Som administratör behöver du elementen och attributen som anges i följande tabeller för SAML 2.0 SSO-intyg som returneras till Google Assertion Consumer Service (ACS) efter att identitetsleverantören (IdP) har autentiserat användaren.
Vägledning för attribut
Om du har konfigurerat SSO via en tredjeparts identitetsleverantör och din IdP:s SAML-intyg innehåller en <AttributeStatement> , kommer Google att lagra dessa attribut tills användarens Google-kontosession löper ut. (Sessionslängden varierar och kan konfigureras av administratören.) Efter att kontosessionen löper ut raderas attributinformationen permanent inom en vecka.
Precis som med anpassade attribut i katalogen bör påståendeattribut inte innehålla känslig personligt identifierbar information (PII), såsom kontouppgifter, myndighets-ID-nummer, kortinnehavaruppgifter, finansiella kontouppgifter, hälso- och sjukvårdsinformation eller känslig bakgrundsinformation.
Rekommenderade användningsområden för påståendeattribut inkluderar:
- Användar-ID:n för interna IT-system
- Sessionsspecifika roller
Du kan bara skicka maximalt 2 kB attributdata i dina assertions. Assertions som överskrider den maximalt tillåtna storleken kommer att avvisas helt och hållet och orsaka att inloggningen misslyckas.
Teckenuppsättningar som stöds
Vilken teckenuppsättning som stöds beror på om du använder SSO-profiler eller den äldre SSO-profilen:
- Äldre SSO-profil — Attributvärden måste vara strängar med låg ASCII-nivå (Unicode/UTF-8-tecken stöds inte och kommer att orsaka att inloggningen misslyckas).
- SSO-profiler — Unicode/UTF-8-tecken stöds.
Returnera påståenden till ACS
Felsök problem
För att felsöka problem med dessa påståenden, använd nätverksinspektören. Instruktioner finns på sidan HAR Analyzer för Google Admin Toolbox .
Om du behöver kontakta supporten, använd ett engångstestkonto eftersom HTTP Archive (HAR)-inspelningen innehåller användarnamnet och lösenordet i klartext. Eller redigera filen för att ta bort känsliga interaktioner mellan användaren och IdP:n. Kontakta Google Workspace-supporten .
SAMLRequest som skickas till din IdP innehåller relevant AssertionConsumerServiceURL. Om din SAMLResponse skickas till en annan URL kan det vara ett konfigurationsproblem med din IdP.
Använd element och attribut – SSO-profiler
Namn-ID-element
| Fält | NameID- elementet i Subject- elementet. |
|---|---|
| Beskrivning | Namn-ID identifierar ämnet som är användarens primära e-postadress. Det är skiftlägeskänsligt. |
Nödvändig Värde | användare@exampel.com |
| Exempel | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
Mottagarattribut
| Fält | Recipient -attributet i SubjectConfirmationData -elementet |
|---|---|
| Beskrivning | Mottagaren anger URL:en för konsumenttjänsten för den tjänsteleverantör som påståendet är avsett för. |
Nödvändig Värde | ACS-URL-värdet från avsnittet med tjänsteleverantörsdetaljer (SP) i SSO-profilen. |
| Exempel | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Målgruppselement
| Fält | Audience- elementet i det överordnade elementet AudienceRestriction |
|---|---|
| Beskrivning | Målgrupp är en URI-referens som identifierar den avsedda målgruppen för påståendet. |
Nödvändig Värde | Enhets-ID-värdet från avsnittet med tjänsteleverantörsinformation (SP) i SSO-profilen. |
| Exempel | |
Destinationsattribut
| Fält | Destinationsattributet för Response- elementet |
|---|---|
| Beskrivning | Destination är en URI-referens som anger adressen dit detta svar har skickats. |
Nödvändig Värde | Detta är ett valfritt attribut; om det är inställt ska det vara ACS URL-värdet från avsnittet med tjänsteleverantörsuppgifter (SP) i SSO-profilen. |
| Exempel | <saml:Response |
Använd element och attribut – äldre SSO-profil
Obs: SAML-assertionen kan endast innehålla standardtecken i ASCII .
Namn-ID-element
| Fält | NameID- elementet i Subject- elementet. |
|---|---|
| Beskrivning | Namn-ID identifierar ämnet som är användarens primära e-postadress. Det är skiftlägeskänsligt. |
Nödvändig Värde | användare@exampel.com |
| Exempel | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
Mottagarattribut
| Fält | Recipient -attributet i SubjectConfirmationData -elementet |
|---|---|
| Beskrivning | Mottagaren anger ytterligare uppgifter som krävs för subjektet. example.com är förmodligen den primära domänen för ditt Google Workspace- eller Cloud Identity-konto, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. |
Nödvändig Värde | https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs |
| Exempel | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Målgruppselement
| Fält | Audience- elementet i det överordnade elementet AudienceRestriction |
|---|---|
| Beskrivning | Målgrupp är den enhetliga resursidentifierare (URI) som identifierar den avsedda målgrupp som kräver värdet för ACS URI. example.com är förmodligen den primära domänen för ditt Google Workspace- eller Cloud Identity-konto, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. Detta elementvärde kan inte vara tomt. |
Nödvändig Värde | Antingen av följande:
|
| Exempel | |
Destinationsattribut
| Fält | Destinationsattributet för Response- elementet |
|---|---|
| Beskrivning | Destination är URI:n dit SAML-kontrollen skickas. Det är ett valfritt attribut, men om det deklareras behöver det ett värde för ACS URI:n. example.com är förmodligen den primära domänen för ditt Google Workspace- eller Cloud Identity-konto, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. |
Nödvändig Värde | https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs |
| Exempel | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |