En tant qu'administrateur, vous avez besoin des éléments et attributs répertoriés dans les tableaux ci-dessous. Ils sont obligatoires pour toute assertion SSO SAML 2.0 renvoyée au service ACS de Google (Assertion Consumer Service) après que le fournisseur d'identité (IdP) a authentifié l'utilisateur.
Conseils concernant les attributs
Si vous avez configuré l'authentification unique via un fournisseur d'identité (IdP) tiers et que l'assertion SAML de votre IdP inclut un élément <AttributeStatement>, Google stockera ces attributs jusqu'à l'expiration de la session du compte Google de l'utilisateur. (La durée de la session varie et peut être configurée par l'administrateur.) Une fois la session du compte arrivée à expiration, les informations sur les attributs sont définitivement supprimées dans un délai d'une semaine.
Comme pour les attributs personnalisés dans l'annuaire, les attributs d'assertion ne doivent pas inclure d'informations personnelles sensibles telles que les identifiants de comptes, les numéros de carte d'identité nationale, les informations sur les titulaires de cartes, les données comptables, les informations de santé ou les informations concernant des parcours personnels.
Exemples d'utilisation recommandée des attributs d'assertion :
- ID utilisateur des systèmes informatiques internes
- Rôles propres aux sessions
Vous ne pouvez pas transmettre plus de 2 ko de données d'attribut dans vos assertions. Les assertions qui dépassent la taille maximale autorisée seront refusées et entraîneront l'échec de la connexion.
Jeux de caractères compatibles
Le jeu de caractères accepté varie selon que vous utilisez des profils SSO ou l'ancien profil SSO :
- Ancien profil SSO : les valeurs des attributs doivent être des chaînes ASCII à valeur basse (les caractères Unicode/UTF-8 ne sont pas acceptés et entraîneront l'échec de la connexion).
- Profils SSO : les caractères Unicode/UTF-8 sont acceptés.
Transmettre les assertions au service ACS
Résoudre les problèmes
Pour résoudre les problèmes liés à ces assertions, utilisez l'outil d'inspection de réseau. Pour obtenir des instructions, consultez la page de l'outil d'analyse HAR de Google Admin Toolbox.
Si vous devez contacter l'assistance, utilisez un compte de test temporaire. En effet, la capture de l'archive HTTP (HAR) contient le nom d'utilisateur et le mot de passe en texte clair. Vous pouvez également modifier le fichier pour supprimer les interactions sensibles entre l'utilisateur et le fournisseur d'identité. Contactez l'assistance Google Workspace.
La requête SAML envoyée à votre fournisseur d'identité contient l'URL ACS pertinente. Si votre réponse SAML est envoyée à une autre URL, il est probable qu'il y ait un problème de configuration lié à votre fournisseur d'identité.
Utiliser des éléments et des attributs (profils SSO)
Élément NameID
| Champ | Élément NameID dans l'élément Subject |
|---|---|
| Description |
NameID identifie l'élément "Subject" (Sujet) correspondant à l'adresse e-mail principale de l'utilisateur. Ce champ est sensible à la casse. |
|
Obligatoire Valeur |
user@example.com |
| Exemple | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Attribut du destinataire
| Champ | Attribut Recipient dans l'élément SubjectConfirmationData |
|---|---|
| Description |
Recipient (Destinataire) indique l'URL ACS (Assertion Consumer Service) du fournisseur de services auquel l'assertion est destinée. |
|
Obligatoire Valeur |
Valeur de l'URL ACS dans la section "Détails relatifs au fournisseur de services (SP)" du profil SSO. |
| Exemple | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Élément "Audience"
| Champ | Élément Audience dans l'élément parent AudienceRestriction |
|---|---|
| Description |
Audience est une référence à un URI identifiant l'audience visée de l'assertion. |
|
Obligatoire Valeur |
Valeur de l'ID d'entité dans la section "Détails relatifs au fournisseur de services (SP)" du profil SSO. |
| Exemple |
|
Attribut de destination
| Champ | Attribut Destination de l'élément Response (Réponse) |
|---|---|
| Description |
Destination est une référence à un URI indiquant l'adresse à laquelle cette réponse a été envoyée. |
|
Obligatoire Valeur |
Il s'agit d'un attribut facultatif. S'il est défini, il doit correspondre à la valeur de l'URL ACS figurant dans la section "Détails relatifs au fournisseur de services (SP)" du profil SSO. |
| Exemple | <saml:Response |
Utiliser des éléments et des attributs (ancien profil SSO)
Remarque : L'assertion SAML ne peut contenir que des caractères ASCII standards.
Élément NameID
| Champ | Élément NameID dans l'élément Subject |
|---|---|
| Description |
NameID identifie l'élément "Subject" (Sujet) correspondant à l'adresse e-mail principale de l'utilisateur. Ce champ est sensible à la casse. |
|
Obligatoire Valeur |
user@example.com |
| Exemple | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Attribut du destinataire
| Champ | Attribut Recipient dans l'élément SubjectConfirmationData |
|---|---|
| Description |
Recipient indique les données supplémentaires requises pour l'élément "Subject". example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity. |
|
Obligatoire Valeur |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
| Exemple | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Élément "Audience"
| Champ | Élément Audience dans l'élément parent AudienceRestriction |
|---|---|
| Description |
Audience est l'URI (Uniform Resource Identifier) identifiant l'audience visée. Elle nécessite comme valeur l'URI ACS. example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity. Vous devez obligatoirement saisir une valeur pour cet élément. |
|
Obligatoire Valeur |
Au choix :
|
| Exemple |
|
Attribut de destination
| Champ | Attribut Destination de l'élément Response (Réponse) |
|---|---|
| Description |
Destination est l'URI de la destination à laquelle l'assertion SAML est envoyée. Il s'agit d'un attribut facultatif, mais, s'il est déclaré, il requiert comme valeur l'URI ACS. example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity. |
|
Obligatoire Valeur |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
| Exemple | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |