Google Workspace SSO

Diese Anleitung fuehrt Sie durch die Verbindung von Google Workspace mit Peerdom fuer Single Sign-On und automatische Benutzersynchronisierung. Sie benoetigen Administratorzugang zur Google Admin Console, um diese Schritte durchzufuehren.

Lesen Sie vor Beginn die SSO-Uebersicht, um zu verstehen, wie Peerdom die Benutzerbereitstellung, taegliche Synchronisierung und das Anmeldeverhalten handhabt.

Schritt 1: Google Workspace-Domain notieren

Ermitteln Sie die Domain, die mit Ihrem Google Workspace-Konto verknuepft ist. Das ist der Teil nach dem @ in Ihren E-Mail-Adressen (zum Beispiel meineorganisation.org). Sie koennen die verfuegbaren Domains in der Google Admin Console ueberpruefen.

Schritt 2: Domainweite Delegation aktivieren

1. Oeffnen Sie die Google Admin Console unter admin.google.com.
2. Navigieren Sie zu Security > API Controls.
3. Klicken Sie auf Manage Domain Wide Delegation im Bereich «Domain wide delegation».
4. Fuegen Sie einen neuen API-Client mit den folgenden Werten hinzu:
   • Client ID: 100767850732510667368
   • OAuth Scope: https://www.googleapis.com/auth/admin.directory.user.readonly

Schritt 3: Gruppenbereich hinzufuegen (optional)

Wenn Sie die Synchronisierung auf bestimmte Google-Gruppen beschraenken moechten, fuegen Sie im selben Delegationseintrag einen zweiten OAuth Scope hinzu:

https://www.googleapis.com/auth/admin.directory.group.readonly

Die Beschraenkung der Synchronisierung auf bestimmte Gruppen wird fuer groessere Organisationen empfohlen. Ohne Gruppenfilter werden alle Domain-Benutzer mit Peerdom synchronisiert.

Schritt 4: Admin-E-Mail vorbereiten

Waehlen Sie eine Admin-Benutzer-E-Mail fuer die Service-Account-Delegation. Dieses Konto muss Zugriff auf die Admin SDK Directory API haben und muss sich mindestens einmal angemeldet und die Google Workspace-Nutzungsbedingungen akzeptiert haben.

Der Service Account kann nur die schreibgeschuetzten Aktionen ausfuehren, die durch die in Schritt 2 zugewiesenen Scopes definiert sind.

Schritt 5: Konfiguration an Peerdom senden

Kontaktieren Sie den Peerdom-Support mit den folgenden Informationen:

1. Google Workspace-Domain
2. Admin-E-Mail-Adresse fuer die Service-Account-Delegation
3. Synchronisierung aktivieren: ja oder nein
4. Group ID(s) zur Einschraenkung der Synchronisierung (optional, ohne diese werden alle Domain-Benutzer synchronisiert)
5. Bildsynchronisierung: ja oder nein
6. Standard-Zugriffsrechte fuer neue Benutzer: Member, Editor oder Owner

Der Peerdom-Support schliesst die Verbindung ab und bestaetigt, dass die Synchronisierung funktioniert.

Sobald SSO aktiv ist, erscheinen synchronisierte Benutzer in der Directory-App. Synchronisierte Felder sind ausgegraut und koennen nur in Google Workspace geaendert werden.

Verwandte Artikel

• Single Sign-On (SSO), Uebersicht ueber SSO-Funktionen und Synchronisierungsverhalten
• Microsoft Entra ID SSO, alternative Anbieter-Einrichtung
• Okta SSO, alternative Anbieter-Einrichtung
• Directory, Ihre synchronisierte Benutzerliste verwalten