Met Single Sign-On loggen je gebruikers één keer in bij je centrale identity provider en hebben ze daarmee toegang tot Google Workspace en al je andere gekoppelde applicaties. Geen apart Workspace-wachtwoord meer, één set inloggegevens en één plek voor je beveiligingsbeleid. SAML 2.0 is het protocol dat dit mogelijk maakt.
Hoe SAML-SSO werkt
In een SAML-opstelling zijn er twee rollen. De identity provider (IdP), in dit geval Microsoft Entra ID (voorheen Azure AD), verifieert de identiteit van de gebruiker. De service provider (SP), hier Google Workspace, vertrouwt op die verificatie en verleent toegang.
De stroom verloopt zo: een gebruiker probeert bij Workspace te komen, Google stuurt hem naar Entra ID, Entra ID authenticeert hem en stuurt een ondertekende SAML-assertie terug naar Google, en Google verleent op basis daarvan toegang. Het wachtwoord wordt nooit met Google gedeeld, alleen de ondertekende bevestiging dat de gebruiker echt is.
Provisioning en authenticatie staan los van elkaar
SAML regelt alleen de authenticatie, het inloggen. Het maakt geen accounts aan. De gebruikersaccounts moeten al in Workspace bestaan, bijvoorbeeld via SCIM-provisioning vanuit Entra ID of via Google Cloud Directory Sync (GCDS). Een gebruiker die wel in Entra ID staat maar geen Workspace-account heeft, kan via SAML niet inloggen. Regel provisioning dus apart.
Voorbereiding
Je hebt beheerderstoegang nodig tot zowel Microsoft Entra ID als de Google Admin Console. Zorg dat de gebruikers die je via SSO laat inloggen al bestaan in Workspace, met e-mailadressen die overeenkomen met hun Entra ID-identiteit. De koppeling leunt op dat overeenkomende e-mailadres als identificator.
De koppeling configureren
SAML-SSO met Microsoft Entra ID instellen stap voor stap
- Voeg in Microsoft Entra ID de Google Workspace-enterprise-applicatie toe en open de SSO-configuratie.
- Configureer de SAML-instellingen in Entra ID en noteer de aanmeld-URL, de uitlog-URL en download het ondertekeningscertificaat (X.509, Base64).
- Ga in de Google Admin Console naar Beveiliging > Authenticatie > SSO met externe IdP en kies SAML-profiel toevoegen.
- Voer de aanmeld-URL en uitlog-URL in, upload het ondertekeningscertificaat en vul de wachtwoord-wijzig-URL in (de plek waar gebruikers hun Entra ID-wachtwoord resetten).
- Wijs het SSO-profiel toe aan de organisatie-eenheden of groepen waarvoor het moet gelden.
- Test de aanmelding met één gebruiker of een test-OU voordat je breed uitrolt.
Metadata en certificaten uitwisselen
De kern van de koppeling is het uitwisselen van de juiste URL's en het ondertekeningscertificaat. Entra ID levert de aanmeld-URL waar Google gebruikers naartoe stuurt, en een certificaat waarmee Google de handtekening op de SAML-assertie controleert. Google levert op zijn beurt de service-provider-gegevens (zoals de ACS-URL en de entity-ID) die je in Entra ID invult. Een fout in deze uitwisseling, bijvoorbeeld een verkeerd certificaat, leidt tot mislukte aanmeldingen.
Certificaten verlopen, plan vernieuwing
Houd er rekening mee dat ondertekeningscertificaten verlopen. Entra ID-certificaten zijn standaard drie jaar geldig, maar handmatig aangemaakte certificaten kunnen ook een kortere looptijd hebben. Verloopt het certificaat in Entra ID zonder dat je het nieuwe in Google bijwerkt, dan kan niemand meer via SSO inloggen. Noteer de vervaldatum en werk het vernieuwde certificaat ruim van tevoren bij. Entra ID laat je een nieuw certificaat aanmaken naast het oude, zodat je zonder downtime kunt overstappen.
Superbeheerders en de noodingang
Een cruciaal detail: zorg dat je niet buitengesloten raakt als SSO faalt. Veel opstellingen laten superbeheerders bewust niet via de externe IdP inloggen, of houden een noodaccount achter de hand dat met een Google-wachtwoord inlogt. Zo kun je altijd nog bij je Admin Console als de SAML-koppeling stuk is.
Behoud altijd een noodaccount
Configureer SSO nooit zo dat ook je laatste superbeheerder volledig afhankelijk wordt van de externe identity provider. Houd minstens één superbeheerderaccount dat met een Google-wachtwoord kan inloggen, los van Entra ID. Faalt anders je IdP of verloopt het certificaat, dan kun je niet meer bij je eigen Admin Console om het probleem op te lossen.
Testen en uitrollen
Test SSO altijd eerst met een kleine groep of een test-OU. Log in als testgebruiker en controleer de hele stroom: doorsturen naar Entra ID, authenticeren en terugkeren naar Workspace. Pas als dat vlekkeloos werkt, breid je de scope uit naar de rest van de organisatie.
Valideer eerst in een test-OU
Gebruik een aparte test-OU met een paar testaccounts om SSO te valideren voordat je het breed inschakelt. Zo raakt bij een configuratiefout alleen die testgroep buitengesloten en niet je hele organisatie. Werkt het voor de test-OU, dan schaal je vol vertrouwen op.
Maakt SAML-SSO automatisch accounts aan?
Nee. SAML regelt alleen authenticatie. Accounts moeten al in Workspace bestaan, bijvoorbeeld via SCIM-provisioning vanuit Entra ID of via GCDS. Regel provisioning los van SSO.
Wat gebeurt er als het ondertekeningscertificaat verloopt?
Dan mislukken SSO-aanmeldingen organisatiebreed. Werk het vernieuwde certificaat tijdig bij in de Admin Console en plan vernieuwing ruim voor de vervaldatum. In Entra ID kun je een nieuw certificaat naast het oude aanmaken om de overstap zonder downtime te doen.
Kan ik per organisatie-eenheid bepalen wie via SSO inlogt?
Ja. Je wijst het SSO-profiel toe aan specifieke organisatie-eenheden of groepen, zodat je gefaseerd kunt uitrollen en bepaalde groepen kunt uitsluiten.
Hoe voorkom ik dat ik buitengesloten raak?
Houd minstens één superbeheerderaccount dat met een Google-wachtwoord inlogt, los van de externe IdP. Zo kun je altijd bij de Admin Console als de SAML-koppeling faalt.
Kan ik in plaats van SAML ook OIDC gebruiken?
Ja. Google Workspace ondersteunt naast SAML ook OIDC voor SSO met een externe IdP. SAML is voor Entra ID het meest gangbare pad, maar de keuze hangt af van je bestaande inrichting en de tooling die je standaardiseert.
Werkt SSO ook op mobiele apps en Chrome-apparaten?
Voor de meeste Google-webdiensten en mobiele apps verloopt de aanmelding via de externe IdP. Voor Chrome-apparaten regel je de inlogervaring aanvullend via het SSO-beleid voor ChromeOS, zodat het aanmeldscherm naar Entra ID verwijst.