- Versi SAML apa yang didukung SSO API?
- Apakah SSO SAML berfungsi dengan POP3 atau IMAP?
- Apakah SSO SAML berfungsi dengan feed Atom Gmail?
- Apakah SSO SAML berfungsi dengan AuthSub?
- Apakah kami dapat menggunakan RSA sebagai pengganti DSA untuk penerapan single sign-on (SSO)?
- Bagaimana cara membuat sertifikat verifikasi yang diperlukan untuk SSO?
- Jika domain kami menerapkan SSO, apakah kami masih dapat login langsung ke Google?
- Bagaimana cara menghapus cookie sesi tidak tetap yang mengidentifikasi pengguna selama sesi browser (misalnya, saat logout)?
- Mengapa URL Ubah sandi tidak berfungsi?
- Mengapa formulir HTML SAMLResponse berfungsi di Firefox, tetapi tidak di Internet Explorer?
- Bagaimana cara mengizinkan pengguna melihat halaman awal partner tanpa mengautentikasi?
- Apa yang dimaksud dengan atribut Penerima yang diperlukan di SAML Response?
- Bagaimana cara memastikan bahwa penyedia identitas pihak ketiga menetapkan atribut Penerima yang tepat?
Versi SAML apa yang didukung SSO API?
Saat ini kami mendukung SAML v2.0. Buka http://www.oasis-open.org/specs/index.php#samlv2.0 untuk menemukan detail tentang standar SAML v2.0.
Apakah SSO SAML berfungsi dengan POP3 atau IMAP?
Tidak, SAML hanya berfungsi dengan aplikasi web Google Workspace.
Apakah SSO SAML berfungsi dengan feed Atom Gmail?
Tidak, feed Atom Gmail menggunakan autentikasi dasar HTTP.
Apakah SSO SAML berfungsi dengan AuthSub?
Ya, SAML berfungsi dengan AuthSub.
Apakah kami dapat menggunakan RSA sebagai pengganti DSA untuk penerapan single sign-on (SSO)?
Ya, Anda dapat memilih untuk menggunakan algoritma enkripsi RSA atau DSA. Kami menerima keduanya.
Bagaimana cara membuat sertifikat verifikasi yang diperlukan untuk SSO?
Anda dapat membuat sertifikat X509 menggunakan perintah openssl. Untuk mengetahui detailnya, lihat
Membuat Kunci dan Sertifikat untuk SSO.
Jika domain menerapkan SSO, apakah kami masih dapat login langsung ke Google?
Tidak, dengan menerapkan SSO, pengguna akhir domain tidak dapat login langsung ke Google. Administrator super masih dapat login ke panel kontrol Google (misalnya, http://www.google.com/a/example.com).
Bagaimana cara menghapus cookie sesi tidak tetap yang mengidentifikasi pengguna selama sesi browser (misalnya, saat logout)?
Setelah berhasil mengautentikasi melalui SAML, Google menyetel cookie sesi untuk mengidentifikasi sesi pengguna. Saat pengguna keluar secara eksplisit (misalnya, dengan mengklik tombol keluar), cookie ini perlu dihapus. Jika penerapan Anda melibatkan pengelolaan sesi tetap (fungsi "ingat saya di komputer ini"), Anda mungkin perlu mengontrol cara dan waktu penghapusan cookie ini. Setelah keluar, Google akan mengalihkan Anda ke servlet proses keluar. Di servlet proses keluar, Anda dapat menunjukkan beberapa opsi yang dapat menentukan apakah cookie sesi harus dihapus atau tidak kepada pengguna.
Mengapa URL Ubah sandi tidak berfungsi?
Perubahan pada URL Ubah sandi di Setelan SSO memerlukan waktu sekitar satu jam agar diterapkan.
Mengapa formulir HTML SAMLResponse berfungsi di Firefox, tetapi tidak di Internet Explorer?
Hal ini mungkin disebabkan Internet Explorer yang salah menginterpretasikan RelayState. Internet Explorer menginterpretasikan "<mpl" sebagai "<mpl". Agar hal ini tidak terjadi, karakter khusus XML harus diubah di RelayState. Ubah { &, <, >, ', " } menjadi { &, <, >, ', " }.
Bagaimana cara mengizinkan pengguna melihat halaman awal partner tanpa autentikasi?
Lihat topik ini di grup diskusi untuk contoh SAMLResponse.
Apa yang dimaksud dengan atribut Recipient yang diperlukan di SAML Response?
Berdasarkan bagian 4.1.4.2 pada spesifikasi profil SAML 2.0, atribut Recipient harus setara dengan URL Assertion Consumer Service (ACS). Lokasinya ada di sini:
<samlp:Response ...>
<saml:Assertion ...>
<saml:Subject>
<saml:NameID ...>user@domain.com</saml:NameID>
<saml:SubjectConfirmation ...>
<saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
</saml:SubjectConfirmation>
</saml:Subject>
</saml:Assertion>
</samlp:Response>
Lihat pertanyaan di bawah terkait cara Anda dapat menambahkan Penerima ke SAML Respon.
Bagaimana cara memastikan bahwa penyedia identitas pihak ketiga menetapkan atribut Penerima yang tepat?
Jika penyedia identitas komersial atau sumber terbuka Anda mendukung SAML 2.0, atribut Penerima yang tepat seharusnya sudah disebutkan. Jika Anda mendapatkan salah satu pesan error di atas, artinya atribut Penerima masih salah. Jika hal ini terjadi, hubungi vendor atau pengelola perangkat lunak dan kirimkan tautan ke laman ini.
Dengan SSO, dapatkah pengguna mengautentikasi diri mereka sendiri menggunakan URL login panel kontrol admin?
Ya. Single Sign On (SSO) berbasis SAML memungkinkan Anda mentransfer otoritas login Google Workspace ke software penyedia identitas Anda sendiri (misalnya, portal login yang sudah ada). Software Anda mengontrol dan mengelola autentikasi akun pengguna, dan Google Workspace akan mengalihkan upaya login ke portal SSO Anda. Namun, perlu diingat bahwa administrator Anda akan tetap dapat mengelola layanan tersebut menggunakan URL login admin di konsol Google Admin (https://www.google.com/a/example.com). Hal ini memberi Anda fleksibilitas jika portal SSO mengalami masalah atau perlu diupdate.
Apa yang dimaksud dengan pesan error ini: "Layanan ini tidak dapat diakses karena permintaan login Anda tidak berisi informasi penerima"?
Artinya, SAML Response tidak memiliki atribut Recipient yang diperlukan.
Apa yang dimaksud dengan pesan error ini: "Layanan ini tidak dapat diakses karena permintaan login Anda berisi informasi penerima yang tidak valid"?
Artinya, atribut Recipient di SAML Response tidak cocok dengan URL Assertion Consumer Service (ACS).
Apa yang dimaksud dengan pesan error ini: "Akun ini tidak dapat diakses karena kredensial login tidak dapat diverifikasi"?
Hal ini biasanya berarti kunci pribadi yang digunakan untuk menandatangani SAMLResponse tidak cocok dengan sertifikat kunci publik yang dimiliki Google Workspace di file. Upload sertifikat di Setelan SSO pada panel kontrol dan coba lagi.