Là quản trị viên, bạn cần có các phần tử và thuộc tính được liệt kê trong các bảng sau cho các câu khẳng định SSO SAML 2.0 được trả về cho Dịch vụ sử dụng câu khẳng định (ACS) của Google sau khi nhà cung cấp dịch vụ danh tính (IdP) đã xác thực người dùng.
Hướng dẫn về các thuộc tính
Nếu bạn đã thiết lập SSO thông qua một nhà cung cấp danh tính bên thứ ba và câu khẳng định SAML của IdP có chứa <AttributeStatement>, thì Google sẽ lưu trữ các thuộc tính này cho đến khi phiên Tài khoản Google của người dùng hết hạn. (Thời lượng phiên thay đổi và quản trị viên có thể định cấu hình.) Sau khi phiên hoạt động của tài khoản hết hạn, thông tin thuộc tính sẽ bị xoá vĩnh viễn trong vòng một tuần.
Tương tự như thuộc tính tuỳ chỉnh trong Danh bạ, các thuộc tính xác nhận không được chứa thông tin nhận dạng cá nhân (PII) nhạy cảm, chẳng hạn như thông tin đăng nhập tài khoản, số căn cước công dân, dữ liệu chủ thẻ, dữ liệu tài khoản tài chính, thông tin chăm sóc sức khoẻ hoặc thông tin nhạy cảm về lý lịch.
Các trường hợp sử dụng được đề xuất cho thuộc tính khẳng định bao gồm:
- Mã nhận dạng người dùng cho hệ thống CNTT nội bộ
- Vai trò dành riêng cho phiên
Bạn chỉ có thể truyền tối đa 2 kB dữ liệu thuộc tính trong các câu khẳng định. Những câu khẳng định vượt quá kích thước tối đa cho phép sẽ bị từ chối hoàn toàn và khiến quá trình đăng nhập không thành công.
Bộ ký tự được hỗ trợ
Bộ ký tự được hỗ trợ phụ thuộc vào việc bạn đang sử dụng cấu hình SSO hay cấu hình SSO cũ:
- Cấu hình SSO cũ – Giá trị thuộc tính phải là chuỗi ASCII thấp (không hỗ trợ ký tự Unicode/UTF-8 và sẽ khiến quá trình đăng nhập không thành công).
- Cấu hình đăng nhập một lần (SSO) – Hỗ trợ các ký tự Unicode/UTF-8.
Trả lại các câu khẳng định cho ACS
Khắc phục sự cố
Để khắc phục sự cố với các câu khẳng định này, hãy sử dụng trình kiểm tra mạng. Để biết hướng dẫn, hãy xem trang Trình phân tích HAR của Google Admin Toolbox.
Nếu bạn cần liên hệ với nhóm hỗ trợ, hãy sử dụng tài khoản kiểm thử dùng một lần vì bản ghi HTTP Archive (HAR) chứa tên người dùng và mật khẩu ở dạng văn bản thuần tuý. Hoặc chỉnh sửa tệp để xoá các hoạt động tương tác nhạy cảm giữa người dùng và IdP. Liên hệ với Nhóm hỗ trợ Google Workspace.
SAMLRequest được gửi đến IdP của bạn có chứa AssertionConsumerServiceURL có liên quan. Nếu SAMLResponse được gửi đến một URL khác, thì có thể IdP của bạn gặp vấn đề về cấu hình.
