Câu hỏi thường gặp về SAML SSO

API SSO hỗ trợ phiên bản SAML nào?

Chúng tôi hiện hỗ trợ SAML phiên bản 2.0. Truy cập vào http://www.oasis-open.org/specs/index.php#samlv2.0 để tìm thông tin chi tiết về tiêu chuẩn SAML v2.0.

Tính năng SSO SAML có hoạt động với POP3 hoặc IMAP không?

Không, SAML chỉ hoạt động với các ứng dụng web của Google Workspace.

Tính năng SSO SAML có hoạt động với nguồn cấp dữ liệu Atom của Gmail không?

Không, nguồn cấp dữ liệu Atom của Gmail sử dụng phương thức xác thực cơ bản qua HTTP.

Tính năng Đăng nhập một lần (SSO) dựa trên Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) có hoạt động với AuthSub không?

Có, SAML hoạt động với AuthSub.

Chúng ta có thể sử dụng RSA thay vì DSA để triển khai tính năng đăng nhập một lần không?

Có, bạn có thể chọn sử dụng thuật toán mã hoá RSA hoặc DSA. Chúng tôi chấp nhận cả hai.

Làm cách nào để tạo chứng chỉ xác minh cần thiết cho tính năng Đăng nhập một lần (SSO)?

Bạn có thể tạo chứng chỉ X509 bằng lệnh openssl. Để biết thông tin chi tiết, hãy xem phần Tạo khoá và chứng chỉ cho tính năng SSO.

Nếu miền của chúng tôi triển khai SSO, thì chúng tôi vẫn có thể đăng nhập trực tiếp vào Google không?

Không. Khi bạn triển khai tính năng SSO, người dùng cuối của miền sẽ không thể đăng nhập trực tiếp vào Google. Quản trị viên cấp cao vẫn có thể đăng nhập vào bảng điều khiển của Google (ví dụ: http://www.google.com/a/example.com).

Làm cách nào để xoá cookie của phiên không liên tục xác định người dùng trong một phiên trình duyệt (ví dụ: khi đăng xuất)?

Sau khi xác thực thành công thông qua SAML, Google sẽ đặt một cookie phiên để xác định phiên của người dùng. Khi người dùng đăng xuất một cách rõ ràng (ví dụ: bằng cách nhấp vào nút đăng xuất), cookie này cần được xoá. Nếu quá trình triển khai của bạn liên quan đến việc quản lý phiên liên tục (chức năng "ghi nhớ tôi trên máy tính này"), bạn có thể cần kiểm soát cách thức và thời điểm cookie này bị xoá. Khi bạn đăng xuất, Google sẽ chuyển hướng đến servlet đăng xuất của bạn. Trong servlet đăng xuất, bạn có thể cung cấp cho người dùng một số lựa chọn có thể xác định xem cookie phiên có bị xoá hay không.

Tại sao URL Thay đổi mật khẩu không hoạt động?

Các thay đổi đối với URL Thay đổi mật khẩu trong chế độ cài đặt SSO mất khoảng một giờ để có hiệu lực.

Tại sao biểu mẫu HTML SAMLResponse hoạt động trong Firefox nhưng không hoạt động trong Internet Explorer?

Nguyên nhân có thể là do Internet Explorer diễn giải sai RelayState. Internet Explorer diễn giải "&ltmpl" là "<mpl". Để ngăn điều này xảy ra, bạn nên thoát các ký tự đặc biệt XML trong RelayState. Thay đổi { &, <, >, ', " } thành { &amp;, <, >, &apos;, &quot; }.

Làm cách nào để cho phép người dùng xem trang bắt đầu của đối tác mà không cần xác thực?

Hãy xem chủ đề này trong nhóm thảo luận để biết ví dụ về SAMLResponse.

Recipient (Người nhận) là thuộc tính bắt buộc trong Phản hồi SAML.

Theo mục 4.1.4.2 của quy cách hồ sơ SAML 2.0, thuộc tính Người nhận phải bằng với URL ACS. Tệp này nằm ở đây:

<samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>user@domain.com</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
  </saml:Assertion>
</samlp:Response>

Hãy xem các câu hỏi bên dưới để biết cách thêm Người nhận vào Phản hồi SAML.

Làm cách nào để đảm bảo nhà cung cấp dịch vụ danh tính bên thứ ba chỉ định đúng thuộc tính Người nhận?

Nếu nhà cung cấp dịch vụ danh tính thương mại hoặc nguồn mở của bạn hỗ trợ SAML 2.0, thì nhà cung cấp đó phải chỉ định thuộc tính Người nhận chính xác. Nếu bạn nhận được một trong các thông báo lỗi nêu trên, thì có nghĩa là thuộc tính Người nhận không chính xác. Nếu trường hợp này xảy ra, hãy liên hệ với nhà cung cấp hoặc người duy trì phần mềm và gửi cho họ đường liên kết đến trang này.

Khi sử dụng Đăng nhập một lần (SSO), người dùng có thể tự xác thực bằng URL đăng nhập của bảng điều khiển dành cho quản trị viên không?

Có. Tính năng Đăng nhập một lần (SSO) dựa trên SAML cho phép bạn chuyển quyền đăng nhập Google Workspace sang phần mềm nhà cung cấp dịch vụ danh tính của riêng bạn (ví dụ: một cổng đăng nhập hiện có). Phần mềm của bạn kiểm soát và quản lý việc xác thực tài khoản người dùng, đồng thời Google Workspace sẽ chuyển hướng một lần đăng nhập đến cổng SSO của bạn. Tuy nhiên, bạn cần lưu ý rằng quản trị viên vẫn có thể quản lý các dịch vụ này bằng URL đăng nhập dành cho quản trị viên của Bảng điều khiển dành cho quản trị viên của Google (https://www.google.com/a/example.com). Điều này giúp bạn linh hoạt hơn nếu cổng SSO gặp vấn đề hoặc cần cập nhật.

Thông báo lỗi "Bạn không thể truy cập dịch vụ này vì yêu cầu đăng nhập của bạn không chứa thông tin người nhận" có nghĩa là gì?

Điều này có nghĩa là Phản hồi SAML đang thiếu thuộc tính Recipient bắt buộc.

Thông báo lỗi này có nghĩa là gì: "Không thể truy cập dịch vụ này vì yêu cầu đăng nhập của bạn có chứa thông tin người nhận không hợp lệ"?

Điều này có nghĩa là thuộc tính Recipient trong Phản hồi SAML không khớp với URL của Dịch vụ sử dụng chứng thực (ACS).

Thông báo lỗi "Không thể truy cập tài khoản này vì không thể xác minh thông tin đăng nhập" có nghĩa là gì?

Điều này thường có nghĩa là khoá riêng tư dùng để ký SAMLResponse không khớp với chứng chỉ khoá công khai mà Google Workspace lưu trữ. Vui lòng tải chứng chỉ lên trong phần Cài đặt SSO trên bảng điều khiển rồi thử lại.