Als Administrator müssen Sie sicherstellen, dass die in den folgenden Tabellen aufgeführten Elemente und Attribute für SAML 2.0-SSO-Assertions an den Google Assertion Consumer Service (ACS) gesendet werden, nachdem der Nutzer vom Identitätsanbieter authentifiziert wurde.
Hinweise zu Attributen
Wenn Sie die Einmalanmeldung (SSO) über einen externen Identitätsanbieter eingerichtet haben und die SAML-Assertion Ihres IdP ein <AttributeStatement> enthält, speichert Google diese Attribute, bis die Google-Konto-Sitzung des Nutzers abläuft. Die Sitzungslänge variiert und kann vom Administrator konfiguriert werden. Nach Ablauf der Kontositzung werden die Attributinformationen innerhalb einer Woche endgültig gelöscht.
Wie bei benutzerdefinierten Attributen im Verzeichnis sollten Assertion-Attribute keine vertraulichen personenidentifizierbaren Informationen enthalten, z. B. Anmeldedaten für Konten, behördliche Identifikationsnummern, Karteninhaberdaten, Finanzdaten, Gesundheitsdaten oder vertrauliche Hintergrundinformationen.
Empfohlene Verwendungen für Assertion-Attribute:
- Nutzer-IDs für interne IT-Systeme
- Sitzungsspezifische Rollen
Sie können in Ihren Assertions maximal 2 KB an Attributdaten übergeben. Assertions, die die maximal zulässige Größe überschreiten, werden vollständig abgelehnt. Dadurch kann die Anmeldung fehlschlagen.
Unterstützte Zeichensätze
Der unterstützte Zeichensatz hängt davon ab, ob Sie SSO-Profile oder das alte SSO-Profil verwenden:
- Altes SSO-Profil: Attributwerte müssen Low-ASCII-Strings sein. Unicode-/UTF-8-Zeichen werden nicht unterstützt und führen dazu, dass die Anmeldung fehlschlägt.
- SSO-Profile: Unicode-/UTF-8-Zeichen werden unterstützt.
Assertions an den ACS senden
Fehlerbehebung
Zur Fehlerbehebung stehen Ihnen Tools zur Netzwerkanalyse zur Verfügung. Eine Anleitung finden Sie auf der Google Admin Toolbox-Seite zum HAR-Analysetool.
Wenn Sie sich an den Support wenden müssen, sollten Sie ein temporäres Testkonto nutzen, da die HTTP-Archivdatei (HAR) den Nutzernamen und das Passwort im Klartext enthält. Alternativ können Sie auch die sensiblen Interaktionen zwischen dem Nutzer und dem Identitätsanbieter aus der Datei löschen. Google Workspace-Support kontaktieren
Die an Ihren Identitätsanbieter gesendete SAML-Anfrage enthält die relevante AssertionConsumerServiceURL. Wenn Ihre SAML-Antwort an eine andere URL gesendet wird, liegt möglicherweise ein Konfigurationsproblem bei Ihrem Identitätsanbieter vor.
Elemente und Attribute verwenden – SSO-Profile
Element „NameID“
| Feld | Element NameID im Element Subject |
|---|---|
| Beschreibung |
NameID steht für die primäre E-Mail-Adresse des Nutzers. Dabei wird zwischen Groß- und Kleinschreibung unterschieden. |
|
Erforderlich Wert |
user@example.com |
| Beispiel | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Empfängerattribut
| Feld | Attribut Recipient im Element SubjectConfirmationData |
|---|---|
| Beschreibung |
Mit Recipient wird die Assertion Consumer Service-URL des Dienstanbieters angegeben, für den die Assertion bestimmt ist. |
|
Erforderlich Wert |
Der ACS-URL-Wert aus dem Abschnitt „Details zum Dienstanbieter“ des SSO-Profils. |
| Beispiel | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Zielgruppenelement
| Feld | Element Audience im übergeordneten Element AudienceRestriction |
|---|---|
| Beschreibung |
Audience ist ein URI-Verweis, der die Zielgruppe der Assertion identifiziert. |
|
Erforderlich Wert |
Der Wert der Entitäts-ID aus dem Abschnitt mit den Details zum Dienstanbieter (Service Provider, SP) des SSO-Profils. |
| Beispiel |
|
Zielattribut
| Feld | Attribut Destination des Elements Response |
|---|---|
| Beschreibung |
Destination ist ein URI-Verweis, der die Adresse angibt, an die diese Antwort gesendet wurde. |
|
Erforderlich Wert |
Dieses Attribut ist optional. Wenn es festgelegt ist, sollte es den ACS-URL-Wert aus dem Abschnitt mit den Details zum Dienstanbieter (SP) des SSO-Profils enthalten. |
| Beispiel | <saml:Response |
Elemente und Attribute verwenden – Legacy-SSO-Profil
Hinweis:Die SAML-Assertion darf nur standardmäßige ASCII enthalten.
Element „NameID“
| Feld | Element NameID im Element Subject |
|---|---|
| Beschreibung |
NameID steht für die primäre E-Mail-Adresse des Nutzers. Dabei wird zwischen Groß- und Kleinschreibung unterschieden. |
|
Erforderlich Wert |
user@example.com |
| Beispiel | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Empfängerattribut
| Feld | Attribut Recipient im Element SubjectConfirmationData |
|---|---|
| Beschreibung |
Recipient gibt zusätzliche Daten an, die für das Subjekt erforderlich sind. example.com ist wahrscheinlich die primäre Domain Ihres Google Workspace- oder Cloud Identity-Kontos, auch wenn der zu authentifizierende Nutzer eine sekundäre Domain im selben Google Workspace- oder Cloud Identity-Konto verwendet. |
|
Erforderlich Wert |
https://www.google.com/a/example.com/acs oder https://accounts.google.com/a/example.com/acs |
| Beispiel | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Zielgruppenelement
| Feld | Element Audience im übergeordneten Element AudienceRestriction |
|---|---|
| Beschreibung |
Audience ist der Uniform Resource Identifier (URI), mit dem die Zielgruppe identifiziert wird, die den Wert des ACS-URI erfordert. example.com ist wahrscheinlich die primäre Domain Ihres Google Workspace- oder Cloud Identity-Kontos, auch wenn der zu authentifizierende Nutzer eine sekundäre Domain im selben Google Workspace- oder Cloud Identity-Konto verwendet. Dieser Elementwert muss angegeben werden. |
|
Erforderlich Wert |
Eines der folgenden Elemente:
|
| Beispiel |
|
Zielattribut
| Feld | Attribut Destination des Elements Response |
|---|---|
| Beschreibung |
Destination ist der URI, an den die SAML-Assertion gesendet werden soll. Das Attribut ist optional. Wenn es angegeben wird, ist dafür der Wert des ACS-URI erforderlich. example.com ist wahrscheinlich die primäre Domain Ihres Google Workspace- oder Cloud Identity-Kontos, auch wenn der zu authentifizierende Nutzer eine sekundäre Domain im selben Google Workspace- oder Cloud Identity-Konto verwendet. |
|
Erforderlich Wert |
https://www.google.com/a/example.com/acs oder https://accounts.google.com/a/example.com/acs |
| Beispiel | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |