachtwoord vergeten na de overgang?
Na SSO-overgang loggen gebruikers in via de IdP. Wachtwoordherstel loopt via de IdP (bijv. Azure AD self-service password reset).
Hoe log ik SSO-aanmeldingen?
Admin Console > Rapporten > Controlelogboek > Aanmelding. Je ziet wie via SSO en wie via wachtwoord inlogt.
Werkt SSO ook voor mobiele apps?
Ja, voor apps die OAuth2 gebruiken (Gmail-app, Drive-app) werkt SSO via het Google identity platform.
Is JIT provisioning beter dan GCDS?
Voor kleine organisaties is JIT praktisch. Voor grotere organisaties (>50 gebruikers) is GCDS beter: meer controle over attributen en OUs.
Kan ik meerdere SSO-profielen gebruiken voor verschillende OUs?
Ja. Meerdere profielen voor verschillende OUs zijn mogelijk. Handig bij fusies of meerdere IdP-systemen.