الزامات ادعای SSO

به عنوان مدیر، شما به عناصر و ویژگی‌های فهرست‌شده در جداول زیر برای ادعاهای SAML 2.0 SSO که پس از احراز هویت کاربر توسط ارائه‌دهنده هویت (IdP) به سرویس مصرف‌کننده ادعای گوگل (ACS) بازگردانده می‌شوند، نیاز دارید.

راهنمایی برای ویژگی‌ها

اگر SSO را از طریق یک ارائه‌دهنده هویت شخص ثالث راه‌اندازی کرده‌اید و ادعای SAML مربوط به IdP شما شامل یک <AttributeStatement> باشد، گوگل این ویژگی‌ها را تا زمان انقضای جلسه حساب گوگل کاربر ذخیره می‌کند. (طول جلسه متفاوت است و توسط مدیر قابل تنظیم است.) پس از انقضای جلسه حساب، اطلاعات ویژگی ظرف یک هفته به طور دائم حذف می‌شود.

همانند ویژگی‌های سفارشی در دایرکتوری، ویژگی‌های ادعا نباید شامل اطلاعات حساس شناسایی شخصی (PII) مانند اعتبارنامه‌های حساب، شماره‌های شناسایی دولتی، داده‌های دارنده کارت، داده‌های حساب مالی، اطلاعات مراقبت‌های بهداشتی یا اطلاعات حساس پیشینه باشند.

کاربردهای توصیه‌شده برای ویژگی‌های assertion شامل موارد زیر است:

  • شناسه‌های کاربری برای سیستم‌های فناوری اطلاعات داخلی
  • نقش‌های مختص جلسه

شما فقط می‌توانید حداکثر ۲ کیلوبایت داده‌ی ویژگی را در assertionهای خود ارسال کنید. assertionهایی که از حداکثر اندازه‌ی مجاز تجاوز کنند، به‌طور کامل رد می‌شوند و باعث می‌شوند ورود به سیستم با شکست مواجه شود.

مجموعه کاراکترهای پشتیبانی شده

مجموعه کاراکترهای پشتیبانی شده بستگی به این دارد که آیا از پروفایل‌های SSO استفاده می‌کنید یا از پروفایل SSO قدیمی:

  • پروفایل SSO قدیمی — مقادیر ویژگی‌ها باید رشته‌های با ASCII پایین باشند (کاراکترهای Unicode/UTF-8 پشتیبانی نمی‌شوند و باعث می‌شوند ورود به سیستم با شکست مواجه شود).
  • پروفایل‌های SSO - کاراکترهای Unicode/UTF-8 پشتیبانی می‌شوند.

اظهارات را به ACS برگردانید

عیب‌یابی مشکلات

برای عیب‌یابی مشکلات مربوط به این ادعاها، از بازرس شبکه استفاده کنید. برای دستورالعمل‌ها، به صفحه تحلیلگر HAR جعبه ابزار مدیریت گوگل مراجعه کنید.

اگر نیاز به تماس با پشتیبانی دارید، از یک حساب آزمایشی یکبار مصرف استفاده کنید زیرا فایل HTTP Archive (HAR) شامل نام کاربری و رمز عبور به صورت متن ساده است. یا فایل را ویرایش کنید تا تعاملات حساس بین کاربر و IdP حذف شود. با پشتیبانی Google Workspace تماس بگیرید.

درخواست SAML ارسال شده به IdP شما حاوی آدرس اینترنتی AssertionConsumerServiceURL مربوطه است. اگر SAMLResponse شما به آدرس اینترنتی دیگری ارسال شود، ممکن است مشکلی در پیکربندی IdP شما وجود داشته باشد.

استفاده از عناصر و ویژگی‌ها—پروفایل‌های SSO

عنصر شناسه نام

میدان عنصر NameID در عنصر Subject .
توضیحات

NameID موضوع ایمیل را که آدرس ایمیل اصلی کاربر است، مشخص می‌کند.

به حروف کوچک و بزرگ حساس است.

مورد نیاز

ارزش

کاربر@example.com
مثال <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com
</saml:NameID>

ویژگی گیرنده

میدان ویژگی گیرنده در عنصر SubjectConfirmationData
توضیحات

گیرنده، آدرس اینترنتی سرویس مصرف‌کننده‌ی ادعا (assertion consumer service URL) ارائه‌دهنده‌ی خدماتی که ادعا برای آن در نظر گرفته شده است را مشخص می‌کند.

