Google Workspace SSO

Diese Anleitung führt dich durch die Verbindung von Google Workspace mit Peerdom für Single Sign-On und automatische Benutzersynchronisierung. du benötigst Administratorzugang zur Google Admin Console, um diese Schritte durchzuführen.

Lies vor Beginn die SSO-Übersicht, um zu verstehen, wie Peerdom die Benutzerbereitstellung, tägliche Synchronisierung und das Anmeldeverhalten handhabt.

Schritt 1: Google Workspace-Domain notieren

Ermittle die Domain, die mit deinem Google Workspace-Konto verknüpft ist. Das ist der Teil nach dem @ in deinen E-Mail-Adressen (zum Beispiel meineorganisation.org). du kannst die verfügbaren Domains in der Google Admin Console überprüfen.

Schritt 2: Domainweite Delegation aktivieren

1. Öffne die Google Admin Console unter admin.google.com.
2. Navigiere zu Security > API Controls.
3. Klicke auf Manage Domain Wide Delegation im Bereich «Domain wide delegation».
4. Füge einen neuen API-Client mit den folgenden Werten hinzu:
   • Client ID: 100767850732510667368
   • OAuth Scope: https://www.googleapis.com/auth/admin.directory.user.readonly

Schritt 3: Gruppenbereich hinzufügen (optional)

Wenn du die Synchronisierung auf bestimmte Google-Gruppen beschränken möchtest, füge im selben Delegationseintrag einen zweiten OAuth Scope hinzu:

https://www.googleapis.com/auth/admin.directory.group.readonly

Die Beschränkung der Synchronisierung auf bestimmte Gruppen wird für grössere Organisationen empfohlen. Ohne Gruppenfilter werden alle Domain-Benutzer mit Peerdom synchronisiert.

Schritt 4: Admin-E-Mail vorbereiten

Wähle eine Admin-Benutzer-E-Mail für die Service-Account-Delegation. Dieses Konto muss Zugriff auf die Admin SDK Verzeichnis API haben und muss sich mindestens einmal angemeldet und die Google Workspace-Nutzungsbedingungen akzeptiert haben.

Der Service Account kann nur die schreibgeschützten Aktionen ausführen, die durch die in Schritt 2 zugewiesenen Scopes definiert sind.

Schritt 5: Konfiguration an Peerdom senden

Kontaktiere den Peerdom-Support mit den folgenden Informationen:

1. Google Workspace-Domain
2. Admin-E-Mail-Adresse für die Service-Account-Delegation
3. Synchronisierung aktivieren: ja oder nein
4. Group ID(s) zur Einschränkung der Synchronisierung (optional, ohne diese werden alle Domain-Benutzer synchronisiert)
5. Bildsynchronisierung: ja oder nein
6. Standard-Zugriffsrechte für neue Benutzer: Member, Editor oder Owner

Der Peerdom-Support schliesst die Verbindung ab und bestätigt, dass die Synchronisierung funktioniert.

Sobald SSO aktiv ist, erscheinen synchronisierte Benutzer in der Verzeichnis-App. Synchronisierte Felder sind ausgegraut und können nur in Google Workspace geändert werden.

Verwandte Artikel

• Single Sign-On (SSO), Übersicht über SSO-Funktionen und Synchronisierungsverhalten
• Microsoft Entra ID SSO, alternative Anbieter-Einrichtung
• Okta SSO, alternative Anbieter-Einrichtung
• Directory, deine synchronisierte Benutzerliste verwalten