Domande frequenti sull'accesso SSO tramite SAML

Quale versione di SAML è supportata dall'API SSO?

Al momento supportiamo SAML v2.0. Visita http://www.oasis-open.org/specs/index.php#samlv2.0 per dettagli sullo standard SAML v2.0.

L'accesso SSO tramite SAML funziona con POP3 o IMAP?

No, SAML funziona soltanto con le applicazioni web di Google Workspace.

L'accesso SSO tramite SAML funziona con il feed Atom di Gmail?

No, il feed Atom di Gmail utilizza l'autenticazione di base HTTP.

L'accesso SSO tramite SAML funziona con AuthSub?

Sì, SAML funziona con AuthSub.

Possiamo utilizzare RSA invece di DSA per l'implementazione del Single Sign-On?

Sì, puoi scegliere di utilizzare l'algoritmo di crittografia RSA o DSA. Accettiamo entrambi.

Come faccio a generare il certificato di verifica richiesto per l'accesso SSO?

Puoi generare i certificati X509 utilizzando il comando openssl. Per maggiori dettagli, vedi Generare chiavi e certificati per SSO.

Se nel nostro dominio è stato implementato l'accesso SSO, possiamo comunque accedere a Google direttamente?

Quando SSO è implementato, gli utenti finali del dominio non possono accedere a Google direttamente. I super amministratori possono comunque accedere al pannello di controllo Google (ad es.http://www.google.com/a/example.com).

Come si fa a eliminare il cookie di sessione non persistente che identifica un utente durante una sessione del browser (ad esempio alla disconnessione)?

Dopo l'autenticazione tramite SAML, Google imposta un cookie di sessione per identificare la sessione di un utente. Quando l'utente si disconnette esplicitamente (ad esempio, facendo clic sul pulsante di disconnessione), il cookie deve essere distrutto. Se l'implementazione include la gestione delle sessioni persistenti (funzionalità "Ricordami su questo computer"), potrebbe essere necessario controllare come e quando questo cookie viene distrutto. Alla disconnessione, Google ti reindirizza al servlet di disconnessione. Nel servlet di disconnessione, puoi presentare varie opzioni all'utente che determinano se il cookie di sessione deve essere eliminato o meno.

Perché l'URL per la modifica della password non funziona?

I cambiamenti in Modifica URL della password nelle Impostazioni SSO richiedono circa un'ora per diventare effettivi.

Perché il modulo HTML SAMLResponse funziona su Firefox, ma non su Internet Explorer?

Internet Explorer potrebbe interpretare in modo errato il RelayState. Internet Explorer interpreta "&ltmpl" come "<mpl". Per evitare che ciò accada, devi eseguire l'escape dei caratteri speciali XML in RelayState. Sostituisci { &, <, >, ', " } con { &amp;, &lt;, &gt;, &apos;, &quot; }.

Come faccio a consentire agli utenti di visualizzare la pagina iniziale dei partner senza effettuare l'autenticazione?

Consulta questo argomento nel gruppo di discussione per un esempio di SAMLResponse.

Qual è l'attributo Destinatario richiesto nel modulo SAMLResponse?

Secondo la sezione 4.1.4.2 delle specifiche dei profili SAML 2.0, l'attributo Destinatario deve essere uguale all'URL ACS (Assertion Consumer Service). Si trova qui:

<samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>user@domain.com</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
  </saml:Assertion>
</samlp:Response>

Consulta le domande seguenti per sapere come aggiungere il destinatario a SAMLResponse.

Come faccio ad assicurarmi che il mio provider di identità di terze parti specifichi l'attributo Destinatario corretto?

Se il provider di identità commerciale o open source supporta SAML 2.0, dovrebbe anche specificare l'attributo Destinatario corretto. Se visualizzi uno dei messaggi di errore sopra indicati, l'attributo Destinatario non è corretto. In questo caso, contatta il fornitore del software o chi si occupa della manutenzione e inviagli un link a questa pagina.

Con l'accesso SSO, i miei utenti possono autenticarsi utilizzando l'URL di accesso al pannello di controllo dell'amministratore?

Sì. Il Single Sign-On (SSO) basato su SAML consente di trasferire l'autorità di accesso a Google Workspace al software del tuo provider di identità (ad esempio, un portale di accesso esistente). Il software controlla e gestisce l'autenticazione degli account utente e Google Workspace reindirizzerà i tentativi di accesso al portale SSO. Tuttavia, è importante ricordare che gli amministratori potranno comunque gestire questi servizi utilizzando l'URL di accesso dell'amministratore della Console di amministrazione Google (https://www.google.com/a/example.com). Questo offre la flessibilità necessaria in caso di problemi del portale SSO o se è necessario aggiornarlo.

Che cosa significa il seguente messaggio di errore: "Impossibile accedere a questo servizio in quanto la richiesta di accesso non contiene i dati del destinatario"?

Significa che in SAMLResponse non è presente un attributo Destinatario necessario.

Che cosa significa il seguente messaggio di errore: "Non è possibile accedere al servizio perché la richiesta di accesso contiene informazioni sul destinatario non valide"?

Significa che l'attributo Destinatario in SAMLResponse non corrisponde all'URL ACS (Assertion Consumer Service).

Che cosa significa il seguente messaggio di errore "Impossibile accedere all'account poiché non è stato possibile verificare i dati di accesso"?

Di solito, questo significa che la chiave privata utilizzata per firmare la risposta SAML non corrisponde al certificato di chiave pubblica archiviato da Google Workspace. Carica il certificato nelle Impostazioni SSO del pannello di controllo e riprova.