Là quản trị viên, bạn cần các phần tử và thuộc tính được liệt kê trong các bảng sau đây cho các câu lệnh SAML 2.0 SSO được trả về cho Dịch vụ sử dụng câu lệnh (ACS) của Google sau khi nhà cung cấp dịch vụ danh tính (IdP) đã xác thực người dùng.
Hướng dẫn về các thuộc tính
Nếu bạn đã thiết lập SSO thông qua một nhà cung cấp dịch vụ danh tính
bên thứ ba và câu lệnh SAML
của IdP bao gồm <AttributeStatement>, thì Google sẽ lưu trữ các
thuộc tính này cho đến khi phiên Tài khoản Google của người dùng hết hạn. (Thời lượng phiên thay đổi và quản trị viên có thể định cấu hình.) Sau khi phiên tài khoản hết hạn, thông tin thuộc tính sẽ bị xoá vĩnh viễn trong vòng một tuần.
Giống như các thuộc tính tuỳ chỉnh trong Danh bạ, các thuộc tính câu lệnh không được chứa thông tin nhận dạng cá nhân (PII) nhạy cảm, chẳng hạn như thông tin đăng nhập tài khoản, số giấy tờ tuỳ thân do chính phủ cấp, dữ liệu chủ thẻ, dữ liệu tài khoản tài chính, thông tin về sức khoẻ hoặc thông tin nhạy cảm về lý lịch.
Các trường hợp sử dụng được đề xuất cho các thuộc tính câu lệnh bao gồm:
- Mã người dùng cho các hệ thống CNTT nội bộ
- Vai trò dành riêng cho phiên
Bạn chỉ có thể truyền tối đa 2 kB dữ liệu thuộc tính trong câu lệnh. Những câu lệnh vượt quá kích thước tối đa cho phép sẽ bị từ chối hoàn toàn và khiến quá trình đăng nhập không thành công.
Bộ ký tự được hỗ trợ
Bộ ký tự được hỗ trợ phụ thuộc vào việc bạn đang sử dụng cấu hình đăng nhập một lần (SSO) hay cấu hình đăng nhập một lần (SSO) cũ:
- Cấu hình SSO cũ—Giá trị thuộc tính phải là chuỗi ASCII thấp (không hỗ trợ ký tự Unicode/UTF-8 và sẽ khiến quá trình đăng nhập không thành công).
- Cấu hình đăng nhập một lần (SSO) – Hỗ trợ ký tự Unicode/UTF-8.
Trả về câu lệnh cho ACS
Khắc phục sự cố
Để khắc phục sự cố với các câu lệnh này, hãy sử dụng trình kiểm tra mạng. Để biết hướng dẫn, hãy xem trang Trình phân tích HAR của Google Admin Toolbox.
Nếu bạn cần liên hệ với nhóm hỗ trợ, hãy sử dụng một tài khoản kiểm thử dùng một lần vì bản ghi HTTP Archive (HAR) chứa tên người dùng và mật khẩu ở dạng văn bản thuần tuý. Hoặc chỉnh sửa tệp để xoá các tương tác nhạy cảm giữa người dùng và IdP. Hãy liên hệ với Nhóm hỗ trợ Google Workspace.
SAMLRequest được gửi đến IdP của bạn chứa AssertionConsumerServiceURL có liên quan. Nếu SAMLResponse được gửi đến một URL khác, thì có thể đã xảy ra sự cố về cấu hình với IdP của bạn.
Sử dụng các phần tử và thuộc tính – Cấu hình đăng nhập một lần (SSO)
Phần tử mã nhận dạng tên
| Trường | Phần tử NameID trong phần tử Subject. |
|---|---|
| Mô tả |
NameID xác định đối tượng là địa chỉ email chính của người dùng. Mã này phân biệt chữ hoa chữ thường. |
|
Bắt buộc Giá trị |
user@example.com |
| Ví dụ | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Thuộc tính người nhận
| Trường | Thuộc tính Recipient trong phần tử SubjectConfirmationData |
|---|---|
| Mô tả |
Recipient chỉ định URL dịch vụ sử dụng câu lệnh của nhà cung cấp dịch vụ mà câu lệnh này dành cho. |
|
Bắt buộc Giá trị |
Giá trị URL ACS trong phần thông tin chi tiết về nhà cung cấp dịch vụ (SP) của cấu hình đăng nhập một lần (SSO). |
| Ví dụ | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Phần tử đối tượng
| Trường | Phần tử Audience trong phần tử mẹ AudienceRestriction |
|---|---|
| Mô tả |
Audience là một tham chiếu URI xác định đối tượng dự kiến của câu lệnh. |
|
Bắt buộc Giá trị |
Giá trị mã nhận dạng thực thể trong phần thông tin chi tiết về nhà cung cấp dịch vụ (SP) của cấu hình Đăng nhập một lần (SSO). |
| Ví dụ |
|
Thuộc tính đích đến
| Trường | Thuộc tính Destination của phần tử Response |
|---|---|
| Mô tả |
Destination là một tham chiếu URI cho biết địa chỉ mà phản hồi này đã được gửi đến. |
|
Bắt buộc Giá trị |
Đây là một thuộc tính không bắt buộc. Nếu được đặt, thì thuộc tính này phải là giá trị URL ACS trong phần thông tin chi tiết về nhà cung cấp dịch vụ (SP) của cấu hình đăng nhập một lần (SSO). |
| Ví dụ | <saml:Response |
Sử dụng các phần tử và thuộc tính – Cấu hình đăng nhập một lần (SSO) cũ
Lưu ý: Câu lệnh SAML chỉ có thể chứa các ký tự ASCII tiêu chuẩn.
Phần tử mã nhận dạng tên
| Trường | Phần tử NameID trong phần tử Subject. |
|---|---|
| Mô tả |
NameID xác định đối tượng là địa chỉ email chính của người dùng. Mã này phân biệt chữ hoa chữ thường. |
|
Bắt buộc Giá trị |
user@example.com |
| Ví dụ | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Thuộc tính người nhận
| Trường | Thuộc tính Recipient trong phần tử SubjectConfirmationData |
|---|---|
| Mô tả |
Recipient chỉ định dữ liệu bổ sung cần thiết cho đối tượng. example.com có thể là miền chính của tài khoản Google Workspace hoặc Cloud Identity, ngay cả khi người dùng đang được xác thực sử dụng một miền phụ trong cùng tài khoản Google Workspace hoặc Cloud Identity. |
|
Bắt buộc Giá trị |
https://www.google.com/a/example.com/acs hoặc https://accounts.google.com/a/example.com/acs |
| Ví dụ | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Phần tử đối tượng
| Trường | Phần tử Audience trong phần tử mẹ AudienceRestriction |
|---|---|
| Mô tả |
Audience là giá trị nhận dạng tài nguyên đồng nhất (URI) xác định đối tượng dự kiến yêu cầu giá trị URI ACS. example.com có thể là miền chính của tài khoản Google Workspace hoặc Cloud Identity, ngay cả khi người dùng đang được xác thực sử dụng một miền phụ trong cùng tài khoản Google Workspace hoặc Cloud Identity. Giá trị phần tử này không được để trống. |
|
Bắt buộc Giá trị |
Một trong những giá trị sau:
|
| Ví dụ |
|
Thuộc tính đích đến
| Trường | Thuộc tính Destination của phần tử Response |
|---|---|
| Mô tả |
Destination là URI của nơi câu lệnh SAML đang được gửi. Đây là một thuộc tính không bắt buộc, nhưng nếu được khai báo, thì thuộc tính này sẽ cần có giá trị URI ACS. example.com có thể là miền chính của tài khoản Google Workspace hoặc Cloud Identity, ngay cả khi người dùng đang được xác thực sử dụng một miền phụ trong cùng tài khoản Google Workspace hoặc Cloud Identity. |
|
Bắt buộc Giá trị |
https://www.google.com/a/example.com/acs hoặc https://accounts.google.com/a/example.com/acs |
| Ví dụ | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |