Google을 IdP로 하여 SAML SSO를 사용하는 경우, 일부 서비스 제공업체 애플리케이션은 SAML 응답에 사용자의 그룹 멤버십 정보가 포함되어야 작동합니다.
사전 통합된 SAML 앱 또는 맞춤 SAML 앱을 구성하는 경우 사용할 수 있는 속성 매핑 페이지에서 그룹 멤버십 정보를 추가할 수 있습니다.
유의해야 할 규칙
- SAML 응답에 포함될 수 있는 그룹 이름의 수는 75개로 제한됩니다.
- 관리 콘솔에서 또는 Admin console API를 통해 그룹 이름이 변경되는 경우 그룹 멤버십 입력란에 해당 그룹을 다시 입력하여 새 그룹 이름이 SAML 응답에 전송되도록 해야 합니다.
매핑 예
특정 사용자의 SAML 응답에서 전송되는 그룹 멤버십 정보는 해당 사용자의 그룹 멤버십과 도메인의 그룹 구조(예: 그룹이 중첩된 방식)에 따라 달라집니다.
아래와 같이 구성 단계에서 그룹 멤버십 입력란에 그룹 이름 Group-1 및 Group-2가 입력되었다고 가정해 보겠습니다.
구성된 그룹이 Group-1 및 Group-2인 경우 아래 표는 그룹 멤버십 시나리오별로 결과가 어떻게 다른지 보여줍니다.
| 사용자가 속한 그룹 | SAML 응답에서 전송되는 그룹 |
|---|---|
| 그룹 50개(Group-1에는 속하고 Group-2에는 속하지 않음) | Group-1 |
| Group-2(Group-2는 Group-1에 속함) | Group-1 및 Group-2 |
| Group-3(Group-3은 Group-1에 속함) | Group-1 |
| Group 1 및 Group 2(Group-2는 Group-1의 회원임) | Group-1 및 Group-2 |