- API مربوط به SSO از چه نسخهای از SAML پشتیبانی میکند؟
- آیا SAML SSO با POP3 یا IMAP کار میکند؟
- آیا SAML SSO با فید Gmail Atom کار میکند؟
- آیا SAML SSO با AuthSub کار میکند؟
- آیا میتوانیم به جای DSA از RSA برای پیادهسازی ورود یکپارچه استفاده کنیم؟
- چگونه میتوانم گواهی تأیید مورد نیاز برای SSO را تولید کنم؟
- اگر دامنه ما SSO را پیادهسازی کند، آیا میتوانیم مستقیماً به گوگل وارد شویم؟
- چگونه میتوان کوکی جلسه غیردائمی که کاربر را در طول جلسه مرورگر شناسایی میکند، حذف کرد (مثلاً هنگام خروج از سیستم)؟
- چرا آدرس اینترنتی تغییر رمز عبور کار نمیکند؟
- چرا فرم SAMLResponse HTML در فایرفاکس کار میکند اما در اینترنت اکسپلورر کار نمیکند؟
- چگونه میتوانم به کاربران اجازه دهم بدون احراز هویت، صفحه شروع همکار را مشاهده کنند؟
- ویژگی گیرنده (Recipient) که در پاسخ SAML مورد نیاز است چیست؟
- چگونه مطمئن شوم که ارائهدهنده هویت شخص ثالث من، ویژگی گیرنده صحیح را مشخص میکند؟
آیا با SSO، کاربران من میتوانند با استفاده از آدرس ورود به پنل مدیریت، خود را احراز هویت کنند؟
API مربوط به SSO از چه نسخهای از SAML پشتیبانی میکند؟
ما در حال حاضر از SAML نسخه ۲.۰ پشتیبانی میکنیم. برای یافتن جزئیات بیشتر در مورد استاندارد SAML نسخه ۲.۰، به آدرس http://www.oasis-open.org/specs/index.php#samlv2.0 مراجعه کنید.
آیا SAML SSO با POP3 یا IMAP کار میکند؟
خیر، SAML فقط با برنامههای وب Google Workspace کار میکند.
آیا SAML SSO با فید Gmail Atom کار میکند؟
خیر، فید جیمیل اتم از احراز هویت پایه HTTP استفاده میکند.
آیا SAML SSO با AuthSub کار میکند؟
بله، SAML با AuthSub کار میکند.
آیا میتوانیم به جای DSA از RSA برای پیادهسازی ورود یکپارچه استفاده کنیم؟
بله، شما میتوانید از الگوریتم رمزگذاری RSA یا DSA استفاده کنید. ما هر دو را میپذیریم.
چگونه میتوانم گواهی تأیید مورد نیاز برای SSO را تولید کنم؟
شما میتوانید با استفاده از دستور openssl گواهیهای X509 تولید کنید. برای جزئیات بیشتر، به بخش «ایجاد کلیدها و گواهیها برای SSO» مراجعه کنید.
اگر دامنه ما SSO را پیادهسازی کند، آیا میتوانیم مستقیماً به گوگل وارد شویم؟
خیر، با پیادهسازی SSO، کاربران نهایی دامنه نمیتوانند مستقیماً وارد گوگل شوند. مدیران ارشد همچنان میتوانند وارد پنل کنترل گوگل شوند (مثلاً http://www.google.com/a/ example .com).
چگونه میتوان کوکی جلسه غیردائمی که کاربر را در طول جلسه مرورگر شناسایی میکند، حذف کرد (مثلاً هنگام خروج از سیستم)؟
پس از احراز هویت موفقیتآمیز از طریق SAML، گوگل یک کوکی جلسه برای شناسایی جلسه کاربر تنظیم میکند. هنگامی که کاربر به طور صریح از سیستم خارج میشود (مثلاً با کلیک بر روی دکمه خروج)، این کوکی باید از بین برود. اگر پیادهسازی شما شامل مدیریت جلسه مداوم (عملکرد "مرا در این رایانه به خاطر بسپار") باشد، ممکن است لازم باشد نحوه و زمان از بین رفتن این کوکی را کنترل کنید. پس از خروج، گوگل به سرولت خروج شما هدایت میشود. در سرولت خروج شما، میتوانید گزینههایی را در اختیار کاربر قرار دهید که میتواند تعیین کند آیا کوکی جلسه باید حذف شود یا خیر.
