När du använder SAML SSO med Google som din IdP, behöver vissa tjänsteleverantörsapplikationer att din användares gruppmedlemskapsinformation inkluderas i SAML-svaret.
Du kan lägga till information om gruppmedlemskap på sidan för attributmappning, som är tillgänglig när du konfigurerar antingen förintegrerade SAML-appar eller en anpassad SAML-app .
Regler att vara medveten om
- Antalet gruppnamn som kan inkluderas i SAML-svaret är begränsat till 75.
- Om en grupp byter namn (i administratörskonsolen eller via administratörskonsolens API) måste du ange gruppen igen i fältet Gruppmedlemskap för att säkerställa att det nya gruppnamnet skickas i SAML-svaret.
Kartläggningsexempel
Informationen om gruppmedlemskap som skickas i SAML-svaret för en viss användare beror på användarens gruppmedlemskap, samt gruppstrukturen i din domän – till exempel hur grupper är kapslade.
Anta att gruppnamnen Grupp-1 och Grupp-2 anges i fältet Gruppmedlemskap under konfigurationen, som visas här:
När Grupp 1 och Grupp 2 är de konfigurerade grupperna visar följande tabell hur resultaten varierar för olika scenarier för gruppmedlemskap:
| Om användaren är en del av: | SAML-svaret skickar: |
|---|---|
| 50 grupper, inklusive Grupp 1 , men inte Grupp 2 | Grupp-1 |
| Grupp 2 , och Grupp 2 är en del av Grupp 1 | Grupp 1 och Grupp 2 |
| Grupp 3 , och Grupp 3 är en del av Grupp 1 | Grupp-1 |
| Grupp 1 och Grupp 2 , och Grupp 2 är medlem i Grupp 1 | Grupp 1 och Grupp 2 |