• Home
• App-Integrationen
• MFA-Integrationen
• Google 2-Schritt-Verifizierung (Zwei-Faktor-Authentifizierung) für Gsuite

Google 2-Schritt-Verifizierung (Zwei-Faktor-Authentifizierung) für Ihr Konto

---

Warum implementieren wir 2FA für Google Workspace (G Suite)?

Die zweistufige Bestätigung oder Zwei-Faktor-Authentifizierung (2FA/MFA) von Google ist eine Sicherheitsmaßnahme, die den Prozess der sicheren Authentifizierung und Identitätsüberprüfung umfasst, bei dem ein Benutzer oder ein Mitarbeiter einer Organisation zwei Faktoren angeben muss, um Zugriff auf die Cloud-Daten von Google (G Suite) zu erhalten. Gsuite 2-Schritt-Verifizierung oder Gsuite 2fa Der Vorgang beginnt mit der Eingabe des Benutzernamens und Passworts. Nach erfolgreicher Identitätsprüfung und Authentifizierung im ersten Schritt erfolgt die zweite konfigurierte 2FA-Methode (OTP über SMS, Push-Benachrichtigungen, Google Authenticator usw.) zur zweiten Verifizierung. Nach erfolgreicher Anmeldung in beiden Schritten erhält der Benutzer Zugriff auf das Google (G Suite)-Konto. Diese zusätzliche Verifizierungsebene dient als Sicherheitsmaßnahme und verhindert den Zugriff Unbefugter auf das Google-Konto, indem Ihre Identität verifiziert wird, selbst wenn Cyber-Angreifer Ihre Anmeldeinformationen kennen. Sie können Ihren Zugriff auch basierend auf Standort, Zugriffszeit und Anzahl der Geräte einschränken. minOrange adaptive Authentifizierung Lösung für Gsuite und andere Apps.

Wie hilft miniOrange bei der 2-Stufen-Verifizierung (2FA) von Google?

miniOrange bietet Mehr als 15 Authentifizierungsmethoden als Sicherheitsmaßnahme und Lösung für verschiedene Apps/Websites, einschließlich der 2-Stufen-Verifizierung von Google. Sie ermöglicht Benutzern und Organisationen die Einrichtung bestimmter Authentifizierungs- und Einstellungsoptionen zur Identitätsüberprüfung, darunter Passwortbeschränkungen, Einschränkung der Anmeldemethodensowie andere Sicherheitseinstellungen. Mit miniOrange können Sie TOTP-basierte Methoden (Google Authenticator/Microsoft Authenticator, Authy Authenticator) sowie Push-Benachrichtigungen, OTP über SMS/E-Mail und vieles mehr konfigurieren. MFA-Methoden für Ihr Gsuite-Konto. Abgesehen davon können Sie 2fa auch hinzufügen auf Mehrfachanwendungen von Ihrer Organisation verwendet.

Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung für Google Workspace (G Suite) Single Sign-On (SSO) und die 2-Schritt-Verifizierung

1. Google Workspace (G Suite) in miniOrange konfigurieren

• Melden Sie sich bei miniOrange an Admin-Konsole.
• Gehe zu Apps und klicken Sie auf Anwendung hinzufügen .



• In Wählen Sie Anwendung, wählen SAML/WS-FED aus der Dropdown-Liste „Anwendungstyp“.



• Suchen Sie nach Google Workspace (G Suite) Wenn Sie Google Workspace (G Suite) nicht in der Liste finden, suchen Sie nach Original und Sie können Ihre Anwendung einrichten in Benutzerdefinierte SAML-App.

• Geben Sie die SP-Entitäts-ID oder Aussteller as google.com.
• Geben Sie Ihre Domain Name, den Sie mit Google Workspace verwenden.
• Geben Sie die Einzelne Abmelde-URL as https://mail.google.com/a/out/tld/?logout.
• Von dem Provisioning Geben Sie den Domänenadministrator in Google Workspace (G Suite)-Administrator und klicken Sie auf "Google Workspace-Administrator bestätigen", um zu überprüfen, ob die eingegebene Domäne die eines Administrators ist (dies ist ein optionales Feld).



