Câu hỏi thường gặp về SAML SSO

API Đăng nhập một lần (SSO) hỗ trợ phiên bản SAML nào?

Chúng tôi hiện hỗ trợ SAML phiên bản 2.0. Hãy truy cập vào http://www.oasis-open.org/specs/index.php#samlv2.0 để xem thông tin chi tiết về tiêu chuẩn SAML phiên bản 2.0.

Tính năng Đăng nhập một lần (SSO) dựa trên SAML có hoạt động với POP3 hoặc IMAP không?

Không, SAML chỉ hoạt động với các ứng dụng web của Google Workspace.

Tính năng Đăng nhập một lần (SSO) dựa trên SAML có hoạt động với nguồn cấp dữ liệu Atom của Gmail không?

Không, nguồn cấp dữ liệu Atom của Gmail sử dụng phương thức xác thực cơ bản qua HTTP.

Tính năng Đăng nhập một lần (SSO) dựa trên SAML có hoạt động với AuthSub không?

Có, SAML hoạt động với AuthSub.

Chúng tôi có thể sử dụng RSA thay vì DSA để triển khai tính năng đăng nhập một lần không?

Có, bạn có thể chọn sử dụng thuật toán mã hoá RSA hoặc DSA. Chúng tôi chấp nhận cả hai.

Làm cách nào để tạo chứng chỉ xác minh cần thiết cho tính năng đăng nhập một lần?

Bạn có thể tạo chứng chỉ X509 bằng lệnh openssl. Để biết thông tin chi tiết, hãy xem bài viết Tạo khoá và chứng chỉ cho tính năng đăng nhập một lần.

Nếu miền của chúng tôi triển khai tính năng đăng nhập một lần, thì chúng tôi có thể đăng nhập trực tiếp vào Google không?

Không, khi triển khai tính năng đăng nhập một lần, người dùng cuối của miền không thể đăng nhập trực tiếp vào Google. Quản trị viên cấp cao vẫn có thể đăng nhập vào bảng điều khiển của Google (ví dụ: http://www.google.com/a/example.com).

Làm cách nào để xoá cookie của phiên không liên tục xác định người dùng trong một phiên trình duyệt (ví dụ: khi đăng xuất)?

Sau khi xác thực thành công thông qua SAML, Google sẽ đặt một cookie của phiên để xác định phiên của người dùng. Khi người dùng đăng xuất rõ ràng (ví dụ: bằng cách nhấp vào nút đăng xuất), cookie này cần phải bị huỷ. Nếu quá trình triển khai của bạn liên quan đến việc quản lý phiên liên tục (chức năng "ghi nhớ tôi trên máy tính này"), thì bạn có thể cần kiểm soát cách và thời điểm cookie này bị huỷ. Khi đăng xuất, Google sẽ chuyển hướng đến servlet đăng xuất của bạn. Trong servlet đăng xuất, bạn có thể cung cấp cho người dùng một số lựa chọn có thể xác định xem cookie của phiên có nên bị xoá hay không.

Tại sao URL Thay đổi mật khẩu không hoạt động?

Các thay đổi đối với URL Thay đổi mật khẩu trong phần Cài đặt đăng nhập một lần mất khoảng một giờ để có hiệu lực.

Tại sao biểu mẫu HTML SAMLResponse hoạt động trong Firefox nhưng không hoạt động trong Internet Explorer?

Nguyên nhân có thể là do Internet Explorer diễn giải sai RelayState. Internet Explorer diễn giải "&ltmpl" là "<mpl". Để ngăn trường hợp này xảy ra, các ký tự đặc biệt trong XML phải được thoát trong RelayState. Thay đổi { &, <, >, ', " } thành { &, <, >, ', " }.

Làm cách nào để cho phép người dùng xem trang bắt đầu của đối tác mà không cần xác thực?

Hãy xem chủ đề này trong nhóm thảo luận để biết ví dụ về SAMLResponse.

Thuộc tính Người nhận là gì và thuộc tính này là bắt buộc trong Phản hồi SAML?

Theo mục 4.1.4.2 của quy cách hồ sơ SAML 2.0, thuộc tính Người nhận phải bằng URL Dịch vụ sử dụng xác nhận (ACS). Thuộc tính này nằm ở đây:

<samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>user@domain.com</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
  </saml:Assertion>
</samlp:Response>

Hãy xem các câu hỏi bên dưới để biết cách thêm Người nhận vào Phản hồi SAML.

Làm cách nào để đảm bảo nhà cung cấp dịch vụ danh tính bên thứ ba chỉ định đúng thuộc tính Người nhận?

Nếu nhà cung cấp dịch vụ danh tính thương mại hoặc nguồn mở của bạn hỗ trợ SAML 2.0, thì nhà cung cấp đó sẽ chỉ định đúng thuộc tính Người nhận. Nếu bạn nhận được một trong các thông báo lỗi ở trên, thì có nghĩa là thuộc tính Người nhận không chính xác. Trong trường hợp này, hãy liên hệ với nhà cung cấp hoặc người duy trì phần mềm và gửi cho họ đường liên kết đến trang này.

Với tính năng Đăng nhập một lần (SSO), người dùng có thể tự xác thực bằng URL đăng nhập vào bảng điều khiển dành cho quản trị viên không?

Có. Tính năng Đăng nhập một lần (SSO) dựa trên SAML cho phép bạn chuyển quyền đăng nhập vào Google Workspace sang phần mềm nhà cung cấp dịch vụ danh tính của riêng bạn (ví dụ: một cổng đăng nhập hiện có). Phần mềm của bạn kiểm soát và quản lý quá trình xác thực tài khoản người dùng, đồng thời Google Workspace sẽ chuyển hướng một lần thử đăng nhập đến cổng đăng nhập một lần của bạn. Tuy nhiên, bạn cần nhớ rằng quản trị viên vẫn có thể quản lý các dịch vụ này bằng URL đăng nhập dành cho quản trị viên của Bảng điều khiển dành cho quản trị viên của Google (https://www.google.com/a/example.com). Điều này giúp bạn linh hoạt hơn nếu cổng đăng nhập một lần gặp vấn đề hoặc cần cập nhật.

Thông báo lỗi này có nghĩa là gì: "Bạn không thể truy cập vào dịch vụ này vì yêu cầu đăng nhập của bạn không chứa thông tin người nhận"?

Điều này có nghĩa là Phản hồi SAML bị thiếu thuộc tính Người nhận bắt buộc.

Thông báo lỗi này có nghĩa là gì: "Bạn không thể truy cập vào dịch vụ này vì yêu cầu đăng nhập của bạn có chứa thông tin người nhận không hợp lệ"?

Điều này có nghĩa là thuộc tính Người nhận trong Phản hồi SAML không khớp với URL Dịch vụ sử dụng xác nhận (ACS).

Thông báo lỗi này có nghĩa là gì: "Không thể truy cập vào tài khoản này vì không thể xác minh thông tin đăng nhập"?

Điều này thường có nghĩa là khoá riêng tư dùng để ký SAMLResponse không khớp với chứng chỉ khoá công khai mà Google Workspace có trong tệp. Vui lòng tải chứng chỉ lên phần Cài đặt đăng nhập một lần trong bảng điều khiển rồi thử lại.