Standortbeschränkung für Google Workspace (G Suite) aktivieren

1. Google Workspace (G Suite) in miniOrange konfigurieren

• Melden Sie sich bei miniOrange an Admin-Konsole.
• Gehe zu Apps und klicken Sie auf Anwendung hinzufügen .



• In Wählen Sie Anwendungstyp Klicken Sie auf App erstellen Schaltfläche im SAML/WS-FED-Anwendungstyp.



• Suchen Sie nach den Google in der Liste.



• Geben Sie Ihre Domain Name die Sie mit Google Workspace verwenden.
• Geben Sie die Einzelne Abmelde-URL as https://mail.google.com/a/out/tld/?logout.
• Von dem Provisioning Geben Sie den Domänenadministrator in Google Apps (G Suite)-Administrator und klicken Sie auf "Google Apps-Administrator bestätigen", um zu überprüfen, ob die eingegebene Domäne die eines Administrators ist (dies ist ein optionales Feld).



• Klicken Sie auf Gespeichert.

Holen Sie sich IdP-Metadatendetails zum Hochladen in Google Apps:

• Gehe zu Apps >> Apps verwalten.
• Suchen Sie nach Ihrer App und klicken Sie auf das wählen im Aktionsmenü für Ihre App.
• Klicken Sie auf Metadaten um Metadatendetails abzurufen, die später benötigt werden. Klicken Sie auf SSO-Link anzeigen um den vom IDP initiierten SSO-Link für Google Apps anzuzeigen.



• Hier sehen Sie 2 Optionen, wenn Sie einrichten miniOrange als IDP Kopieren Sie die Metadatendetails zu miniOrange, wenn Sie eine Authentifizierung benötigen über externe IDPs (OKTA, AZURE AD, ADFS, ONELOGIN, GOOGLE APPS) Sie können Metadaten aus dem 2. Abschnitt abrufen, wie unten gezeigt.



• Behalten SAML-Anmelde-URL und klicken Sie auf Zertifikat herunterladen , um das Zertifikat herunterzuladen, das Sie benötigen in Schritt 2.

2. SAML SSO in Google Workspace (G Suite) konfigurieren

• Melden Sie sich jetzt an Google Admin-Konsole und wählen Sicherheit Registerkarte in der Admin-Konsole.
• Gehe zu Authentifizierung >> SSO mit Drittanbieter-IDP. Hier, aus dem SSO-Profil für Ihre Organisation Klicken Sie im Abschnitt auf das Bearbeitungssymbol.





• Aktivieren Sie die Einrichten von SSO mit einem Identitätsanbieter eines Drittanbieters Kontrollkästchen.
• Enter URL der Anmeldeseite: SAML-Anmelde-URL aus Schritt 1.
• Enter URL der Abmeldeseite: <Basisserver-URL> /idp/oidc/logout?post_logout_redirect_uri=https://gmail.com
  Beispiel: https://login.xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri=https://gmail.com
  
• Laden Sie das Zertifikat hoch, indem Sie auf Zertifikat ersetzen Link, der zuvor in Schritt 1 heruntergeladen wurde.
• Geben Sie die URL zum Ändern des Passworts ein: SAML-Anmelde-URL ab Schritt 1.
• Sichern Sie die Einstellungen.
• Ihre Google SSO SAML-Integration ist abgeschlossen.



2.1. SSO-Profile Organisationseinheiten oder Gruppen zuweisen:




Wenn Sie möchten, dass sich einige Ihrer Benutzer direkt bei Google anmelden, können Sie diese Benutzer in eine Organisationseinheit (OU) oder Gruppe verschieben. Verwalten Sie dann die SSO-Einstellungen für die OU oder Gruppe, sodass diese Benutzer von Google authentifiziert werden und nicht Ihren Drittanbieter-IdP verwenden. Führen Sie die folgenden Schritte aus:

• Wenn Sie möchten, dass sich alle Ihre (nicht-Superadministrator-)Benutzer über einen IdP eines Drittanbieters anmelden: Sie müssen keine Verwaltung durchführen.
• Wenn Sie möchten, dass sich einige Ihrer Benutzer direkt bei Google anmelden: Klicken Sie auf Verwalten von SSO-Profilzuweisungen und fahren Sie mit dem nächsten Schritt fort.
  • Wenn Sie das SSO-Profil zum ersten Mal zuweisen, klicken Sie auf Los geht´s. Andernfalls klicken Sie auf Verwalten. Note: Get started is only available if you’ve already enabled your third-party SSO profile.
  