• Klicken Sie auf Gespeichert.
• Lassen Sie die Attribute Abschnitt leer.
• Gehen Sie zum Anmelderichtlinie und wählen Sie DEFAULT von dem Gruppenname Dropdown-Liste.
• Geben Sie nun die Name für Ihre App-Authentifizierungsrichtlinie in England, Versicherungsname Feld.
• Auswählen Passwort von dem Login-Methode Dropdown-Liste.
• Klicken Sie auf Gespeichert um Google Workspace (G Suite) hinzuzufügen.



• In Anwendungen, suchen Sie nach der konfigurierten App.
• Von dem Aktion Menü (drei Punkte) neben Ihrer App, klicken Sie auf Bearbeiten.



• Erleben Sie das Einfache. ACS-URL von Schritt 2, dann klick Gespeichert.




Holen Sie sich IdP-Metadatendetails zum Hochladen in Google Workspace:

• Gehe zu Apps >> für Anwendungen.
• Suchen Sie nach Ihrer App und klicken Sie auf das drei Punkte in Aktion Menü für Ihre App.
• Klicken Sie auf Metadaten um Metadatendetails abzurufen, die später benötigt werden. Klicken Sie auf SSO-Link anzeigen um den vom IDP initiierten SSO-Link für Google Workspace (G Suite) anzuzeigen.



• Hier sehen Sie 2 Optionen, wenn Sie einrichten miniOrange als IDP Kopieren Sie die Metadatendetails zu miniOrange, wenn Sie eine Authentifizierung benötigen über externe IDPs (OKTA, AZURE AD, ADFS, ONELOGIN, GOOGLE WORKSPACE) Sie können Metadaten aus dem 2. Abschnitt abrufen, wie unten gezeigt.



• Behalten SAML-Anmelde-URL und klicken Sie auf Zertifikat herunterladen , um das Zertifikat herunterzuladen, das Sie benötigen in Schritt 2.

2. SSO in Google Workspace (G Suite) konfigurieren

• Melden Sie sich jetzt an Google Admin-Konsole.
• Gehe zu Sicherheit > Authentifizierung > SSO mit Drittanbieter-IdP.
• Im SSO-Profile von Drittanbietern Abschnitt, klicken Sie auf SAML-Profil hinzufügen.



• Für SAML SSO-Profil, geben Sie einen Profilnamen ein.



• Im IdP-Details Abschnitt, geben Sie die folgenden Informationen an:
  • URL der Anmeldeseite: SAML-Anmelde-URL von Schritt 1.
  • URL der Abmeldeseite: /idp/oidc/logout?post_logout_redirect_uri=https://gmail.com
    
    Beispiel: https://login.xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri=https://gmail.com
  • URL zum Ändern des Passworts: SAML-Anmelde-URL von Schritt 1.
• Laden Sie das Zertifikat hoch, indem Sie auf Zertifikat hochladen (Ab Schritt 1).
• Klicke Gespeichert.



• Nach dem Speichern kopieren Sie die ACS-URL. Sie benötigen dies, wenn Sie Google Workspace in miniOrange konfigurieren.



• Ihre Google SSO SAML-Integration ist abgeschlossen.



2.1. SSO-Profile Organisationseinheiten oder Gruppen zuweisen:




Wenn Sie möchten, dass sich einige Ihrer Benutzer direkt bei Google anmelden, können Sie diese Benutzer in eine Organisationseinheit (OU) oder Gruppe verschieben. Verwalten Sie dann die SSO-Einstellungen für die OU oder Gruppe, sodass diese Benutzer von Google authentifiziert werden und nicht Ihren Drittanbieter-IdP verwenden. Führen Sie die folgenden Schritte aus:

• Wenn Sie möchten, dass sich alle Ihre (nicht-Superadministrator-)Benutzer über einen IdP eines Drittanbieters anmelden: Sie müssen keine Verwaltung durchführen.
• Wenn Sie möchten, dass sich einige Ihrer Benutzer direkt bei Google anmelden: Klicken Sie auf Verwalten von SSO-Profilzuweisungen und fahren Sie mit dem nächsten Schritt fort.
  • Wenn Sie das SSO-Profil zum ersten Mal zuweisen, klicken Sie auf Los geht´s. Andernfalls klicken Sie auf Verwalten. Note: Get started is only available if you’ve already enabled your third-party SSO profile.
  