Sử dụng các phần tử và thuộc tính – Cấu hình đăng nhập một lần (SSO)
Phần tử mã nhận dạng tên
| Trường | Phần tử NameID trong phần tử Subject. |
|---|---|
| Mô tả |
NameID xác định chủ đề là địa chỉ email chính của người dùng. Tham số này phân biệt chữ hoa chữ thường. |
|
Bắt buộc Giá trị |
user@example.com |
| Ví dụ: | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Thuộc tính người nhận
| Trường | Thuộc tính Recipient trong phần tử SubjectConfirmationData |
|---|---|
| Mô tả |
Người nhận chỉ định URL dịch vụ sử dụng xác nhận của nhà cung cấp dịch vụ mà xác nhận đó dành cho. |
|
Bắt buộc Giá trị |
Giá trị URL ACS trong mục thông tin chi tiết về nhà cung cấp dịch vụ (SP) của hồ sơ SSO. |
| Ví dụ: | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Phần tử đối tượng
| Trường | Phần tử Audience trong phần tử mẹ AudienceRestriction |
|---|---|
| Mô tả |
Đối tượng là một tham chiếu URI giúp xác định đối tượng mà bạn muốn hướng đến của câu khẳng định. |
|
Bắt buộc Giá trị |
Giá trị Mã nhận dạng thực thể trong phần thông tin chi tiết về nhà cung cấp dịch vụ (SP) của hồ sơ SSO. |
| Ví dụ: |
|
Thuộc tính đích đến
| Trường | Thuộc tính Destination của phần tử Response |
|---|---|
| Mô tả |
Đích đến là một tham chiếu URI cho biết địa chỉ mà phản hồi này đã được gửi đến. |
|
Bắt buộc Giá trị |
Đây là một thuộc tính không bắt buộc; nếu được đặt, thì đó phải là giá trị URL ACS trong phần thông tin chi tiết về nhà cung cấp dịch vụ (SP) của hồ sơ SSO. |
| Ví dụ: | <saml:Response |
Sử dụng các phần tử và thuộc tính – cấu hình SSO cũ
Lưu ý: Khẳng định SAML chỉ có thể chứa các ký tự ASCII tiêu chuẩn.
Phần tử mã nhận dạng tên
| Trường | Phần tử NameID trong phần tử Subject. |
|---|---|
| Mô tả |
NameID xác định chủ đề là địa chỉ email chính của người dùng. Tham số này phân biệt chữ hoa chữ thường. |
|
Bắt buộc Giá trị |
user@example.com |
| Ví dụ: | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Thuộc tính người nhận
| Trường | Thuộc tính Recipient trong phần tử SubjectConfirmationData |
|---|---|
| Mô tả |
Người nhận chỉ định dữ liệu bổ sung cần thiết cho chủ đề. example.com có thể là miền chính của tài khoản Google Workspace hoặc Cloud Identity của bạn, ngay cả khi người dùng được xác thực sử dụng miền phụ trong cùng một tài khoản Google Workspace hoặc Cloud Identity. |
|
Bắt buộc Giá trị |
https://www.google.com/a/example.com/acs hoặc https://accounts.google.com/a/example.com/acs |
| Ví dụ: | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Phần tử đối tượng
| Trường | Phần tử Audience trong phần tử mẹ AudienceRestriction |
|---|---|
| Mô tả |
Đối tượng mục tiêu là giá trị nhận dạng tài nguyên thống nhất (URI) xác định đối tượng mục tiêu dự kiến yêu cầu giá trị của URI ACS. example.com có thể là miền chính của tài khoản Google Workspace hoặc Cloud Identity của bạn, ngay cả khi người dùng được xác thực sử dụng miền phụ trong cùng một tài khoản Google Workspace hoặc Cloud Identity. Không được để trống giá trị của phần tử này. |
|
Bắt buộc Giá trị |
Nhập các thông tin sau:
|
| Ví dụ: |
|
Thuộc tính đích đến
| Trường | Thuộc tính Destination của phần tử Response |
|---|---|
| Mô tả |
Đích đến là URI nơi xác nhận SAML đang được gửi. Đây là một thuộc tính không bắt buộc, nhưng nếu được khai báo, thì thuộc tính này sẽ cần có giá trị là URI ACS. example.com có thể là miền chính của tài khoản Google Workspace hoặc Cloud Identity của bạn, ngay cả khi người dùng được xác thực sử dụng miền phụ trong cùng một tài khoản Google Workspace hoặc Cloud Identity. |
|
Bắt buộc Giá trị |
https://www.google.com/a/example.com/acs hoặc https://accounts.google.com/a/example.com/acs |
| Ví dụ: | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |