- SSO API รองรับ SAML เวอร์ชันใด
- SAML SSO ใช้กับ POP3 หรือ IMAP ได้ไหม
- SAML SSO ใช้กับฟีด Gmail Atom ได้ไหม
- SAML SSO ใช้กับ AuthSub ได้ไหม
- เราจะใช้ RSA แทน DSA ในการดำเนินการลงชื่อเพียงครั้งเดียวได้ไหม
- ฉันจะสร้างใบรับรองการยืนยันที่ต้องใช้กับ SSO ได้อย่างไร
- หากโดเมนของเราใช้ SSO เราจะยังเข้าสู่ระบบ Google โดยตรงได้ไหม
- ฉันจะลบคุกกี้เซสชันที่ไม่ถาวรซึ่งระบุผู้ใช้ในระหว่างเซสชันของเบราว์เซอร์ได้อย่างไร (เช่น เมื่อออกจากระบบ)
- ทำไม URL เปลี่ยนรหัสผ่านจึงใช้ไม่ได้
- ทำไมแบบฟอร์ม SAMLResponse HTML ทำงานใน Firefox แต่ไม่ทำงานใน Internet Explorer
- ฉันจะอนุญาตให้ผู้ใช้ดูหน้าเริ่มต้นของพาร์ทเนอร์โดยไม่ต้อง ตรวจสอบสิทธิ์ได้อย่างไร
- แอตทริบิวต์ Recipient ที่ต้องใช้ในการตอบกลับ SAML คืออะไร
- ฉันจะแน่ใจได้อย่างไรว่าผู้ให้บริการข้อมูลประจำตัวบุคคลที่สามระบุแอตทริบิวต์ Recipient ที่ถูกต้อง
ผู้ใช้จะตรวจสอบสิทธิ์ตัวเองโดยใช้ URL สำหรับเข้าสู่ระบบแผงควบคุมผู้ดูแลระบบกับ SSO ได้ไหม
ข้อความแสดงข้อผิดพลาด "เข้าถึงบัญชีนี้ไม่ได้เพราะ ยืนยันข้อมูลเข้าสู่ระบบไม่ได้" หมายความว่าอย่างไร
SSO API รองรับ SAML เวอร์ชันใด
ปัจจุบันเรารองรับ SAML v2.0 โปรดดูรายละเอียดมาตรฐาน SAML v2.0 ใน http://www.oasis-open.org/specs/index.php#samlv2.0
SAML SSO ใช้กับ POP3 หรือ IMAP ได้ไหม
ไม่ได้ เพราะ SAML ใช้ได้กับเว็บแอปพลิเคชัน Google Workspace เท่านั้น
SAML SSO ใช้กับฟีด Gmail Atom ได้ไหม
ไม่ได้ ฟีด Gmail Atom ใช้การตรวจสอบสิทธิ์พื้นฐานของ HTTP
SAML SSO ใช้กับ AuthSub ได้ไหม
ได้ SAML ใช้กับ AuthSub ได้
เราจะใช้ RSA แทน DSA ในการดำเนินการลงชื่อเพียงครั้งเดียวได้ไหม
ได้ เลือกได้ว่าจะใช้อัลกอริทึมที่เข้ารหัส RSA หรือ DSA เรายอมรับได้ทั้ง 2 แบบ
ฉันจะสร้างใบรับรองการยืนยันที่ต้องใช้กับ SSO ได้อย่างไร
คุณจะสร้างใบรับรอง X509 ได้โดยใช้คำสั่ง openssl โปรดดูรายละเอียดที่หัวข้อ
สร้างคีย์และใบรับรองสำหรับ
SSO
หากโดเมนของเราใช้ SSO เราจะยังเข้าสู่ระบบ Google โดยตรงได้ไหม
ไม่ เมื่อใช้ SSO แล้ว ผู้ใช้ปลายทางในโดเมนจะเข้าสู่ระบบ Google โดยตรงไม่ได้ แต่ผู้ดูแลระบบขั้นสูงจะยังคงลงชื่อเข้าสู่ระบบแผงควบคุมของ Google ได้ (เช่น http://www.google.com/a/example.com)
ฉันจะลบคุกกี้เซสชันที่ไม่ถาวรซึ่งระบุผู้ใช้ในระหว่างเซสชันของเบราว์เซอร์ได้อย่างไร (เช่น เมื่อออกจากระบบ)
หลังจากตรวจสอบสิทธิ์ผ่าน SAML แล้ว Google จะตั้งคุกกี้เซสชันเพื่อ ระบุเซสชันของผู้ใช้ เมื่อผู้ใช้ออกจากระบบอย่างชัดแจ้ง (เช่น เมื่อคลิกปุ่มออกจากระบบ) ก็จะต้องทำลายคุกกี้นี้ทิ้ง หากการดำเนินการ เกี่ยวข้องกับการจัดการเซสชันถาวร (ฟังก์ชันการทำงาน "บันทึกการใช้ข้อมูลของฉัน") คุณอาจต้องควบคุมวิธีและเวลาในการทำลายคุกกี้ เมื่อออกจากระบบ Google จะเปลี่ยนเส้นทางไปยังเซิร์ฟเล็ตการออกจากระบบ คุณอาจให้ตัวเลือกบางอย่างแก่ผู้ใช้ในเซิร์ฟเล็ตการออกจากระบบ เพื่อกำหนดได้ว่าควรลบ คุกกี้เซสชันไหม
ทำไม URL เปลี่ยนรหัสผ่านจึงใช้ไม่ได้
การเปลี่ยน URL เปลี่ยนรหัสผ่านในการตั้งค่า SSO อาจใช้เวลา 1 ชั่วโมงกว่าจะมีผล