  
  
  
  • Wählen Sie links die Organisationseinheit oder Gruppe aus, für die Sie das SSO-Profil zuweisen.
    Note: If the SSO profile assignment for an OU or group differs from your domain-wide profile assignment,
an override warning appears when you select that OU or group. You can’t assign the SSO profile on a
per-user basis. The Users view let you check the setting for a specific user.
    
  
  
  
  • Wählen Drittanbieter-SSO-Profil der Organisation wenn Sie möchten, dass sich Ihre Benutzer in der Organisationseinheit oder Gruppe mit dem im Drittanbieter-SSO-Profil Ihrer Domäne angegebenen IdP bei Google-Diensten anmelden.
  • Wählen Non wenn Sie möchten, dass sich Ihre Benutzer in der Organisationseinheit oder Gruppe direkt bei Google anmelden.
  • Wählen Ein weiteres SSO-Profil falls Sie bereits einen anderen Identitätsanbieter konfiguriert haben und diesen zur Benutzerauthentifizierung verwenden möchten.
  • Dann klick Gespeichert.

2.2. So deaktivieren Sie SSO für alle Benutzer:

Wenn Sie die Drittanbieter-Authentifizierung für alle Ihre Benutzer deaktivieren möchten, ohne die SSO-Profilzuweisung für Organisationseinheiten oder Gruppen zu ändern, können Sie das Drittanbieter-SSO-Profil deaktivieren:

• Deaktivieren Einrichten von SSO mit einem Identitätsanbieter eines Drittanbieters.
• Klicke Gespeichert.

3. Standortbeschränkung konfigurieren: Beschränken Sie den Zugriff durch Begrenzung der Anzahl der Standorte

Bei dieser Einschränkungsmethode konfiguriert der Administrator eine Liste von Standorten, an denen Endbenutzer sich basierend auf den vom Administrator festgelegten Bedingungen anmelden oder die Anmeldung verweigern können. Wenn ein Benutzer versucht, sich mit aktivierter adaptiver Authentifizierung anzumelden, werden seine Standortattribute wie (Breitengrad, Längengrad und Ländercode) anhand der vom Administrator konfigurierten Standortliste überprüft. Auf dieser Grundlage wird dem Benutzer die Anmeldung entweder gestattet, verweigert oder verweigert.

• Gehe zu Adaptive Authentifizierung aus der linken Navigationsleiste.
• Klicken Sie auf Richtlinie hinzufügen Tab.



• Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.



• Scrollen Sie nach unten Standortkonfiguration Abschnitt und klicken Sie auf Bearbeiten.



• Hier kannst du Standortregistrierung aktivieren wenn der Benutzer die Herausforderung abschließt.
• Der Konfigurierte Standorte, klicke auf Ort hinzufügen.



• Im Geben Sie Standort Geben Sie in das Eingabefeld den Standortnamen ein und wählen Sie dann den richtigen Standort aus der Dropdown-Liste der Suchergebnisse aus. Wählen Sie als Nächstes Ihren Entfernungsparameter entweder als KMS (Kilometer) oder Meilen unter Erlaubter RadiusFür jeden Standort, den Sie hinzufügen, können Sie wählen, ob Sie Whitelist/Zulassen or Schwarze Liste/Verweigern indem Sie die entsprechende Option auswählen.
• Sie können auf die Schaltfläche Ort hinzufügen um mehr als einen Standort hinzuzufügen und folgen Sie dann den oben genannten Schritten.



• Scrollen Sie nun nach unten zum Maßnahmen zur Verhaltensänderung Abschnitt und klicken Sie auf Bearbeiten. Wählen Sie die Aktion aus, die Sie ausführen möchten, wenn die IP-Adresse außerhalb des Bereichs liegt. Zulassen, Anfechten oder Ablehnen.



• Scrollen Sie bis zum Ende und klicken Sie auf Speichern.

4. Aktivieren Sie die Einschränkung für Google Apps

• Gehe zu Richtlinien >> App-Anmelderichtlinie aus der linken Navigationsleiste.
• Klicken Sie auf Bearbeiten Option für Ihre ausgewählte App.



