Cuando usas el SSO de SAML con Google como tu IdP, algunas aplicaciones de proveedores de servicios necesitarán que la información de la pertenencia a un grupo de tu usuario se incluya en la respuesta de SAML.
Puedes agregar información de la pertenencia a un grupo en la página de asignación de atributos, que está disponible cuando configuras apps de SAML preintegradas o una app de SAML personalizada.
Reglas que se deben tener en cuenta
- La cantidad de nombres de grupos que se pueden incluir en la respuesta de SAML se limita a 75.
- Si se cambia el nombre de un grupo (en la Consola del administrador o a través de la API de la Consola del administrador), deberás volver a ingresar el grupo en el campo Group membership (Pertenencia a un grupo) para asegurarte de que el nuevo nombre del grupo se envíe en la respuesta de SAML.
Ejemplos de asignación
La información de la pertenencia a un grupo que se envía en la respuesta de SAML para un usuario en particular dependerá de las pertenencias a un grupo de ese usuario, así como de la estructura de grupos de tu dominio, por ejemplo, cómo se anidan los grupos.
Supongamos que los nombres de los grupos Group-1 y Group-2 se ingresan en el campo Group membership (Pertenencia al grupo) durante la configuración, como se muestra aquí:
Cuando Group-1 y Group-2 son los grupos configurados, en la siguiente tabla, se muestra cómo varían los resultados para diferentes situaciones de pertenencia a un grupo:
| Si el usuario forma parte de: | La respuesta de SAML envía: |
|---|---|
| 50 grupos, incluidos Group-1, pero no Group-2 | Group-1 |
| Group-2, y Group-2 forma parte de Group-1 | Group-1 y Group-2 |
| Group-3, y Group-3 forma parte de Group-1 | Group-1 |
| Group 1 y Group 2, y Group-2 es miembro de Group-1 | Group-1 y Group-2 |