Jeśli korzystasz z logowania jednokrotnego (SSO) opartego na SAML, a Twoim dostawcą tożsamości jest Google, niektóre aplikacje dostawców usług będą wymagać uwzględnienia w odpowiedzi SAML informacji o członkostwie w grupie użytkownika.
Informacje o członkostwie w grupie możesz dodać na stronie mapowania atrybutów. Jest ona dostępna podczas konfigurowania wstępnie zintegrowanych aplikacji SAML lub niestandardowych aplikacji SAML.
Zasady, o których trzeba pamiętać
- Liczba nazw grup, które można uwzględnić w odpowiedzi SAML, jest ograniczona do 75.
- Jeśli zmienisz nazwę grupy (w konsoli administracyjnej lub przez interfejs API konsoli administracyjnej), musisz wpisać nową nazwę w polu Członkostwo w grupie – tylko wówczas zostanie ona wysłana w odpowiedzi SAML.
Przykłady mapowania
To, jakie informacje o członkostwie w grupie są wysyłane w odpowiedzi SAML w przypadku konkretnego użytkownika, zależy od członkostwa tego użytkownika w grupach, a także od struktury grup w domenie – na przykład sposobu ich zagnieżdżania.
Załóżmy, że podczas konfiguracji w polu Członkostwo w grupie wprowadzono nazwy grup Grupa-1 i Grupa-2, jak pokazano tutaj:
Jeśli Grupa-1 i Grupa-2 są grupami konfiguracji, wyniki mogą być odmienne w przypadku różnych scenariuszy członkostwa w grupie. Przedstawiono to w tej tabeli:
| Jeśli użytkownik należy do: | Odpowiedź SAML wysyła: |
|---|---|
| 50 grup, w tym do Grupy-1, ale nie do Grupy-2 | Group-1 |
| Grupy-2, przy czym Grupa-2 jest częścią Grupy-1 | Grupa-1 i Grupa-2 |
| Grupy-3, przy czym Grupa-3 jest częścią Grupy-1 | Group-1 |
| Grupy-1 i Grupy-2, przy czym Grupa-2 jest członkiem Grupy-1 | Grupa-1 i Grupa-2 |