• Legen Sie Ihren Anwendungsnamen im Antragsprozess und wählen Sie Passwort als Anmeldemethode.
• Ermöglichen Adaptive Authentifizierung.
• Von dem Wählen Sie „Anmelderichtlinie“ Wählen Sie aus der Dropdown-Liste die Richtlinie aus, die wir im letzten Schritt erstellt haben, und wählen Sie die gewünschte Einschränkungsmethode als eine Option.
• Klicke Gespeichert.

1. SAML-App in miniOrange konfigurieren

• Melden Sie sich an miniOrange Admin-Konsole.
• Gehe zu Apps und klicken Sie auf Anwendung hinzufügen .



• Wählen Sie unter Anwendung auswählen SAML/WS-FED von dem Alle Apps Dropdown-Liste.



• Suchen Sie im nächsten Schritt nach Benutzerdefinierte SAML-App und klicken Sie darauf.



• Im Grundeinstellungen geben Sie die gewünschte App Name und fügen Sie die SP-Metadaten hinzu, indem Sie auf das SP-Metadaten importieren Schaltfläche; die Metadaten finden Sie im Authentifizierungsquelle Registerkarte in CASB.



• Wenn Sie fertig sind, klicken Sie auf Gespeichert .



• Gehen Sie nun zum miniOrange CASB-Dashboard, indem Sie auf . .



• Nach der Anmeldung sollten Sie zur miniOrange-Dashboard-Seite weitergeleitet werden. Klicken Sie auf "Google" app und klicken Sie darauf.



• Wähle aus Authentifizierungsquelle hinzufügen Option aus dem Dropdown-Menü.



• Erwähnen Sie einen Authentifizierungsname für die Authentifizierungsquelle und klicken Sie auf Metadaten generieren.



• Nach dem Klicken auf Metadaten generierenerhalten Sie die Metadatendetails, wie im Bild unten dargestellt. Verwenden Sie diese Daten, um die SAML-Anwendung in Ihrem Identitätsanbieter (IDP).



• Wenn Sie die Metadatendetails erneut anzeigen möchten, klicken Sie auf das Metadaten anzeigen .
• Sie können die erforderlichen IDP-Metadaten abrufen aus der SAML-App Sie haben die Konfiguration mit dem Identitätsanbieter Miniorange.
• Geben Sie nun die restlichen Details ein, wie IDP-Entitäts-ID, SAML-Anmelde-URL, SAML-Abmelde-URL und X.509-Zertifikat die Sie in Ihrem Identitätsanbieter Metadaten.
• Wählen Sie anschließend den Bindungstyp für die SSO-Anforderung nach Bedarf aus. Sie finden diese Informationen in den IDP-Metadaten. Wenn Sie sich jedoch nicht sicher sind, wählen Sie bitte den HTTP-Redirect-Bindung als Standardkonfiguration.



• Klicken Sie auf die Speichern weiter Schaltfläche, sobald Sie alle Details ausgefüllt haben.

2. Konfigurieren von SAML SSO in der Google Admin-Konsole

• Jetzt werden Sie weitergeleitet zu Grundeinstellungen .
• Füllen Sie die folgenden Angaben aus, um den Google Anwendung:

Organisation Name:	Geben Sie den Namen Ihrer Organisation ein.
Organisationsdomäne:	Geben Sie die Domain Ihrer Organisation bei Google ein. (Beispiel: example.com)
Attributschlüssel:	Geben Sie den Gruppenattributschlüssel für die SSO-App ein, den Sie im IDP im Abschnitt „SAML-Attribute“ konfiguriert haben.
Name-Attributschlüssel:	Geben Sie den Attributnamen ein, etwa Fname, Lname usw.
Geben Sie die ACS-URL ein:	Sie können die Google ACS-URL über das Google-Administrationsbereich abrufen.
Geben Sie die Entitäts-URL ein:	Sie können die Google-Entitäts-URL über das Google-Administrationsbereich abrufen.
CASB-Typ	Wählen Sie den CASB-Typ als „Inline“ oder „Offline“
MDM aktivieren	Wenn Sie MDM auf Ihrem Gerät konfigurieren möchten, aktivieren Sie es




• Für ACS-URL kombiniert mit einem nachhaltigen Materialprofil. Entitäts-URL Sie müssen zuerst die Google Admin-Authentifizierung mit den folgenden Schritten konfigurieren.
• Melden Sie sich zunächst bei Ihrem an Google Admin Instrumententafel.