مورد نیاز

ارزش

مقدار URL مربوط به ACS از بخش جزئیات ارائه‌دهنده خدمات (SP) در پروفایل SSO.

مثال <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://accounts.google.com/samlrp/0abc123/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

عنصر مخاطب

میدان عنصر Audience در عنصر والد AudienceRestriction
توضیحات

مخاطب یک مرجع URI است که مخاطب مورد نظر برای ادعا را مشخص می‌کند.

مورد نیاز

ارزش

مقدار شناسه موجودیت از بخش جزئیات ارائه‌دهنده خدمات (SP) در پروفایل SSO.

مثال

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://accounts.google.com/samlrp/0abc123
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

ویژگی مقصد

میدان ویژگی مقصد عنصر پاسخ
توضیحات

مقصد یک مرجع URI است که نشان دهنده آدرسی است که این پاسخ به آن ارسال شده است.

مورد نیاز

ارزش

این یک ویژگی اختیاری است؛ اگر تنظیم شود، باید مقدار URL مربوط به ACS از بخش جزئیات ارائه‌دهنده خدمات (SP) در پروفایل SSO باشد.
مثال <saml:Response
Destination="https://accounts.google.com/samlrp/0abc123/acs"
ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
IssueInstant="2024-10-04T20:17:38.726Z"
Version="2.0">
...
</saml:Response>

استفاده از عناصر و ویژگی‌ها - پروفایل SSO قدیمی

توجه: عبارت SAML فقط می‌تواند شامل کاراکترهای استاندارد ASCII باشد.

عنصر شناسه نام

میدان عنصر NameID در عنصر Subject .
توضیحات

NameID موضوع ایمیل را که آدرس ایمیل اصلی کاربر است، مشخص می‌کند.

به حروف کوچک و بزرگ حساس است.

مورد نیاز

ارزش

کاربر@example.com
مثال <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com
</saml:NameID>

ویژگی گیرنده

میدان ویژگی گیرنده در عنصر SubjectConfirmationData
توضیحات

گیرنده داده‌های اضافی مورد نیاز برای موضوع را مشخص می‌کند.

example.com احتمالاً دامنه اصلی حساب Google Workspace یا Cloud Identity شماست، حتی اگر کاربری که احراز هویت می‌شود از یک دامنه ثانویه در همان حساب Google Workspace یا Cloud Identity استفاده کند.

مورد نیاز

ارزش

https://www.google.com/a/ example.com /acs

یا

https://accounts.google.com/a/ example.com /acs

مثال <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

عنصر مخاطب

میدان عنصر Audience در عنصر والد AudienceRestriction
توضیحات

مخاطب، شناسه منبع یکسان (URI) است که مخاطب مورد نظر را که به مقدار ACS URI نیاز دارد، شناسایی می‌کند.

example.com احتمالاً دامنه اصلی حساب Google Workspace یا Cloud Identity شماست، حتی اگر کاربری که احراز هویت می‌شود از یک دامنه ثانویه در همان حساب Google Workspace یا Cloud Identity استفاده کند.

مقدار این عنصر نمی‌تواند خالی باشد.

مورد نیاز

ارزش

هر یک از موارد زیر:

  • گوگل
  • google.com/a/ <دامنه شما> (اگر در پیکربندی نمایه SSO قدیمی خود، گزینه «استفاده از صادرکننده خاص دامنه» را علامت زده باشید.)
مثال

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>google.com/a/example.com</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

ویژگی مقصد

میدان ویژگی مقصد عنصر پاسخ
توضیحات

مقصد ، آدرس اینترنتی (URI) است که ادعای SAML به آنجا ارسال می‌شود.

این یک ویژگی اختیاری است، اما اگر تعریف شود، به مقداری از ACS URI نیاز خواهد داشت.

example.com احتمالاً دامنه اصلی حساب Google Workspace یا Cloud Identity شماست، حتی اگر کاربری که احراز هویت می‌شود از یک دامنه ثانویه در همان حساب Google Workspace یا Cloud Identity استفاده کند.

مورد نیاز

ارزش

https://www.google.com/a/ example.com /acs

یا

https://accounts.google.com/a/ example.com /acs

مثال <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/ example.com /acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">