- API مربوط به SSO از چه نسخهای از SAML پشتیبانی میکند؟
- آیا SAML SSO با POP3 یا IMAP کار میکند؟
- آیا SAML SSO با فید Gmail Atom کار میکند؟
- Does SAML SSO work with AuthSub?
- Can we use RSA instead of DSA for the single sign-on implementation?
- How can I generate the verification certificate required for SSO?
- If our domain implements SSO, can we still login to Google directly?
- How can the non-persistent session cookie that identifies a user during a browser session be deleted (eg upon logout)?
- چرا آدرس اینترنتی تغییر رمز عبور کار نمیکند؟
- Why does the SAMLResponse HTML form work in Firefox but not in Internet Explorer?
- How can I allow users to view the partner start page without authenticating?
- What is the Recipient attribute which is required in the SAML Response?
- How do I ensure my third-party identity provider specifies the right Recipient attribute?
With SSO, can my users authenticate themselves using the admin control panel login URL?
API مربوط به SSO از چه نسخهای از SAML پشتیبانی میکند؟
We currently support SAML v2.0. Visit http://www.oasis-open.org/specs/index.php#samlv2.0 to find details on the SAML v2.0 standard.
آیا SAML SSO با POP3 یا IMAP کار میکند؟
No, SAML only works with the Google Workspace web applications.
آیا SAML SSO با فید Gmail Atom کار میکند؟
No, the Gmail Atom feed uses HTTP basic authentication.
آیا SAML SSO با AuthSub کار میکند؟
بله، SAML با AuthSub کار میکند.
Can we use RSA instead of DSA for the single sign-on implementation?
Yes, you can choose to use RSA or DSA encryption algorithm. We accept both.
How can I generate the verification certificate required for SSO?
You can generate X509 certificates using the openssl command. For details, see Generate Keys and Certificates for SSO .
If our domain implements SSO, can we still login to Google directly?
No, with SSO implemented, domain end users can't log in to Google directly. Super administrators can still log in to the Google control panel (eg http://www.google.com/a/ example .com).
How can the non-persistent session cookie that identifies a user during a browser session be deleted (eg upon logout)?
پس از احراز هویت موفقیتآمیز از طریق SAML، گوگل یک کوکی جلسه برای شناسایی جلسه کاربر تنظیم میکند. هنگامی که کاربر به طور صریح از سیستم خارج میشود (مثلاً با کلیک بر روی دکمه خروج)، این کوکی باید از بین برود. اگر پیادهسازی شما شامل مدیریت جلسه مداوم (عملکرد "مرا در این رایانه به خاطر بسپار") باشد، ممکن است لازم باشد نحوه و زمان از بین رفتن این کوکی را کنترل کنید. پس از خروج، گوگل به سرولت خروج شما هدایت میشود. در سرولت خروج شما، میتوانید گزینههایی را در اختیار کاربر قرار دهید که میتواند تعیین کند آیا کوکی جلسه باید حذف شود یا خیر.
چرا آدرس اینترنتی تغییر رمز عبور کار نمیکند؟
Changes to the Change password URL in SSO Settings take about an hour to become effective.
Why does the SAMLResponse HTML form work in Firefox but not in Internet Explorer?
ممکن است به دلیل تفسیر نادرست Internet Explorer از RelayState باشد. Internet Explorer عبارت "<mpl" را به عنوان "<mpl" تفسیر میکند. برای جلوگیری از این اتفاق، باید کاراکترهای ویژه XML در RelayState از حالت escape خارج شوند. { &, <, >, ', " } را به { &, <, >, ', " } تغییر دهید.
How can I allow users to view the partner start page without authenticating?
See this topic in the discussion group for an example SAMLResponse.
What is the Recipient attribute which is required in the SAML Response?
According to section 4.1.4.2 of the SAML 2.0 profiles specification , the Recipient attribute should be equal to the Assertion Consumer Service (ACS) URL. It is located here:
<samlp:Response ...>
<saml:Assertion ...>
<saml:Subject>
<saml:NameID ...>user@domain.com</saml:NameID>
<saml:SubjectConfirmation ...>
<saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
</saml:SubjectConfirmation>
</saml:Subject>
</saml:Assertion>
</samlp:Response>
See the questions below for how you can add the Recipient to the SAML Response.
How do I ensure my third-party identity provider specifies the right Recipient attribute?
اگر ارائهدهنده هویت تجاری یا متنباز شما از SAML 2.0 پشتیبانی میکند، باید از قبل ویژگی گیرنده صحیح را مشخص کرده باشد. اگر یکی از پیامهای خطای بالا را دریافت میکنید، به این معنی است که ویژگی گیرنده نادرست است. در این صورت، با فروشنده یا نگهدارنده نرمافزار تماس بگیرید و لینک این صفحه را برای آنها ارسال کنید.
With SSO, can my users authenticate themselves using the admin control panel login URL?
بله. ورود یکپارچه (SSO) مبتنی بر SAML به شما امکان میدهد تا مجوز ورود به سیستم Google Workspace را به نرمافزار ارائهدهنده هویت خود (مثلاً یک پورتال ورود موجود) منتقل کنید. نرمافزار شما احراز هویت حسابهای کاربری شما را کنترل و مدیریت میکند و Google Workspace تلاش برای ورود را به پورتال SSO شما هدایت میکند. اما مهم است که به یاد داشته باشید مدیران شما همچنان میتوانند این سرویسها را با استفاده از URL ورود به سیستم مدیریت کنسول Google Admin ( https://www.google.com/a/example.com ) مدیریت کنند. این امر در صورت بروز مشکل یا نیاز به بهروزرسانی پورتال SSO شما، انعطافپذیری لازم را به شما میدهد.
What does this error message mean: "This service cannot be accessed because your login request contained no recipient information"?
It means the SAML Response is missing a required Recipient attribute.
What does this error message mean: "This service cannot be accessed because your login request contained invalid recipient information"?
It means the Recipient attribute in the SAML Response does not match the Assertion Consumer Service (ACS) URL.
What does this error message mean: "This account cannot be accessed because the login credentials could not be verified"?
این معمولاً به این معنی است که کلید خصوصی مورد استفاده برای امضای SAMLResponse با گواهی کلید عمومی که Google Workspace در پرونده دارد مطابقت ندارد. لطفاً گواهی را در تنظیمات SSO در کنترل پنل بارگذاری کنید و دوباره امتحان کنید.