Quando utilizzi il servizio SSO basato su SAML con Google come IdP, le applicazioni di alcuni fornitori di servizi richiedono che le informazioni sulle iscrizioni ai gruppi degli utenti siano incluse nella risposta SAML.
Puoi aggiungere informazioni sulle iscrizioni ai gruppi nella pagina di mappatura degli attributi, disponibile quando configuri app SAML preintegrate o un'app SAML personalizzata.
Regole da tenere presenti
- Il numero di nomi di gruppi che possono essere inclusi nella risposta SAML è limitato a 75.
- Se un gruppo viene rinominato (nella Console di amministrazione o tramite l'API Console di amministrazione), devi inserire nuovamente il gruppo nel campo Appartenenza al gruppo per assicurarti che il nuovo nome del gruppo venga inviato nella risposta SAML.
Esempi di mappatura
Le informazioni sulle iscrizioni ai gruppi che vengono inviate nella risposta SAML per un determinato utente dipendono dalle iscrizioni ai gruppi dell'utente e dalla struttura dei gruppi nel tuo dominio, ad esempio dal modo in cui sono nidificati.
Supponiamo che i gruppi denominati Group-1 e Group-2 vengano inseriti nel campo Appartenenza al gruppo durante la configurazione, come mostrato di seguito:
Se Group-1 e Group-2 sono i gruppi configurati, la seguente tabella mostra le variazioni dei risultati per i diversi scenari di iscrizione ai gruppi:
| Se l'utente fa parte di: | La risposta SAML invia: |
|---|---|
| 50 gruppi, tra cui Group-1, ma non Group-2 | Group-1 |
| Group-2, e Group-2 fa parte di Group-1 | Group-1 e Group-2 |
| Group-3, e Group-3 fa parte di Group-1 | Group-1 |
| Group 1 e Group 2, e Group-2 fa parte di Group-1 | Group-1 e Group-2 |