  
  
  
  • Wählen Sie links die Organisationseinheit oder Gruppe aus, für die Sie das SSO-Profil zuweisen.
    Note: If the SSO profile assignment for an OU or group differs from your domain-wide profile assignment, an
override warning appears when you select that OU or group. You can’t assign the SSO profile on a per-user
basis. The Users view let you check the setting for a specific user.
    
  
  
  
  • Wählen Drittanbieter-SSO-Profil der Organisation wenn Sie möchten, dass sich Ihre Benutzer in der Organisationseinheit oder Gruppe mit dem im Drittanbieter-SSO-Profil Ihrer Domäne angegebenen IdP bei Google-Diensten anmelden.
  • Wählen Non wenn Sie möchten, dass sich Ihre Benutzer in der Organisationseinheit oder Gruppe direkt bei Google anmelden.
  • Dann klick Gespeichert.

2.2. So deaktivieren Sie SSO für alle Benutzer:

Wenn Sie die Drittanbieter-Authentifizierung für alle Ihre Benutzer deaktivieren möchten, ohne die SSO-Profilzuweisung für Organisationseinheiten oder Gruppen zu ändern, können Sie das Drittanbieter-SSO-Profil deaktivieren:

• Deaktivieren Einrichten von SSO mit einem Identitätsanbieter eines Drittanbieters.
• Klicke Gespeichert.

3. 2FA für Google Workspace (G Suite) konfigurieren

3.1: 2FA für Benutzer der Google Workspace (G Suite)-App aktivieren

• So aktivieren Sie 2FA für Benutzer der Google Workspace (G Suite)-Anwendung. Gehen Sie zu Richtlinien >> App-Anmelderichtlinie
• Klicken Sie auf Bearbeiten Symbol neben der von Ihnen konfigurierten Anwendung.



• Prüfen Sie die 2-Faktor-Authentifizierung (MFA) aktivieren .



• Klicken Sie auf Einreichen.

3.2: Konfigurieren Sie 2FA für Ihre Endbenutzer

• Um 2FA/MFA für Endbenutzer zu aktivieren, gehen Sie zu 2-Faktor-Authentifizierung >> 2FA-Optionen für Endbenutzer.
• Standard auswählen Zwei-Faktor-Authentifizierungsmethode für Endbenutzer. Sie können auch bestimmte 2FA-Methoden auswählen, die Sie auf dem Dashboard des Endbenutzers anzeigen möchten.
• Wenn Sie mit den Einstellungen fertig sind, klicken Sie auf Gespeichert um Ihre 2FA-Einstellungen zu konfigurieren.

3.3: 2FA-Setup für Endbenutzer

• Einloggen um Endbenutzer-Dashboard mithilfe der Endbenutzer-Anmelde-URL.
• Für die Cloud-Version: Die von Ihnen festgelegte Login-URL (Branding-URL).
• Für die On-Premise-Version: Die Anmelde-URL ist dieselbe wie die Administrator-Anmelde-URL.
• Auswählen 2FA einrichten Wählen Sie dann eine der 2FA-Methode erhältlich.
• Für den Moment haben wir ausgewählt: SMS >> OTP per SMS als unsere 2FA-Methode. Sie können die Anleitung zum Einrichten anderer 2FA-Methoden hier.
• Ermöglichen das OTP per SMS, wenn Sie Ihre Telefonnummer unter Ihren Kontoinformationen hinzugefügt haben, andernfalls klicken Sie auf Bearbeiten >> Klicken Sie hier, um Ihre Telefonnummer zu aktualisieren Link.



• Klicken Sie in den Kontoinformationen auf das Bearbeitungssymbol.



• Wählen Sie Ihre Landesvorwahl, geben Sie Ihre Handynummer ein und klicken Sie auf OTP senden.



• Geben Sie das an Ihr Telefon gesendete OTP ein und klicken Sie auf „Validieren“.



• Nachdem Sie Ihre Telefonnummer hinzugefügt haben, schalten Sie den Schalter ein, um OTP über SMS zu aktivieren.



• Umstellen 2-Faktor-Authentifizierung aktivieren falls dies nicht bereits geschehen ist, wie unten gezeigt.

4. Testen Sie Google Workspace (G Suite) 2FA

a. Wenn 2FA für Endbenutzer konfiguriert ist

• Gehen Sie zu Ihrem Google Workspace (G Suite)-Domäne. Sie werden weitergeleitet zu miniOrange Single Sign-On-Dienst Konsole.



• Geben Sie Ihre Anmeldeinformationen ein und klicken Sie auf „Anmelden“. Sie werden aufgefordert, sich anhand der konfigurierten 2FA-Methode zu verifizieren.
  Wenn Sie beispielsweise OTP über SMS konfiguriert haben, werden Sie nach der Anmeldung bei Google Workspace (G Suite) zur Eingabe von OTP aufgefordert.



• Geben Sie das auf Ihrem Telefon empfangene OTP ein. Nach erfolgreicher 2FA-Verifizierung werden Sie zum Dashboard von Google Workspace (G Suite) weitergeleitet.

b. Wenn 2FA für Endbenutzer nicht aktiviert ist

• Sie werden aufgefordert, sich für 2Fa als Endbenutzer zu registrieren. Dies ist ein einmaliger Vorgang.
• Konfigurieren Sie Ihre Basisdaten.



• Konfigurieren Sie eine Authentifizierungsmethode Ihrer Wahl.



• Nach erfolgreicher Registrierung werden Sie in Ihr Google Workspace (G Suite)-Konto.


Sie können MFA nicht konfigurieren oder testen?


Kontaktieren Sie uns oder mailen Sie uns an idpsupport@xecurify.com und wir helfen Ihnen, es im Handumdrehen einzurichten.

5. Adaptive Authentifizierung mit Google Workspace (G Suite)

A. Einschränken des Zugriffs auf Google Workspace (G Suite) mit der IP-Konfiguration

Sie können die adaptive Authentifizierung mit Google Workspace (G Suite) Single Sign-On (SSO) nutzen, um die Sicherheit und Funktionalität von Single Sign-On zu verbessern. Sie können eine IP-Adresse in einem bestimmten Bereich für SSO zulassen oder je nach Bedarf verweigern und den Benutzer auffordern, seine Authentizität zu bestätigen. Die adaptive Authentifizierung verwaltet die Benutzerauthentifizierung basierend auf verschiedenen Faktoren wie Geräte-ID, Standort, Zugriffszeit, IP-Adresse und vielem mehr.

Sie können die adaptive Authentifizierung mit IP-Blockierung folgendermaßen konfigurieren:

• Einloggen um Self-Service-Konsole >> Adaptive Authentifizierung >> Richtlinie hinzufügen.



• Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.
• Auswählen Maßnahmen zur Verhaltensänderung, drücke den Bearbeiten Link, und wählen Sie dann die entsprechende Action kombiniert mit einem nachhaltigen Materialprofil. Herausforderungstyp für den Benutzer aus diesem Abschnitt.





Aktion für Verhaltensänderungsoptionen:




Attribut	Beschreibung
Erlauben	Erlauben Sie Benutzern die Authentifizierung und Nutzung von Diensten, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
Ablehnen	Verweigern Sie Benutzerauthentifizierungen und den Zugriff auf Dienste, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
Herausforderung	Fordern Sie Benutzer mit einer der drei unten genannten Methoden zur Überprüfung der Benutzerauthentizität heraus.




Optionen für den Herausforderungstyp:




Attribut	Beschreibung
Benutzer zweiter Faktor	Der Benutzer muss sich mit dem zweiten Faktor authentifizieren, den er gewählt oder zugewiesen hat, wie zum Beispiel OTP über SMS Push-Benachrichtigung OTP über E-Mail und viele mehr.
KBA (Wissensbasierte Authentifizierung)	Das System stellt dem Benutzer zwei von drei Fragen, die er in seiner Self-Service-Konsole konfiguriert hat. Erst wenn beide Fragen richtig beantwortet wurden, kann der Benutzer fortfahren.
OTP über alternative E-Mail	Der Benutzer erhält ein OTP an die alternative E-Mail-Adresse, die er über die Self-Service-Konsole konfiguriert hat. Sobald der Benutzer das richtige OTP angegeben hat, kann er fortfahren.



• Klicken Sie nun auf Bearbeiten Option von der IP-Konfiguration zum Konfigurieren des benutzerdefinierten IP-Bereichs.
• Auswählen IP hinzufügen wenn der Benutzer IP Address ist nicht in der konfigurierten Liste.
• Geben Sie die IP-Adresse an, die Sie auf die Whitelist setzen möchten. Für andere IP-Bereiche als die auf der Whitelist können Sie die oben stehende Einstellung auswählen.
• Wählen Sie entweder „Zulassen“ oder „Ablehnen“, indem Sie die entsprechende Option aus der Dropdown-Liste auswählen.
• Wenn ein Benutzer versucht, sich mit der auf der Whitelist stehenden IP-Adresse anzumelden, wird ihm immer der Zugriff gestattet.
• Wir unterstützen IP-Adressbereiche in drei Formaten, nämlich: IPv4, IPv4 CIDR und IPv6 CIDR. Sie können aus dem Dropdown-Menü auswählen, was für Sie geeignet ist.
• Sie können mehrere IPs oder IP-Bereiche hinzufügen, indem Sie auf das + IP hinzufügen .



• Sobald die Änderungen vorgenommen wurden, scrollen Sie bis zum Ende und klicken Sie auf Gespeichert.

B. Adaptive Authentifizierung mit begrenzter Anzahl von Geräten

Mithilfe der adaptiven Authentifizierung können Sie auch die Anzahl der Geräte beschränken, auf denen der Endbenutzer auf die Dienste zugreifen kann. Sie können Endbenutzern den Zugriff auf Dienste auf einer festen Anzahl von Geräten gestatten. Die Endbenutzer können auf dieser festen Anzahl von Geräten auf die von uns bereitgestellten Dienste zugreifen.

Sie können die adaptive Authentifizierung mit Gerätebeschränkung folgendermaßen konfigurieren


• Einloggen um Self-Service-Konsole >> Adaptive Authentifizierung >> Richtlinie hinzufügen.
• Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.
• Wählen Sie Ihre Maßnahmen zur Verhaltensänderung kombiniert mit einem nachhaltigen Materialprofil. Herausforderungstyp für Benutzer aus dem Maßnahmen zur Verhaltensänderung Abschnitt.



• Auf dem Richtlinie hinzufügen Registerkarte, gehen Sie zu Gerätekonfiguration Abschnitt und klicken Sie auf die Bearbeiten .
• Geben Sie die Anzahl der zulässigen Geräteregistrierungen je nach Bedarf. (2–3 Geräte werden empfohlen.)
• Wählen Action wenn die Anzahl der Geräte überschritten wird (Dies überschreibt Ihre Einstellung für Maßnahmen zur Verhaltensänderung.)
• Herausforderung: Der Benutzer muss sich mit einer der drei in der Tabelle genannten Methoden verifizieren Schritt 5.1
• Ablehnen : Benutzern den Zugriff auf das System verweigern
• Ermöglichen Einschränkung für Mobilgeräte um Anmeldungen von Mobilgeräten zu blockieren. Dadurch wird sichergestellt, dass alle Anmeldeversuche von Mobilgeräten abgelehnt werden.
• Ermöglichen Einschränkung basierend auf MAC-Adresse wenn Sie den Zugriff basierend auf der MAC-Adresse des Geräts einschränken möchten.



