הדרישות לגבי הצהרות SSO

כאדמינים, אתם צריכים את הרכיבים והמאפיינים שמפורטים בטבלאות הבאות עבור טענות נכונות (assertions) של SAML 2.0 SSO שמוחזרות ל-Google Assertion Consumer Service ‏(ACS) אחרי שספק הזהויות (IdP) אימת את המשתמש.

הנחיות לגבי מאפיינים

אם הגדרתם כניסה יחידה (SSO) באמצעות ספק זהויות (IdP) של צד שלישי והצהרת ה-SAML של ספק הזהויות כוללת <AttributeStatement>, Google תשמור את המאפיינים האלה עד שתוקף הסשן של חשבון Google של המשתמש יפוג. (אורך הסשן משתנה וניתן להגדרה על ידי האדמין). אחרי שפג תוקף הסשן בחשבון, פרטי המאפיינים נמחקים באופן סופי תוך שבוע.

בדומה למאפיינים מותאמים אישית בספרייה, מאפייני הצהרה לא צריכים לכלול פרטים אישיים מזהים (PII) רגישים, כמו פרטי כניסה לחשבון, מספרים של תעודות מזהות רשמיות, נתונים של בעלי כרטיסים, נתונים של חשבונות פיננסיים, מידע רפואי או מידע רגיש על הרקע.

שימושים מומלצים במאפייני הצהרה:

מזהי משתמשים למערכות IT פנימיות
תפקידים ספציפיים לסשן

אפשר להעביר עד 2KB של נתוני מאפיינים בהצהרות. טענות שחורגות מהגודל המקסימלי המותר יידחו לחלוטין, ויגרמו לכניסה להיכשל.

מערכות תווים נתמכות

קבוצת התווים הנתמכת תלויה בשאלה אם משתמשים בפרופילי SSO או בפרופיל SSO מדור קודם:

פרופיל SSO ישן – ערכי המאפיינים צריכים להיות מחרוזות ASCII נמוכות (אין תמיכה בתווי Unicode/UTF-8, והם יגרמו לכניסה להיכשל).
פרופילי SSO – נתמכים תווים בפורמט Unicode/UTF-8.

החזרת טענות ל-ACS

פתרון בעיות

כדי לפתור בעיות בהצהרות האלה, אפשר להשתמש בכלי לבדיקת רשת. הוראות מפורטות זמינות בדף HAR Analyzer בארגז הכלים של Google Admin.

אם אתם צריכים לפנות לתמיכה, השתמשו בחשבון בדיקה זמני כי קובץ ה-HTTP Archive (HAR) מכיל את שם המשתמש והסיסמה בטקסט גלוי. אפשר גם לערוך את הקובץ כדי למחוק אינטראקציות רגישות בין המשתמש לבין IdP. פנו לצוות התמיכה למשתמשי Google Workspace.

ה-SAMLRequest שנשלח ל-IdP שלכם מכיל את ה-AssertionConsumerServiceURL הרלוונטי. אם ה-SAMLResponse נשלח לכתובת URL אחרת, יכול להיות שיש בעיה בהגדרת ה-IdP.

שימוש ברכיבים ובמאפיינים – פרופילי SSO

רכיב מזהה השם

שדה	אלמנט NameID באלמנט Subject.
תיאור	NameID מזהה את הנושא, שהוא כתובת האימייל הראשית של המשתמש. הוא תלוי אותיות רישיות.
חובה ערך	user@example.com
דוגמה	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

מאפיין נמען

שדה	מאפיין הנמען ברכיב SubjectConfirmationData
תיאור	הנמען מציין את כתובת ה-URL של Assertion Consumer Service של ספק השירות שאליו מיועדת ההצהרה.
חובה ערך	הערך של כתובת אתר של ACS מהקטע 'פרטי ספק השירות (SP)' בפרופיל ה-SSO.
דוגמה	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://accounts.google.com/samlrp/0abc123/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

רכיב קהל

שדה	אלמנט Audience באלמנט ההורה AudienceRestriction
תיאור	קהל הוא הפניה ל-URI שמזהה את הקהל המיועד של טענת הנכוֹנוּת (assertion).
חובה ערך	הערך של מזהה היישות מהקטע 'פרטי ספק השירות (SP)' בפרופיל ה-SSO.
דוגמה	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://accounts.google.com/samlrp/0abc123 </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

מאפיין היעד

שדה	מאפיין היעד של רכיב התגובה
תיאור	יעד הוא הפניה ל-URI שמציינת את הכתובת שאליה נשלחה התגובה הזו.
חובה ערך	זהו מאפיין אופציונלי. אם הוא מוגדר, הוא צריך להיות ערך כתובת אתר של ACS מקטע הפרטים של ספק השירות בפרופיל הכניסה היחידה.
דוגמה	`<saml:Response Destination="https://accounts.google.com/samlrp/0abc123/acs" ID="resp-53450fcf-d45e-420f-9246-262e165563cb" InResponseTo="_cc1ca69615a0e8719426e7a250557c5b"> IssueInstant="2024-10-04T20:17:38.726Z" Version="2.0"> ... </saml:Response>`

שימוש ברכיבים ובמאפיינים – פרופיל SSO מדור קודם

הערה: הצהרת ה-SAML יכולה להכיל רק תווים סטנדרטיים של ASCII.