SAML SSO instellen in Google Workspace

Complete gids voor SAML SSO in Google Workspace: configureren met Azure AD, Okta of ADFS, Just-in-Time provisioning, certificaatbeheer en SSO per OU instellen.

Total Workspace 13 April 2026 1 min leestijd

SAML SSO Single Sign-On Azure AD Okta Google Workspace Authenticatie Identity Provider

Single Sign-On via SAML stelt gebruikers in staat om in te loggen op Google Workspace met hun bestaande bedrijfsidentiteit. Authenticatie verloopt via de identity provider (IdP): Microsoft Entra ID, Okta, Ping Identity of ADFS.

Hoe werkt SAML SSO?

Gebruiker opent Gmail
        |
Google stuurt SAML-aanvraag naar IdP
        |
IdP verifieert gebruiker (of herkent actieve sessie)
        |
IdP stuurt SAML-respons terug naar Google
        |
Google verifieert en verleent toegang

Google kent nooit het wachtwoord. Authenticatie vindt volledig plaats bij de IdP.

Voordelen

Voordeel	Praktisch effect
Een wachtwoord voor alles	Minder helpdesk-tickets voor wachtwoordresets
Centraal gebruikersbeheer	Uitschakelen in AD werkt direct door in Workspace
MFA centraal beheerbaar	MFA-beleid van IdP geldt ook voor Workspace
Betere audittrail	Alle aanmeldingen gelogd bij IdP

SSO-profiel aanmaken

Admin Console > Beveiliging > Verificatie > SSO met een externe IdP
Klik op Profiel toevoegen

IdP-metadata ophalen

Je hebt nodig: SSO-aanmeldings-URL, Verificatiecertificaat (X.509), Afmeldings-URL.

Vanuit Azure AD:

Azure Portal > Enterprise Applications > [Google Workspace app]
SAML-instellingen > Federatiemetadata XML downloaden

Configureren in Workspace

Admin Console > SSO-profiel
Aanmeldings-URL: [IdP URL]
Afmeldings-URL: [IdP URL]
Verificatiecertificaat: [upload X.509]

Google SP-metadata naar de IdP

Na opslaan genereert Google metadata voor de IdP:

Entity ID: google.com
ACS URL: https://www.google.com/a/[jouwdomein.nl]/acs
Naam-ID formaat: EMAIL

Testen voor live gang

Admin Console > Beveiliging > SSO
Koppel SSO-profiel aan test-OU
Test aanmelden met testgebruiker

Tip: Ga live in fasen: eerst IT-afdeling, dan management, dan de rest. Los configuratieproblemen op voor de brede uitrol.

Terug naar blog Vraag advies aan

Veelgestelde vragen

Wat als de IdP niet beschikbaar is?

Gebruikers kunnen dan niet inloggen via SSO. Super Admins kunnen altijd inloggen via hun Google-wachtwoord. Zorg voor een highly-available IdP.

Kunnen Super Admins altijd inloggen?

Ja, Super Admins kunnen altijd inloggen via hun Google-wachtwoord, ook als SSO is ingeschakeld.

Hoe update ik het SAML-certificaat als het verloopt?

Upload het nieuwe certificaat in het SSO-profiel en in de IdP. Zet een reminder 30 dagen voor de vervaldatum.

Kan ik SSO per OU in- en uitschakelen?

Ja. Koppel het SSO-profiel aan specifieke OUs. Gebruikers zonder SSO-profiel loggen in via Google-wachtwoord.

Wat is het verschil tussen SAML en OAuth?

SAML is voor authenticatie (wie ben je). OAuth is voor autorisatie (wat mag de app doen).

Wat als gebruikers hun wachtwoord vergeten na de overgang?

Na SSO-overgang loggen gebruikers in via de IdP. Wachtwoordherstel loopt via de IdP (bijv. Azure AD self-service password reset).

Hoe log ik SSO-aanmeldingen?

Admin Console > Rapporten > Controlelogboek > Aanmelding. Je ziet wie via SSO en wie via wachtwoord inlogt.

Werkt SSO ook voor mobiele apps?

Ja, voor apps die OAuth2 gebruiken (Gmail-app, Drive-app) werkt SSO via het Google identity platform.

Is JIT provisioning beter dan GCDS?

Voor kleine organisaties is JIT praktisch. Voor grotere organisaties (>50 gebruikers) is GCDS beter: meer controle over attributen en OUs.

Kan ik meerdere SSO-profielen gebruiken voor verschillende OUs?

Ja. Meerdere profielen voor verschillende OUs zijn mogelijk. Handig bij fusies of meerdere IdP-systemen.

Andere artikelen

19 December 2025

Vraag over dit onderwerp?

Wij reageren binnen 1 werkdag met een eerlijk en concreet antwoord.

Aanvraag

Specificatie

Uw gegevens

Waarmee kunnen wij u helpen?

Informatie & advies

Vraag over het artikel.

Offerte aanvragen

Prijsindicatie ontvangen.

Implementatie

Hulp bij toepassing.

Bestaande klant

Vraag of melding indienen.