Cuando usas el SSO de SAML con Google como tu IdP, algunas aplicaciones de proveedores de servicios necesitarán que la información de la pertenencia al grupo de tu usuario se incluya en la respuesta de SAML.
Puedes agregar información de la pertenencia al grupo en la página de asignación de atributos, que está disponible cuando configuras apps de SAML preintegradas o una app de SAML personalizada.
Reglas que se deben tener en cuenta
- La cantidad de nombres de grupos que se pueden incluir en la respuesta de SAML se limita a 75.
- Si se cambia el nombre de un grupo (en la Consola del administrador o a través de la API de la Consola del administrador), deberás volver a ingresar el grupo en el campo Group membership (Pertenencia al grupo) para asegurarte de que el nuevo nombre del grupo se envíe en la respuesta de SAML.
Ejemplos de asignación
La información de la pertenencia al grupo que se envía en la respuesta de SAML para un usuario en particular dependerá de las pertenencias al grupo de ese usuario, así como de la estructura de grupos de tu dominio, por ejemplo, cómo se anidan los grupos.
Supongamos que los nombres de los grupos Group-1 y Group-2 se ingresan en el campo Group membership (Pertenencia al grupo) durante la configuración, como se muestra aquí:
Cuando Group-1 y Group-2 son los grupos configurados, en la siguiente tabla, se muestra cómo varían los resultados para diferentes situaciones de pertenencia al grupo:
| Si el usuario forma parte de: | La respuesta de SAML envía: |
|---|---|
| 50 grupos, incluidos Group-1, pero no Group-2 | Group-1 |
| Group-2, y Group-2 forma parte de Group-1 | Group-1 y Group-2 |
| Group-3, y Group-3 forma parte de Group-1 | Group-1 |
| Group 1 y Group 2, y Group-2 es miembro de Group-1 | Group-1 y Group-2 |