به عنوان مدیر، شما به عناصر و ویژگیهای فهرستشده در جداول زیر برای ادعاهای SAML 2.0 SSO که پس از احراز هویت کاربر توسط ارائهدهنده هویت (IdP) به سرویس مصرفکننده ادعای گوگل (ACS) بازگردانده میشوند، نیاز دارید.
راهنمایی برای ویژگیها
اگر SSO را از طریق یک ارائهدهنده هویت شخص ثالث راهاندازی کردهاید و ادعای SAML مربوط به IdP شما شامل یک <AttributeStatement> باشد، گوگل این ویژگیها را تا زمان انقضای جلسه حساب گوگل کاربر ذخیره میکند. (طول جلسه متفاوت است و توسط مدیر قابل تنظیم است.) پس از انقضای جلسه حساب، اطلاعات ویژگی ظرف یک هفته به طور دائم حذف میشود.
همانند ویژگیهای سفارشی در دایرکتوری، ویژگیهای ادعا نباید شامل اطلاعات حساس شناسایی شخصی (PII) مانند اعتبارنامههای حساب، شمارههای شناسایی دولتی، دادههای دارنده کارت، دادههای حساب مالی، اطلاعات مراقبتهای بهداشتی یا اطلاعات حساس پیشینه باشند.
کاربردهای توصیهشده برای ویژگیهای assertion شامل موارد زیر است:
- شناسههای کاربری برای سیستمهای فناوری اطلاعات داخلی
- نقشهای مختص جلسه
شما فقط میتوانید حداکثر ۲ کیلوبایت دادهی ویژگی را در assertionهای خود ارسال کنید. assertionهایی که از حداکثر اندازهی مجاز تجاوز کنند، بهطور کامل رد میشوند و باعث میشوند ورود به سیستم با شکست مواجه شود.
مجموعه کاراکترهای پشتیبانی شده
مجموعه کاراکترهای پشتیبانی شده بستگی به این دارد که آیا از پروفایلهای SSO استفاده میکنید یا از پروفایل SSO قدیمی:
- پروفایل SSO قدیمی — مقادیر ویژگیها باید رشتههای با ASCII پایین باشند (کاراکترهای Unicode/UTF-8 پشتیبانی نمیشوند و باعث میشوند ورود به سیستم با شکست مواجه شود).
- پروفایلهای SSO - کاراکترهای Unicode/UTF-8 پشتیبانی میشوند.
اظهارات را به ACS برگردانید
عیبیابی مشکلات
برای عیبیابی مشکلات مربوط به این ادعاها، از بازرس شبکه استفاده کنید. برای دستورالعملها، به صفحه تحلیلگر HAR جعبه ابزار مدیریت گوگل مراجعه کنید.
اگر نیاز به تماس با پشتیبانی دارید، از یک حساب آزمایشی یکبار مصرف استفاده کنید زیرا فایل HTTP Archive (HAR) شامل نام کاربری و رمز عبور به صورت متن ساده است. یا فایل را ویرایش کنید تا تعاملات حساس بین کاربر و IdP حذف شود. با پشتیبانی Google Workspace تماس بگیرید.
درخواست SAML ارسال شده به IdP شما حاوی آدرس اینترنتی AssertionConsumerServiceURL مربوطه است. اگر SAMLResponse شما به آدرس اینترنتی دیگری ارسال شود، ممکن است مشکلی در پیکربندی IdP شما وجود داشته باشد.
