Wenn Sie die SAML-SSO mit Google als IdP verwenden, müssen bei einigen Dienstanbietern die Informationen zur Gruppenmitgliedschaft des Nutzers in die SAML-Antwort aufgenommen werden.
Sie können Informationen zur Gruppenmitgliedschaft auf der Seite zur Attributzuordnung hinzufügen, die beim Konfigurieren vorintegrierter SAML-Apps oder benutzerdefinierter SAML-Apps verfügbar ist.
Wichtige Regeln
- Die Anzahl der Gruppennamen, die in der SAML-Antwort enthalten sein können, ist auf 75 beschränkt.
- Wenn eine Gruppe in der Admin-Konsole oder über deren API umbenannt wird, müssen Sie die Gruppe noch einmal in das Feld Gruppenmitgliedschaft eingeben, damit der neue Gruppenname in der SAML-Antwort gesendet wird.
Beispiele für die Zuordnung
Die Informationen zur Gruppenmitgliedschaft, die in der SAML-Antwort für einen bestimmten Nutzer gesendet werden, hängen von den Gruppenmitgliedschaften dieses Nutzers sowie von der Gruppenstruktur in Ihrer Domain ab, z. B. davon, wie Gruppen verschachtelt sind.
Nehmen wir an, dass die Gruppennamen Gruppe-1 und Gruppe-2 während der Konfiguration in das Feld Gruppenmitgliedschaft eingegeben werden, wie hier gezeigt:
Wenn Gruppe-1 und Gruppe-2 die konfigurierten Gruppen sind, werden in der folgenden Tabelle die Ergebnisse für verschiedene Szenarien einer Gruppenmitgliedschaft dargestellt:
| Nutzer ist Teil von: | In der SAML-Antwort wird Folgendes gesendet: |
|---|---|
| 50 Gruppen, einschließlich Gruppe-1, aber nicht Gruppe-2 | Group-1 |
| Gruppe-2 und Gruppe-2 ist Teil von Gruppe-1 | Gruppe-1 und Gruppe-2 |
| Gruppe-3 und Gruppe-3 ist Teil von Gruppe-1. | Group-1 |
| Gruppe-1 und Gruppe-2 und Gruppe-2 ist Mitglied von Gruppe-1 | Gruppe-1 und Gruppe-2 |