Часто задаваемые вопросы о SAML SSO

Какую версию SAML поддерживает API единого входа (SSO)?

В настоящее время мы поддерживаем SAML v2.0. Подробную информацию о стандарте SAML v2.0 можно найти по ссылке http://www.oasis-open.org/specs/index.php#samlv2.0 .

Работает ли SAML SSO с POP3 или IMAP?

Нет, SAML работает только с веб-приложениями Google Workspace.

Работает ли SAML SSO с Atom-лентой Gmail?

Нет, лента Atom в Gmail использует базовую HTTP-аутентификацию.

Работает ли SAML SSO с AuthSub?

Да, SAML работает с AuthSub.

Можно ли использовать RSA вместо DSA для реализации единого входа?

Да, вы можете выбрать алгоритм шифрования RSA или DSA. Мы принимаем оба.

Как сгенерировать сертификат подтверждения, необходимый для единого входа (SSO)?

Вы можете сгенерировать сертификаты X509 с помощью команды openssl . Подробности см. в разделе «Генерация ключей и сертификатов для SSO» .

Если в нашем домене реализована функция единого входа (SSO), сможем ли мы по-прежнему входить в Google напрямую?

Нет, при внедрении SSO конечные пользователи домена не могут напрямую войти в Google. Суперадминистраторы по-прежнему могут войти в панель управления Google ( например , http://www.google.com/a/example.com).

Как можно удалить непостоянный сессионный cookie-файл, идентифицирующий пользователя во время сеанса работы браузера (например, при выходе из системы)?

После успешной аутентификации через SAML Google устанавливает сессионный cookie для идентификации сессии пользователя. Когда пользователь явно выходит из системы (например, нажав кнопку выхода), этот cookie необходимо удалить. Если ваша реализация включает в себя управление постоянными сессиями (функция «запомнить меня на этом компьютере»), вам может потребоваться контролировать, как и когда этот cookie удаляется. После выхода из системы Google перенаправляет пользователя на ваш сервлет выхода. В вашем сервлете выхода вы можете предоставить пользователю несколько параметров, которые могут определить, следует ли удалять сессионный cookie или нет.

Почему не работает ссылка для смены пароля?

Изменения URL-адреса для смены пароля в настройках SSO вступают в силу примерно через час.

Почему HTML-форма SAMLResponse работает в Firefox, но не работает в Internet Explorer?

Возможно, причина в неправильной интерпретации объекта RelayState со стороны Internet Explorer. Internet Explorer интерпретирует "&ltmpl" как "<mpl". Чтобы этого избежать, специальные символы XML следует экранировать в RelayState. Замените { &, <, >, ', " } на { &amp;, <, >, &apos;, &quot; }.

Как разрешить пользователям просматривать стартовую страницу партнера без аутентификации?

Пример SAMLResponse можно найти в этой теме в дискуссионной группе.

Что такое атрибут Recipient, который необходим в SAML-ответе?

Согласно разделу 4.1.4.2 спецификации профилей SAML 2.0 , атрибут Recipient должен быть равен URL-адресу службы обработки утверждений (ACS). Он находится здесь:

<samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>user@domain.com</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
  </saml:Assertion>
</samlp:Response>

См. вопросы ниже, чтобы узнать, как добавить получателя в SAML-ответ.

Как мне убедиться, что мой сторонний поставщик идентификационных данных указывает правильный атрибут «Получатель»?

Если ваш коммерческий или открытый поставщик идентификационных данных поддерживает SAML 2.0, он уже должен указывать правильный атрибут Recipient. Если вы получаете одно из указанных выше сообщений об ошибке, это означает, что атрибут Recipient указан неверно. В этом случае свяжитесь с поставщиком или разработчиком программного обеспечения и отправьте им ссылку на эту страницу.

Смогут ли мои пользователи, используя единый вход (SSO), аутентифицироваться, используя URL-адрес для входа в панель управления администратора?

Да. Единый вход (SSO) на основе SAML позволяет передать права доступа к Google Workspace вашему собственному программному обеспечению для управления идентификацией (например, существующему порталу авторизации). Ваше программное обеспечение контролирует и управляет аутентификацией ваших учетных записей пользователей, а Google Workspace будет перенаправлять попытку входа на ваш портал SSO. Но важно помнить, что ваши администраторы по-прежнему смогут управлять этими сервисами, используя URL-адрес входа в административную консоль Google ( https://www.google.com/a/example.com ). Это обеспечивает гибкость в случае возникновения проблем с вашим порталом SSO или необходимости его обновления.

Что означает это сообщение об ошибке: «Невозможно получить доступ к этой службе, поскольку ваш запрос на вход не содержал информации о получателе»?

Это означает, что в SAML-ответе отсутствует обязательный атрибут Recipient .

Что означает это сообщение об ошибке: «Невозможно получить доступ к этой службе, поскольку ваш запрос на вход содержал недопустимые данные получателя»?

Это означает, что атрибут Recipient в SAML-ответе не соответствует URL-адресу службы обработки утверждений (ACS).

Что означает это сообщение об ошибке: «Невозможно получить доступ к этой учетной записи, поскольку не удалось проверить учетные данные для входа»?

Обычно это означает, что закрытый ключ, используемый для подписи SAMLResponse, не совпадает с сертификатом открытого ключа, который есть в Google Workspace. Пожалуйста, загрузите сертификат в настройках SSO в панели управления и повторите попытку.