ทำไมแบบฟอร์ม SAMLResponse HTML ทำงานใน Firefox แต่ไม่ทำงานใน Internet Explorer
ปัญหานี้อาจเกิดเพราะ Internet Explorer ตีความ RelayState ผิด Internet Explorer ตีความ "<mpl" เป็น "<mpl" จึงควรยกเว้นอักขระพิเศษ XML ใน RelayState เพื่อป้องกันไม่ให้เกิดกรณีนี้ โดยเปลี่ยน { &, <, >, ', " } เป็น { &, <, >, ', " }
ฉันจะอนุญาตให้ผู้ใช้ดูหน้าเริ่มต้นของพาร์ทเนอร์โดยไม่ต้องตรวจสอบสิทธิ์ได้อย่างไร
โปรดดู หัวข้อนี้ ในกลุ่มสนทนาเพื่อดู SAMLResponse ตัวอย่าง
แอตทริบิวต์ Recipient ที่ต้องใช้ในการตอบกลับ SAML คืออะไร
จากหัวข้อ 4.1.4.2 ในข้อมูลจำเพาะของโปรไฟล์ SAML 2.0 แอตทริบิวต์ Recipient ควรเท่ากับ Assertion Consumer Service (ACS) URL โดยจะอยู่ที่นี่
<samlp:Response ...>
<saml:Assertion ...>
<saml:Subject>
<saml:NameID ...>user@domain.com</saml:NameID>
<saml:SubjectConfirmation ...>
<saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
</saml:SubjectConfirmation>
</saml:Subject>
</saml:Assertion>
</samlp:Response>
โปรดดูคำถามเกี่ยวกับวิธีเพิ่ม Recipient ในตอบสนองของ SAML ด้านล่าง
ฉันจะแน่ใจได้อย่างไรว่าผู้ให้บริการข้อมูลประจำตัวบุคคลที่สามระบุแอตทริบิวต์ Recipient ที่ถูกต้อง
ถ้าผู้ให้บริการข้อมูลประจำตัวเชิงพาณิชย์หรือโอเพนซอร์สรองรับ SAML 2.0 ผู้ให้บริการควรระบุแอตทริบิวต์ Recipient ที่ถูกต้องอยู่แล้ว หากได้รับข้อความแสดงข้อผิดพลาดดังกล่าวข้างต้น ก็หมายความว่าแอตทริบิวต์ Recipeint ไม่ถูกต้อง ในกรณีนี้ โปรดติดต่อผู้ให้บริการหรือผู้บำรุงรักษาซอฟต์แวร์ แล้วส่งลิงก์ไปยังหน้านี้ไปให้
ผู้ใช้จะตรวจสอบสิทธิ์ตัวเองโดยใช้ URL สำหรับเข้าสู่ระบบแผงควบคุมผู้ดูแลระบบกับ SSO ได้ไหม
ได้ การลงชื่อเพียงครั้งเดียว (SSO) ที่ใช้ SAML ช่วยให้คุณโอนสิทธิ์ในการเข้าสู่ระบบ Google Workspace ให้กับซอฟต์แวร์ของผู้ให้บริการข้อมูลประจำตัวของตนเองได้ (เช่น พอร์ทัลเข้าสู่ระบบที่มีอยู่) ซอฟต์แวร์ของคุณจะควบคุมและจัดการการตรวจสอบสิทธิ์ของบัญชีผู้ใช้ และ Google Workspace จะเปลี่ยนเส้นทางการพยายามเข้าสู่ระบบไปยังพอร์ทัล SSO แต่อย่าลืมว่าผู้ดูแลระบบจะยังจัดการบริการเหล่านี้ได้โดยใช้ URL สำหรับเข้าสู่ระบบของผู้ดูแลระบบในคอนโซลผู้ดูแลระบบของ Google (https://www.google.com/a/example.com) ซึ่งจะช่วยให้ความสะดวกแก่คุณหากพอร์ทัล SSO มีปัญหาหรือจำเป็นต้องอัปเดต
ข้อความแสดงข้อผิดพลาด "เข้าถึงบริการนี้ไม่ได้เพราะคำขอเข้าสู่ระบบไม่มีข้อมูลผู้รับ" หมายความว่าอย่างไร
หมายความว่าการตอบกลับ SAML ไม่มีแอตทริบิวต์ Recipient ที่ต้องใช้
ข้อความแสดงข้อผิดพลาด "เข้าถึงบริการนี้ไม่ได้เพราะคำขอเข้าสู่ระบบมีข้อมูลผู้รับที่ไม่ถูกต้อง" หมายความว่าอย่างไร
หมายความว่าแอตทริบิวต์ Recipient ในการตอบกลับ SAML ไม่ตรงกับ Assertion Consumer Service (ACS) URL
ข้อความแสดงข้อผิดพลาด "ไม่สามารถเข้าถึงบัญชีนี้ เนื่องจากไม่สามารถยืนยันข้อมูลการเข้าสู่ระบบ" หมายความว่าอย่างไร
โดยปกติจะหมายความว่าคีย์ส่วนตัวที่ใช้ลงชื่อ SAMLResponse ไม่ตรงกับใบรับรองคีย์สาธารณะที่ Google Workspace มีในบันทึก โปรดอัปโหลดใบรับรองในการตั้งค่า SSO ของแผงควบคุมแล้วลองอีกครั้ง