چرا آدرس اینترنتی تغییر رمز عبور کار نمیکند؟
اعمال تغییرات در آدرس تغییر رمز عبور در تنظیمات SSO حدود یک ساعت طول میکشد.
چرا فرم SAMLResponse HTML در فایرفاکس کار میکند اما در اینترنت اکسپلورر کار نمیکند؟
ممکن است به دلیل تفسیر نادرست Internet Explorer از RelayState باشد. Internet Explorer عبارت "<mpl" را به عنوان "<mpl" تفسیر میکند. برای جلوگیری از این اتفاق، باید کاراکترهای ویژه XML در RelayState از حالت escape خارج شوند. { &, <, >, ', " } را به { &, <, >, ', " } تغییر دهید.
چگونه میتوانم به کاربران اجازه دهم بدون احراز هویت، صفحه شروع همکار را مشاهده کنند؟
برای مثال SAMLResponse به این موضوع در گروه بحث مراجعه کنید.
ویژگی گیرنده (Recipient) که در پاسخ SAML مورد نیاز است چیست؟
طبق بخش ۴.۱.۴.۲ از مشخصات پروفایلهای SAML 2.0 ، ویژگی Recipient باید برابر با URL سرویس مصرفکنندهی ادعا (ACS) باشد. این ویژگی در اینجا قرار دارد:
<samlp:Response ...>
<saml:Assertion ...>
<saml:Subject>
<saml:NameID ...>user@domain.com</saml:NameID>
<saml:SubjectConfirmation ...>
<saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
</saml:SubjectConfirmation>
</saml:Subject>
</saml:Assertion>
</samlp:Response>
برای نحوه اضافه کردن گیرنده به پاسخ SAML، به سوالات زیر مراجعه کنید.
چگونه مطمئن شوم که ارائهدهنده هویت شخص ثالث من، ویژگی گیرنده صحیح را مشخص میکند؟
اگر ارائهدهنده هویت تجاری یا متنباز شما از SAML 2.0 پشتیبانی میکند، باید از قبل ویژگی گیرنده صحیح را مشخص کرده باشد. اگر یکی از پیامهای خطای بالا را دریافت میکنید، به این معنی است که ویژگی گیرنده نادرست است. در این صورت، با فروشنده یا نگهدارنده نرمافزار تماس بگیرید و لینک این صفحه را برای آنها ارسال کنید.
آیا با SSO، کاربران من میتوانند با استفاده از آدرس ورود به پنل مدیریت، خود را احراز هویت کنند؟
بله. ورود یکپارچه (SSO) مبتنی بر SAML به شما امکان میدهد تا مجوز ورود به سیستم Google Workspace را به نرمافزار ارائهدهنده هویت خود (مثلاً یک پورتال ورود موجود) منتقل کنید. نرمافزار شما احراز هویت حسابهای کاربری شما را کنترل و مدیریت میکند و Google Workspace تلاش برای ورود را به پورتال SSO شما هدایت میکند. اما مهم است که به یاد داشته باشید مدیران شما همچنان میتوانند این سرویسها را با استفاده از URL ورود به سیستم مدیریت کنسول Google Admin ( https://www.google.com/a/example.com ) مدیریت کنند. این امر در صورت بروز مشکل یا نیاز به بهروزرسانی پورتال SSO شما، انعطافپذیری لازم را به شما میدهد.
معنی این پیام خطا چیست: «دسترسی به این سرویس امکانپذیر نیست زیرا درخواست ورود شما حاوی اطلاعات گیرنده نیست»؟
این بدان معناست که پاسخ SAML فاقد یک ویژگی گیرنده مورد نیاز است.
معنی این پیام خطا چیست: «دسترسی به این سرویس امکانپذیر نیست زیرا درخواست ورود شما حاوی اطلاعات نامعتبر گیرنده است»؟
این بدان معناست که ویژگی گیرنده در پاسخ SAML با URL سرویس مصرفکننده ادعا (ACS) مطابقت ندارد.
معنی این پیام خطا چیست: «دسترسی به این حساب کاربری امکانپذیر نیست زیرا اعتبارنامههای ورود قابل تأیید نیستند»؟
این معمولاً به این معنی است که کلید خصوصی مورد استفاده برای امضای SAMLResponse با گواهی کلید عمومی که Google Workspace در پرونده دارد مطابقت ندارد. لطفاً گواهی را در تنظیمات SSO در کنترل پنل بارگذاری کنید و دوباره امتحان کنید.