- SSO API 支持哪个版本的 SAML?
- SAML SSO 可用于 POP3 或 IMAP 吗?
- SAML SSO 可用于 Gmail Atom Feed 吗?
- SAML SSO 可用于 AuthSub 吗?
- 可以使用 RSA(而非 DSA)来实施单点登录吗?
- 如何生成 SSO 要求的验证证书?
- 如果我们的网域实施了 SSO,还可以直接登录 Google 吗?
- 如何删除用于在浏览器会话过程中识别用户的临时会话 Cookie(例如,退出时)?
- 为什么“更改密码”网址无效?
- 为什么 SAMLResponse HTML 表单在 Firefox 中可以使用,而在 Internet Explorer 中无法使用?
- 如何允许用户在不进行身份验证的情况下查看合作伙伴初始页?
- SAML 响应中要求的收件人属性是什么?
- 如何确保我的第三方身份提供商指定了正确的收件人属性?
SSO API 支持哪个版本的 SAML?
我们目前支持 SAML 2.0 版。请访问 http://www.oasis-open.org/specs/index.php#samlv2.0,详细了解 SAML 2.0 版的标准。
SAML SSO 可用于 POP3 或 IMAP 吗?
不可以,SAML 仅支持 Google Workspace Web 应用。
SAML SSO 可用于 Gmail Atom Feed 吗?
不可以,Gmail Atom Feed 使用的是 HTTP 基本身份验证。
SAML SSO 可用于 AuthSub 吗?
可以,SAML 可与 AuthSub 一起使用。
可以使用 RSA(而非 DSA)来实施单点登录吗?
可以,您可以选择使用 RSA 或 DSA 加密算法。我们两者都接受。
如何生成 SSO 要求的验证证书?
您可以使用 openssl 命令生成 X509 证书。有关详情,请参阅生成 SSO 密钥和证书。
如果我们的网域实施了 SSO,还可以直接登录 Google 吗?
不可以。在实施了 SSO 的情况下,网域最终用户不能直接登录 Google。 超级用户仍然可以登录 Google 控制台(例如 http://www.google.com/a/<示例>.com)。
如何删除用于在浏览器会话过程中识别用户的临时会话 Cookie(例如,退出时)?
在通过 SAML 成功进行身份验证后,Google 将设置一个会话 Cookie 来识别用户的会话。当用户明确退出时(例如,点击“退出”按钮),需要销毁此 Cookie。如果您的实现涉及永久会话管理(“在此计算机上保存我的信息”功能),则可能需要控制该 Cookie 的破坏方式和时间。在退出后,Google 将重定向到您的退出 servlet。在退出 servlet 中,您可以为用户提供一些选项,用于确定是否要删除该会话 Cookie。
为什么“更改密码”网址无效?
在 SSO 设置中对“更改密码”网址的更改大约需要一个小时生效。
为什么 SAMLResponse HTML 表单在 Firefox 中可以使用,而在 Internet Explorer 中无法使用?
这可能是因为 Internet Explorer 误译了 RelayState。Internet Explorer 会将“<mpl”解析为“<mpl”。要防止发生这种情况,您必须在 RelayState 中避免使用 XML 特殊字符。请将 { &, <, >, ', " } 更改为 { &, <, >, ', " }。
如何允许用户在不进行身份验证的情况下查看合作伙伴起始页?
请在论坛上参阅此主题,了解 SAMLResponse 示例。
SAML 响应中要求的收件人属性是什么?
根据 SAML 2.0 配置文件规范的 4.1.4.2 部分,收件人属性应该与声明消费者服务 (ACS) 网址一致。它位于以下位置:
<samlp:Response ...>
<saml:Assertion ...>
<saml:Subject>
<saml:NameID ...>user@domain.com</saml:NameID>
<saml:SubjectConfirmation ...>
<saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
</saml:SubjectConfirmation>
</saml:Subject>
</saml:Assertion>
</samlp:Response>
查看以下问题,了解如何向 SAML 响应添加收件人。
如何确保我的第三方身份提供方指定了正确的收件人属性?
如果您的商业身份提供方或开放源代码身份提供方支持 SAML 2.0,则它应该已指定正确的收件人属性。如果您收到以上某个错误消息,则表示收件人属性不正确。如果是这种情况,请与软件的供应商或维护者联系,并向其发送指向此页面的链接。
借助单点登录,我的用户是否可以使用管理员控件登录网址验证自己的身份?
可以。基于 SAML 的单点登录 (SSO) 可让您将 Google Workspace 登录授权中心转移到您自己的身份提供方软件(如现有的登录门户)。您的软件负责控制和管理用户账号的身份验证,而且 Google Workspace 会将尝试登录的用户重定向至您的 SSO 门户。但请务必注意,您的管理员仍然可以使用 Google 管理控制台的管理员登录网址(https://www.google.com/a/<示例>.com)管理这些服务example.com。这样一来,当 SSO 门户出现问题或需要更新时,您就可以灵活处理。
错误消息“您的登录请求中未包含收件人信息,因此无法访问该服务”是什么意思?
这表示 SAML 响应缺少所需的收件人属性。
错误消息“您的登录请求中所包含的收件人信息无效,因此无法访问该服务”是什么意思?
这表示 SAML 响应中的收件人属性与声明消费者服务 (ACS) 网址不一致。
错误消息“由于无法验证登录凭据,因此无法访问此账号”是什么意思?
这通常表示用于签署 SAML 响应的私钥与 Google Workspace 存档的公钥证书不匹配。请在控制台的“SSO 设置”中上传该证书,然后重试。