Como administrador, necesitas los elementos y atributos que se enumeran en las siguientes tablas para las aserciones de SSO de SAML 2.0 que se muestran al Servicio de consumidor de aserciones (ACS) de Google después de que el proveedor de identidad (IdP) autentique al usuario.
Orientación sobre los atributos
Si configuraste el SSO a través de un proveedor de identidad
externo y la aserción de SAML de tu IdP
incluye un <AttributeStatement>, Google almacenará estos
atributos hasta que venza la sesión de la Cuenta de Google del usuario. (La duración de la sesión varía y el administrador puede configurarla). Una vez que vence la sesión de la cuenta, la información de los atributos se borra de forma permanente en el plazo de una semana.
Al igual que con los atributos personalizados en Directory, los atributos de aserción no deben incluir información de identificación personal (PII) sensible, como credenciales de cuenta, números de identificación gubernamentales, datos del titular de la tarjeta, datos de la cuenta financiera, información de atención médica o información sensible de antecedentes.
Entre los usos recomendados para los atributos de aserción, se incluyen los siguientes:
- IDs de usuario para sistemas de TI internos
- Funciones específicas de la sesión
Solo puedes pasar un máximo de 2 kB de datos de atributos en tus aserciones. Las aserciones que excedan el tamaño máximo permitido se rechazarán por completo y harán que falle el acceso.
Conjuntos de caracteres admitidos
El conjunto de caracteres admitido depende de si usas perfiles de SSO o el perfil de SSO heredado:
- Perfil de SSO heredado: Los valores de los atributos deben ser cadenas ASCII bajas (no se admiten caracteres Unicode/UTF-8, y harán que falle el acceso).
- Perfiles de SSO: Se admiten caracteres Unicode/UTF-8.
Devuelve aserciones al ACS
Solución de problemas
Para solucionar problemas con estas aserciones, usa el inspector de red. Para obtener instrucciones, consulta la página HAR Analyzer de la Caja de herramientas para administradores de Google.
Si necesitas comunicarte con el equipo de asistencia, usa una cuenta de prueba desechable, ya que la captura del archivo HTTP (HAR) contiene el nombre de usuario y la contraseña en texto simple. O bien, edita el archivo para borrar las interacciones sensibles entre el usuario y el IdP. Comunícate con el equipo de asistencia de Google Workspace.
La SAMLRequest que se envía a tu IdP contiene la AssertionConsumerServiceURL pertinente. Si tu SAMLResponse se envía a otra URL, podría haber un problema de configuración con tu IdP.
Usa elementos y atributos: perfiles de SSO
Elemento Name ID
| Campo | Elemento NameID en el elemento Subject |
|---|---|
| Descripción |
NameID identifica al sujeto, que es la dirección de correo electrónico principal del usuario. Distingue mayúsculas de minúsculas. |
|
Obligatorio Valor |
user@example.com |
| Ejemplo | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atributo Recipient
| Campo | Atributo Recipient en el elemento SubjectConfirmationData |
|---|---|
| Descripción |
Recipient especifica la URL del servicio de consumidor de aserciones del proveedor de servicios para el que está destinada la aserción. |
|
Obligatorio Valor |
El valor de la URL del ACS de la sección de detalles del proveedor de servicios (SP) del perfil de SSO. |
| Ejemplo | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento Audience
| Campo | Elemento Audience en el elemento superior AudienceRestriction |
|---|---|
| Descripción |
Audience es una referencia de URI que identifica el público objetivo de la aserción. |
|
Obligatorio Valor |
El valor del ID de la entidad de la sección de detalles del proveedor de servicios (SP) del perfil de SSO. |
| Ejemplo |
|
Atributo Destination
| Campo | Atributo Destination del elemento Response |
|---|---|
| Descripción |
Destination es una referencia de URI que indica la dirección a la que se envió esta respuesta. |
|
Obligatorio Valor |
Este es un atributo opcional. Si se establece, debe ser el valor de la URL del ACS de la sección de detalles del proveedor de servicios (SP) del perfil de SSO. |
| Ejemplo | <saml:Response |
Usa elementos y atributos: perfil de SSO heredado
Nota: La aserción de SAML solo puede contener caracteres ASCII estándar.
Elemento Name ID
| Campo | Elemento NameID en el elemento Subject |
|---|---|
| Descripción |
NameID identifica al sujeto, que es la dirección de correo electrónico principal del usuario. Distingue mayúsculas de minúsculas. |
|
Obligatorio Valor |
user@example.com |
| Ejemplo | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atributo Recipient
| Campo | Atributo Recipient en el elemento SubjectConfirmationData |
|---|---|
| Descripción |
Recipient especifica datos adicionales necesarios para el sujeto. example.com es probablemente el dominio principal de tu cuenta de Google Workspace o Cloud Identity, incluso si el usuario que se autentica usa un dominio secundario en la misma cuenta de Google Workspace o Cloud Identity. |
|
Obligatorio Valor |
https://www.google.com/a/example.com/acs o https://accounts.google.com/a/example.com/acs |
| Ejemplo | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento Audience
| Campo | Elemento Audience en el elemento superior AudienceRestriction |
|---|---|
| Descripción |
Audience es el identificador de recursos uniforme (URI) que identifica el público objetivo que requiere el valor del URI del ACS. example.com es probablemente el dominio principal de tu cuenta de Google Workspace o Cloud Identity, incluso si el usuario que se autentica usa un dominio secundario en la misma cuenta de Google Workspace o Cloud Identity. El valor de este elemento no puede estar vacío. |
|
Obligatorio Valor |
Cualquiera de las siguientes opciones:
|
| Ejemplo |
|
Atributo Destination
| Campo | Atributo Destination del elemento Response |
|---|---|
| Descripción |
Destination es el URI al que se envía la aserción de SAML. Es un atributo opcional, pero, si se declara, necesitará un valor del URI del ACS. example.com es probablemente el dominio principal de tu cuenta de Google Workspace o Cloud Identity, incluso si el usuario que se autentica usa un dominio secundario en la misma cuenta de Google Workspace o Cloud Identity. |
|
Obligatorio Valor |
https://www.google.com/a/example.com/acs o https://accounts.google.com/a/example.com/acs |
| Ejemplo | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |