Como administrador, necesitas los elementos y atributos que se enumeran en las siguientes tablas para las aserciones de SSO de SAML 2.0 que se devuelven al Servicio de consumidor de aserciones (ACS) de Google después de que el proveedor de identidad (IdP) autentica al usuario.
Orientación sobre los atributos
Si configuraste el SSO a través de un proveedor de identidad externo y la aserción SAML de tu IdP incluye un <AttributeStatement>, Google almacenará estos atributos hasta que venza la sesión de la Cuenta de Google del usuario. (La duración de la sesión varía y el administrador puede configurarla). Una vez que vence la sesión de la cuenta, la información de los atributos se borra de forma permanente en el plazo de una semana.
Al igual que con los atributos personalizados en el directorio, los atributos de aserción no deben incluir información de identificación personal (PII) sensible, como credenciales de cuentas, números de identificación gubernamentales, datos de titulares de tarjetas, datos de cuentas financieras, información de atención médica ni información sensible de antecedentes.
Entre los usos recomendados para los atributos de aserción, se incluyen los siguientes:
- IDs de usuario para sistemas de TI internos
- Roles específicos de la sesión
Solo puedes pasar un máximo de 2 kB de datos de atributos en tus aserciones. Las aserciones que superen el tamaño máximo permitido se rechazarán por completo y provocarán que falle el acceso.
Conjuntos de caracteres admitidos
El conjunto de caracteres admitidos depende de si usas perfiles de SSO o el perfil de SSO heredado:
- Perfil de SSO heredado: Los valores de los atributos deben ser cadenas ASCII bajas (no se admiten los caracteres Unicode/UTF-8 y provocarán un error en el acceso).
- Perfiles de SSO: Se admiten caracteres Unicode/UTF-8.
Devuelve aserciones al ACS
Solución de problemas
Para solucionar problemas relacionados con estas aserciones, usa el inspector de red. Para obtener instrucciones, consulta la página de HAR Analyzer de la Caja de herramientas para administradores de Google.
Si necesitas comunicarte con el equipo de asistencia, usa una cuenta de prueba desechable, ya que la captura del archivo HTTP (HAR) contiene el nombre de usuario y la contraseña en texto sin formato. También puedes editar el archivo para borrar las interacciones sensibles entre el usuario y el IdP. Comunícate con el equipo de asistencia de Google Workspace.
El SAMLRequest que se envía a tu IdP contiene el AssertionConsumerServiceURL pertinente. Si tu SAMLResponse se envía a otra URL, es posible que haya un problema de configuración con tu IdP.
Usa elementos y atributos: perfiles de SSO
Elemento ID de nombre
| Campo | Elemento NameID en el elemento Subject |
|---|---|
| Descripción |
NameID identifica al sujeto, que es la dirección de correo electrónico principal del usuario. Distingue mayúsculas de minúsculas. |
|
Obligatorio Valor |
user@example.com |
| Ejemplo | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atributo del destinatario
| Campo | Atributo Recipient en el elemento SubjectConfirmationData |
|---|---|
| Descripción |
Recipient especifica la URL del servicio de confirmación de aserciones del proveedor de servicios para el que se destina la aserción. |
|
Obligatorio Valor |
Es el valor de la URL de ACS de la sección de detalles del proveedor de servicios (SP) del perfil de SSO. |
| Ejemplo | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento de público
| Campo | Elemento Audience en el elemento principal AudienceRestriction |
|---|---|
| Descripción |
Público es una referencia de URI que identifica el público previsto de la aserción. |
|
Obligatorio Valor |
Es el valor del ID de entidad de la sección de detalles del proveedor de servicios (SP) del perfil de SSO. |
| Ejemplo |
|
Atributo de destino
| Campo | Atributo Destination del elemento Response |
|---|---|
| Descripción |
Destino es una referencia a un URI que indica la dirección a la que se envió esta respuesta. |
|
Obligatorio Valor |
Este es un atributo opcional. Si se configura, debe ser el valor de la URL del ACS de la sección de detalles del proveedor de servicios (SP) del perfil de SSO. |
| Ejemplo | <saml:Response |
Usa elementos y atributos: perfil de SSO heredado
Nota: La aserción SAML solo puede contener caracteres ASCII estándar.
Elemento ID de nombre
| Campo | Elemento NameID en el elemento Subject |
|---|---|
| Descripción |
NameID identifica al sujeto, que es la dirección de correo electrónico principal del usuario. Distingue mayúsculas de minúsculas. |
|
Obligatorio Valor |
user@example.com |
| Ejemplo | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atributo del destinatario
| Campo | Atributo Recipient en el elemento SubjectConfirmationData |
|---|---|
| Descripción |
Recipient especifica datos adicionales requeridos para el asunto. example.com probablemente sea el dominio principal de tu cuenta de Google Workspace o Cloud Identity, incluso si el usuario que se autentica usa un dominio secundario en la misma cuenta de Google Workspace o Cloud Identity. |
|
Obligatorio Valor |
https://www.google.com/a/example.com/acs o https://accounts.google.com/a/example.com/acs |
| Ejemplo | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento de público
| Campo | Elemento Audience en el elemento principal AudienceRestriction |
|---|---|
| Descripción |
Público es el identificador de recursos uniforme (URI) que identifica el público objetivo que requiere el valor del URI de ACS. example.com probablemente sea el dominio principal de tu cuenta de Google Workspace o Cloud Identity, incluso si el usuario que se autentica usa un dominio secundario en la misma cuenta de Google Workspace o Cloud Identity. El valor de este elemento no puede estar vacío. |
|
Obligatorio Valor |
Cualquiera de las siguientes opciones:
|
| Ejemplo |
|
Atributo de destino
| Campo | Atributo Destination del elemento Response |
|---|---|
| Descripción |
Destino es el URI al que se envía la aserción de SAML. Es un atributo opcional, pero, si se declara, necesitará un valor del URI de ACS. example.com probablemente sea el dominio principal de tu cuenta de Google Workspace o Cloud Identity, incluso si el usuario que se autentica usa un dominio secundario en la misma cuenta de Google Workspace o Cloud Identity. |
|
Obligatorio Valor |
https://www.google.com/a/example.com/acs o https://accounts.google.com/a/example.com/acs |
| Ejemplo | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |