بصفتك مشرفًا، تحتاج إلى إرجاع العناصر والسمات المُدرجة في الجداول التالية الخاصة بتأكيد الدخول المُوحَّد عبر SAML 2.0 إلى خدمة Google Assertion Consumer Service (ACS)، وذلك بعد مصادقة موفِّر الهوية (IdP) للمستخدم.
إرشادات حول السمات
في حال إعداد تسجيل الدخول المُوحَّد (SSO) من خلال موفِّر هوية تابع لجهة خارجية وكان تأكيد SAML لموفِّر الهوية (IdP) الخاص بك يتضمن السمة <AttributeStatement>، ستخزِّن Google هذه السمات حتى تنتهي صلاحية جلسة حساب المستخدم على Google. (تختلف مدة صلاحية الجلسة ويمكن للمشرف ضبط هذه المدة.) بعد انتهاء صلاحية جلسة الحساب، يتم حذف معلومات السمة نهائيًا خلال أسبوع.
مثلما هو الحال مع السمات المخصَّصة في "دليل Google Workspace"، يجب ألا تتضمّن سمات التأكيد معلومات حسّاسة تكشف عن الهويّة (PII)، مثل بيانات اعتماد الحساب أو أرقام الهوية الصادرة عن جهات حكومية وبيانات حاملي البطاقات أو بيانات الحساب المالية أو معلومات الرعاية الصحية أو المعلومات الأساسية الحسّاسة.
قد تشتمل الاستخدامات المقترَحة لسمات التأكيد على ما يلي:
- أرقام تعريف المستخدمين لأنظمة تكنولوجيا المعلومات الداخلية
- الأدوار الخاصة بالجلسة
يمكنك فقط إرسال محتوى بحجم 2 كيلوبايت كحدّ أقصى من بيانات السمات الخاصة بالتأكيدات. سيتم رفض التأكيدات التي تتجاوز الحجم الأقصى المسموح به تمامًا، كما سيتسبب ذلك في تعذُّر تسجيل الدخول.
مجموعات الأحرف المتوافقة
تعتمد مجموعة الرموز المتوافقة على ما إذا كنت تستخدم الملفات الشخصية للدخول المُوحَّد أو الملف الشخصي القديم للدخول المُوحَّد:
- الملف الشخصي القديم للدخول المُوحَّد (SSO): يجب أن تتضمّن قيم السمات أحرف ASCII صغيرة فقط (وليس أحرف Unicode/UTF-8، لأنّها غير متوافقة وستؤدي إلى تعذُّر تسجيل الدخول).
- ملفات تعريف الدخول المُوحَّد (SSO): يمكن استخدام أحرف Unicode/UTF-8.
إرجاع التأكيدات إلى خدمة ACS
تحديد المشاكل وحلّها
لتحديد المشاكل وحلّها بشأن هذه التأكيدات، يمكنك استخدام أداة فحص الشبكة. للحصول على التعليمات، يُرجى الاطّلاع على صفحة "أداة تحليل HAR" في "مجموعة أدوات وحدة تحكّم المشرف في Google".
في حال كان عليك التواصل مع فريق الدعم، يمكنك استخدام حساب اختبار قابل للتصرف فيه لأن عملية التقاط "أرشيف بروتوكول HTTP" (HAR) تحتوي على اسم المستخدم وكلمة المرور بنصٍ واضح. أو، يمكنك تعديل الملف لحذف الاتصالات الحسّاسة بين المستخدم وموفِّر الهوية (idP). يُرجى التواصل مع فريق دعم Google Workspace.
يحتوي SAMLRequest المُرسَل إلى موفِّر الهوية (IdP) على AssertionConsumerServiceURL ذي الصلة. وفي حال إرسال SAMLResponse إلى عنوان URL آخر، قد تكون هناك مشكلة متعلقة بالإعداد مع موفِّر الهوية.
استخدام العناصر والسمات: ملفات الدخول المُوحَّد الشخصية
عنصر معرّف الاسم
| الحقل | العنصر مُعرِّف الاسم في العنصر الموضوع. |
|---|---|
| الوصف |
يُحدِّد عنصر NameID الموضوع وهو عنوان البريد الإلكتروني الرئيسي للمستخدم. وهو حسّاس لحالة الأحرف. |
|
مطلوب القيمة |
user@example.com |
| مثال | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
سمة المستلم
| الحقل | سمة المستلِم في العنصر SubjectConfirmationData |
|---|---|
| الوصف |
تحدِّد سمة المستلِم (Recipient) عنوان URL لخدمة مستهلك التأكيدات الخاص بمقدّم الخدمة المستهدَف للتأكيد. |
|
مطلوب القيمة |
قيمة عنوان URL لخدمة ACS من قسم تفاصيل مقدّم الخدمة في الملف الشخصي للدخول المُوحَّد. |
| مثال | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
عنصر "الجمهور"
| الحقل | العنصر الجمهور في العنصر الرئيسي AudienceRestriction |
|---|---|
| الوصف |
الجمهور هو مرجع معرِّف الموارد المنتظم (URI) الذي يحدِّد الجمهور المستهدَف للتأكيد. |
|
مطلوب القيمة |
قيمة "رقم تعريف الجهة" من قسم تفاصيل مقدّم الخدمة في الملف الشخصي للدخول المُوحَّد. |
| مثال |
|
سمة الوجهة
| الحقل | سمة الوجهة لعنصر الرد |
|---|---|
| الوصف |
إنّ سمة الوجهة (Destination) هي مرجع معرّف الموارد المنتظم (URI) يشير إلى العنوان الذي تم إرسال هذا الردّ إليه. |
|
مطلوب القيمة |
هذه سمة اختيارية؛ وفي حال ضبطها، يجب أن تكون هي قيمة عنوان URL لخدمة ACS من قسم تفاصيل مقدّم الخدمة في الملف الشخصي لتسجيل الدخول المُوحَّد. |
| مثال | <saml:Response |
استخدام العناصر والسمات: الملف الشخصي القديم للدخول المُوحَّد (SSO)
ملاحظة: لا يمكن أن يحتوي تأكيد SAML إلا على أحرف ASCII عادية.
عنصر معرّف الاسم
| الحقل | العنصر مُعرِّف الاسم في العنصر الموضوع. |
|---|---|
| الوصف |
يُحدِّد عنصر NameID الموضوع وهو عنوان البريد الإلكتروني الرئيسي للمستخدم. وهو حسّاس لحالة الأحرف. |
|
مطلوب القيمة |
user@example.com |
| مثال | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
سمة المستلم
| الحقل | سمة المستلِم في العنصر SubjectConfirmationData |
|---|---|
| الوصف |
يُحدِّد المستلِم البيانات الإضافية المطلوبة للموضوع. من المحتمل أن يكون example.com هو النطاق الأساسي في حسابك على Google Workspace أو Cloud Identity، حتى في حال كان المستخدم الذي تتم مصادقته يستخدم نطاقًا ثانويًا في حساب Google Workspace أو Cloud Identity نفسه. |
|
مطلوب القيمة |
https://www.google.com/a/example.com/acs أو https://accounts.google.com/a/example.com/acs |
| مثال | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
عنصر "الجمهور"
| الحقل | العنصر الجمهور في العنصر الرئيسي AudienceRestriction |
|---|---|
| الوصف |
الجمهور (Audience) هو مُعرِّف الموارد المنتظم (URI) الذي يُحدِّد الجمهور المستهدف الذي يتطلب قيمة URI لخدمة ACS. من المحتمل أن يكون example.com هو النطاق الأساسي في حسابك على Google Workspace أو Cloud Identity، حتى في حال كان المستخدم الذي تتم مصادقته يستخدم نطاقًا ثانويًا في حساب Google Workspace أو Cloud Identity نفسه. لا يمكن أن تكون قيمة العنصر هذه فارغة. |
|
مطلوب القيمة |
أيٌّ مما يلي:
|
| مثال |
|
سمة الوجهة
| الحقل | سمة الوجهة لعنصر الرد |
|---|---|
| الوصف |
تُمثّل الوجهة مُعرِّف الموارد المنتظم (URI) الذي يتم إرسال تأكيد SAML إليه. هي سمة اختيارية، ولكن إذا أُعلِن عنها، ستحتاج إلى قيمة معرف الموارد المنتظم (URI) لخدمة ACS. من المحتمل أن يكون example.com هو النطاق الأساسي في حسابك على Google Workspace أو Cloud Identity، حتى في حال كان المستخدم الذي تتم مصادقته يستخدم نطاقًا ثانويًا في حساب Google Workspace أو Cloud Identity نفسه. |
|
مطلوب القيمة |
https://www.google.com/a/example.com/acs أو https://accounts.google.com/a/example.com/acs |
| مثال | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |