Cuando usas el SSO de SAML con Google como tu IdP, algunas aplicaciones de proveedores de servicios necesitarán que la información de pertenencia a grupos de tus usuarios se incluya en la respuesta de SAML.
Puedes agregar información de pertenencia a un grupo en la página de asignación de atributos, que está disponible cuando configuras apps de SAML preintegradas o una app de SAML personalizada.
Reglas que debes tener en cuenta
- La cantidad de nombres de grupos que se pueden incluir en la respuesta de SAML está limitada a 75.
- Si se cambia el nombre de un grupo (en la Consola del administrador o a través de la API de la Consola del administrador), deberás volver a ingresar el grupo en el campo Pertenencia a un grupo para asegurarte de que el nuevo nombre del grupo se envíe en la respuesta de SAML.
Ejemplos de asignación
La información de la pertenencia a un grupo que se envía en la respuesta de SAML para un usuario en particular dependerá de las pertenencias a grupos de ese usuario, así como de la estructura de grupos en tu dominio, por ejemplo, cómo se anidan los grupos.
Supongamos que los nombres de los grupos Group-1 y Group-2 se ingresan en el campo Membresía del grupo durante la configuración, como se muestra aquí:
Cuando Group-1 y Group-2 son los grupos configurados, la siguiente tabla muestra cómo varían los resultados para diferentes situaciones de pertenencia a un grupo:
| Si el usuario forma parte de lo siguiente: | Se envían respuestas de SAML: |
|---|---|
| 50 grupos, incluido Group-1, pero no Group-2 | Group-1 |
| Group-2, y Group-2 forma parte de Group-1 | Grupo 1 y Grupo 2 |
| Group-3, y Group-3 forma parte de Group-1 | Group-1 |
| Grupo 1 y Grupo 2, y Grupo-2 es miembro de Grupo-1 | Grupo 1 y Grupo 2 |