Cuando usas el SSO de SAML con Google como tu IdP, algunas aplicaciones de proveedores de servicios necesitarán que se incluya la información de pertenencia a grupos de tu usuario en la respuesta de SAML.
Puedes agregar información de membresía de grupo en la página de asignación de atributos, disponible cuando configuras apps de SAML preintegradas o una app de SAML personalizada.
Reglas que debes tener en cuenta
- La cantidad de nombres de grupos que se pueden incluir en la respuesta de SAML está limitada a 75.
- Si se cambia el nombre de un grupo (en la Consola del administrador o a través de la API de la Consola del administrador), deberás volver a ingresar el grupo en el campo Membresía del grupo para asegurarte de que el nuevo nombre del grupo se envíe en la respuesta de SAML.
Ejemplos de asignación
La información de la pertenencia a grupos que se envía en la respuesta de SAML para un usuario en particular dependerá de las membresías de grupo de ese usuario, así como de la estructura de grupos en tu dominio, por ejemplo, cómo se anidan los grupos.
Supongamos que los nombres de los grupos Group-1 y Group-2 se ingresan en el campo Membresía del grupo durante la configuración, como se muestra aquí:
Cuando Group-1 y Group-2 son los grupos configurados, la siguiente tabla muestra cómo varían los resultados para diferentes situaciones de membresía de grupo:
| Si el usuario forma parte de lo siguiente: | Se envían respuestas de SAML en los siguientes casos: |
|---|---|
| 50 grupos, incluido Group-1, pero no Group-2 | Group-1 |
| Group-2, y Group-2 forma parte de Group-1 | Grupo 1 y Grupo 2 |
| Group-3, y Group-3 forma parte de Group-1 | Group-1 |
| Grupo 1 y Grupo 2, y Grupo-2 es miembro de Grupo-1 | Grupo 1 y Grupo 2 |