При использовании SAML SSO с Google в качестве поставщика идентификации (IdP) некоторым приложениям поставщиков услуг потребуется включить информацию о членстве пользователя в группах в ответ SAML.
Добавить информацию о членстве в группах можно на странице сопоставления атрибутов, доступной при настройке как предварительно интегрированных приложений SAML , так и пользовательского приложения SAML .
Правила, о которых следует помнить
- Количество имен групп, которые могут быть включены в ответ SAML, ограничено 75.
- Если группа переименована (в консоли администратора или через API консоли администратора), вам потребуется повторно ввести название группы в поле «Членство в группе» , чтобы убедиться, что новое имя группы будет отправлено в ответе SAML.
Примеры картографирования
Информация о членстве в группах, передаваемая в SAML-ответе для конкретного пользователя, будет зависеть от членства этого пользователя в группах, а также от структуры групп в вашем домене — например, от того, как группы вложены друг в друга.
Предположим, что в поле "Членство в группе" при настройке вводятся названия групп Group-1 и Group-2 , как показано здесь:
Когда настроены группы Group-1 и Group-2 , в следующей таблице показано, как результаты различаются для разных сценариев членства в группах:
| Если пользователь является частью: | В ответе SAML отправляется: |
|---|---|
| 50 групп, включая Группу-1 , но не Группу-2. | Группа-1 |
| Группа 2 , и Группа 2 является частью Группы 1. | Группа 1 и Группа 2 |
| Группа 3 , и Группа 3 является частью Группы 1. | Группа-1 |
| Группа 1 и Группа 2 , причем Группа 2 является членом Группы 1. | Группа 1 и Группа 2 |