• Scrollen Sie bis zum Ende der Seite und klicken Sie auf Gespeichert.

C. Fügen Sie Google Workspace (G Suite) eine Richtlinie zur adaptiven Authentifizierung hinzu

• Einloggen um Self-Service-Konsole >> Richtlinien >> Anmelderichtlinie hinzufügen.
• Klicken Sie auf Bearbeiten Symboloption für vordefinierte App-Richtlinien.



• Legen Sie Ihre Richtlinie in der Versicherungsname und wählen Sie Passwort als Erster Faktor.
• Ermöglichen Adaptive Authentifizierung auf der Seite „Anmelderichtlinie bearbeiten“ und wählen Sie die gewünschte Einschränkungsmethode als eine Option.
• Ab Wählen Sie „Anmelderichtlinie“ Wählen Sie im Dropdown-Menü die Richtlinie aus, die wir im letzten Schritt erstellt haben, und klicken Sie auf „Senden“.

D. Benachrichtigungs- und Warnmeldung.

In diesem Abschnitt werden die Benachrichtigungen und Warnungen im Zusammenhang mit der adaptiven Authentifizierung behandelt. Er bietet die folgenden Optionen:

• Erhalten Sie E-Mail-Benachrichtigungen, wenn sich Benutzer von unbekannten Geräten oder Standorten aus anmelden: Administratoren müssen diese Option aktivieren, um den Empfang von Benachrichtigungen für verschiedene Benachrichtigungsoptionen zu ermöglichen.
  
  
  

Option	Beschreibung
Benutzer melden sich von unbekannten IP-Adressen, Geräten oder Standorten aus an	Durch Aktivieren dieser Option können Sie sich von unbekannten IP-Adressen oder Geräten und sogar Standorten aus anmelden.
Anzahl der Geräteregistrierungen hat die zulässige Anzahl überschritten	Mit dieser Option können Sie mehr Geräte registrieren, als Sie nummeriert haben.
Herausforderung abgeschlossen und Gerät registriert	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt und ein Gerät registriert.
Herausforderung abgeschlossen, aber Gerät nicht registriert	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt, das Gerät jedoch nicht registriert.
Herausforderung fehlgeschlagen	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer die Herausforderung nicht meistert.




• Der nächste Unterabschnitt ist E-Mail-Benachrichtigungen senden Damit können wir Warnungen für Administratoren und Endbenutzer aktivieren oder deaktivieren. Um Warnungen für Administratoren zu aktivieren, können Sie die Administratoren Kontrollkästchen.



• Wenn Sie möchten, dass mehrere Administratorkonten Benachrichtigungen erhalten, können Sie die Option für Administratoren aktivieren und dann die Administrator-E-Mails durch ein ',' getrennt in das Eingabefeld neben eingeben. E-Mail des Administrators zum Empfangen von Benachrichtigungen Bezeichnung. Um Warnungen für Endbenutzer zu aktivieren, können Sie die Endbenutzer Kontrollkästchen.
• Falls Sie die Ablehnungsnachricht anpassen möchten, die der Endbenutzer erhält, wenn seine Authentifizierung aufgrund einer adaptiven Richtlinie verweigert wird, können Sie dies tun, indem Sie die Nachricht in Nachricht ablehnen Textfeld ein.

So fügen Sie ein vertrauenswürdiges Gerät hinzu

• Wenn sich der Endbenutzer nach der Richtlinie für Gerätebeschränkung aktiviert ist, wird ihm die Möglichkeit geboten, das aktuelle Gerät als vertrauenswürdiges Gerät hinzuzufügen.

Externe Referenzen

• Erfahren Sie mehr über die Zwei-Schritt-Verifizierung (2FA)
  
• Suchen Sie nach einer Anmeldung auf Basis von SSO und zweistufiger Verifizierung (2FA) für andere Google Workspace-
  
• Lösung zur Bereitstellung eines Google-Kontos
  
• Google-Dokumente zur Bestätigung in zwei Schritten (2FA/MFA)
  
• Erfahren Sie mehr über die Step-Up-Authentifizierung