• Klicken Sie links unter dem Menüsymbol (☰) auf Zuhause () ⤏ Sicherheit () ⤏ Authentifizierung ⤏ SSO mit Drittanbieter-IDP.



• Klicken Sie nun auf SAML-PROFIL HINZUFÜGEN um ein neues SAML-Profil zu erstellen.



• Enter SSO-Profilname und ausfüllen IDP-Entitäts-ID kombiniert mit einem nachhaltigen Materialprofil. URL der Anmeldeseite aus IDP-Metadaten.



• Gehen Sie zum CASB-Grundeinstellungsbildschirm und klicken Sie auf IDP-Metadaten anzeigen zu finden IDP-Entitäts-ID kombiniert mit einem nachhaltigen Materialprofil. URL der AnmeldeseiteSie können auch die X.509-Zertifikat von hier.



• Kopiere und füge die IDP-Entitäts-ID kombiniert mit einem nachhaltigen Materialprofil. URL der Anmeldeseite und befestigen Sie die X.509-Zertifikat in Zertifikat hochladen und klicken Sie auf Gespeichert .

3. Richtlinien konfigurieren

Sehen wir uns an, wie Richtlinien für Google CASB konfiguriert werden.

• Sie werden weitergeleitet zum Richtlinie verwalten Geben Sie Ihre Versicherungsdetails ein, wie Versicherungsname kombiniert mit einem nachhaltigen Materialprofil. Richtlinienbeschreibung.



• Klicken Sie auf das Kontrollkästchen für „Standortbeschränkung aktivieren“ wie unten in der Abbildung dargestellt.
• Durch Aktivieren dieser Funktion schränken Sie den Zugriff auf Benutzer basierend auf ihrem Standort ein:

1) Wählen Sie die Zulassen oder Ablehnen Option, bestimmte Standorte zuzulassen oder einzuschränken.

2) Wählen Sie Standorte aus der Dropdown-Liste aus.

• Wenn Sie fertig sind, klicken Sie auf Speichern weiter .

4. Gruppen konfigurieren und Bildschirm bearbeiten

Sehen wir uns an, wie Gruppen für Google CASB konfiguriert werden.

• Sie werden weitergeleitet zum Gruppen verwalten Geben Sie den Name kombiniert mit einem nachhaltigen Materialprofil. Beschreibung für die Gruppe (Es sollte derselbe Name sein wie der Name der Gruppe, die Sie im IDP konfiguriert haben). Wählen Sie die Politik Aus dem Dropdown-Menü.
• Wählen Sie unten die Anwendung aus, der Sie Berechtigungen erteilen möchten.

1) App-Einschränkung: Dabei werden die Einschränkungen auf die Anwendung basierend auf der Richtlinie angewendet, die Sie für die Gruppe konfiguriert haben.

2) Keine App-Einschränkung: Hierbei kommt es zu keinerlei Einschränkungen bei der Anmeldung für die Gruppe.

3) App deaktivieren: Durch Auswahl dieser Option wird die Anwendung für die gesamte Gruppe von überall her unzugänglich.

4) Benutzerdefinierte App-Einschränkung: Auf diese Weise können Sie eine anwendungsspezifische, benutzerdefinierte Anwendungseinschränkungsrichtlinie auf eine Anwendung anwenden, die die Einschränkungsrichtlinie der Gruppe außer Kraft setzt.

• Klicken Sie nun auf Farbe .



• Nach erfolgreicher Konfiguration aller Bildschirme werden Sie weitergeleitet zum bearbeiten Bildschirm.
• Im Grundeinstellungen Sie können bei Bedarf alle Konfigurationen in der Authentifizierung ändern.



• Im Gruppeneinstellungen Abschnitt Sie können auf diesem Bildschirm Gruppen hinzufügen und konfigurieren und alle konfigurierten Gruppen anzeigen. Klicken Sie nun auf Neue Gruppe hinzufügen.
• Sie erhalten ein Popup zum Hinzufügen eines Neue Gruppe und Sie können es mit den oben genannten Schritten konfigurieren.



• Im „Sitzungsverwaltung“ können Sie die Details der Sitzungen angemeldeter Benutzer sehen.