استفاده از عناصر و ویژگیها—پروفایلهای SSO
عنصر شناسه نام
| میدان | عنصر NameID در عنصر Subject . |
|---|---|
| توضیحات | NameID موضوع ایمیل را که آدرس ایمیل اصلی کاربر است، مشخص میکند. به حروف کوچک و بزرگ حساس است. |
مورد نیاز ارزش | کاربر@example.com |
| مثال | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
ویژگی گیرنده
| میدان | ویژگی گیرنده در عنصر SubjectConfirmationData |
|---|---|
| توضیحات | گیرنده، آدرس اینترنتی سرویس مصرفکنندهی ادعا (assertion consumer service URL) ارائهدهندهی خدماتی که ادعا برای آن در نظر گرفته شده است را مشخص میکند. |
مورد نیاز ارزش | مقدار URL مربوط به ACS از بخش جزئیات ارائهدهنده خدمات (SP) در پروفایل SSO. |
| مثال | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
عنصر مخاطب
| میدان | عنصر Audience در عنصر والد AudienceRestriction |
|---|---|
| توضیحات | مخاطب یک مرجع URI است که مخاطب مورد نظر برای ادعا را مشخص میکند. |
مورد نیاز ارزش | مقدار شناسه موجودیت از بخش جزئیات ارائهدهنده خدمات (SP) در پروفایل SSO. |
| مثال | |
ویژگی مقصد
| میدان | ویژگی مقصد عنصر پاسخ |
|---|---|
| توضیحات | مقصد یک مرجع URI است که نشان دهنده آدرسی است که این پاسخ به آن ارسال شده است. |
مورد نیاز ارزش | این یک ویژگی اختیاری است؛ اگر تنظیم شود، باید مقدار URL مربوط به ACS از بخش جزئیات ارائهدهنده خدمات (SP) در پروفایل SSO باشد. |
| مثال | <saml:Response |
استفاده از عناصر و ویژگیها - پروفایل SSO قدیمی
توجه: عبارت SAML فقط میتواند شامل کاراکترهای استاندارد ASCII باشد.
عنصر شناسه نام
| میدان | عنصر NameID در عنصر Subject . |
|---|---|
| توضیحات | NameID موضوع ایمیل را که آدرس ایمیل اصلی کاربر است، مشخص میکند. به حروف کوچک و بزرگ حساس است. |
مورد نیاز ارزش | کاربر@example.com |
| مثال | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
ویژگی گیرنده
| میدان | ویژگی گیرنده در عنصر SubjectConfirmationData |
|---|---|
| توضیحات | گیرنده دادههای اضافی مورد نیاز برای موضوع را مشخص میکند. example.com احتمالاً دامنه اصلی حساب Google Workspace یا Cloud Identity شماست، حتی اگر کاربری که احراز هویت میشود از یک دامنه ثانویه در همان حساب Google Workspace یا Cloud Identity استفاده کند. |
مورد نیاز ارزش | https://www.google.com/a/ example.com /acs یا https://accounts.google.com/a/ example.com /acs |
| مثال | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
عنصر مخاطب
| میدان | عنصر Audience در عنصر والد AudienceRestriction |
|---|---|
| توضیحات | مخاطب، شناسه منبع یکسان (URI) است که مخاطب مورد نظر را که به مقدار ACS URI نیاز دارد، شناسایی میکند. example.com احتمالاً دامنه اصلی حساب Google Workspace یا Cloud Identity شماست، حتی اگر کاربری که احراز هویت میشود از یک دامنه ثانویه در همان حساب Google Workspace یا Cloud Identity استفاده کند. مقدار این عنصر نمیتواند خالی باشد. |
مورد نیاز ارزش | هر یک از موارد زیر:
|
| مثال | |
ویژگی مقصد
| میدان | ویژگی مقصد عنصر پاسخ |
|---|---|
| توضیحات | مقصد ، آدرس اینترنتی (URI) است که ادعای SAML به آنجا ارسال میشود. این یک ویژگی اختیاری است، اما اگر تعریف شود، به مقداری از ACS URI نیاز خواهد داشت. example.com احتمالاً دامنه اصلی حساب Google Workspace یا Cloud Identity شماست، حتی اگر کاربری که احراز هویت میشود از یک دامنه ثانویه در همان حساب Google Workspace یا Cloud Identity استفاده کند. |
مورد نیاز ارزش | https://www.google.com/a/ example.com /acs یا https://accounts.google.com/a/ example.com /acs |
| مثال | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |