הדרישות לגבי הצהרות SSO

כאדמינים, אתם צריכים את הרכיבים והמאפיינים שמפורטים בטבלאות הבאות עבור הצהרות של כניסה יחידה (SSO) ב-SAML 2.0 שמוחזרות לשירות צרכן ההצהרות (ACS) של Google אחרי שספק הזהויות (IdP) אימת את המשתמש.

הנחיות לגבי מאפיינים

אם הגדרתם כניסה יחידה (SSO) באמצעות ספק זהויות (IdP) של צד שלישי וטענת ה-SAML של ספק הזהויות כוללת את התכונה <AttributeStatement>, ‏ Google תשמור את התכונות האלה עד שתוקף הסשן בחשבון Google של המשתמש יפוג. (אורך הסשן משתנה וניתן להגדרה על ידי האדמין). אחרי שפג תוקף ההפעלה בחשבון, פרטי המאפיינים נמחקים באופן סופי תוך שבוע.

בדומה למאפיינים מותאמים אישית בספרייה, מאפייני הצהרה לא צריכים לכלול פרטים אישיים מזהים (PII) רגישים, כמו פרטי חשבון, מספרי תעודות מזהות רשמיות, נתוני בעלי כרטיסים, נתונים של חשבונות פיננסיים, מידע רפואי או מידע רגיש על הרקע.

שימושים מומלצים במאפייני הצהרה:

מזהי משתמשים למערכות IT פנימיות
תפקידים ספציפיים לסשן

אפשר להעביר עד 2KB של נתוני מאפיינים בהצהרות. טענות שחורגות מהגודל המקסימלי המותר יידחו לחלוטין, ויגרמו לכניסה להיכשל.

מערכות תווים נתמכות

קבוצת התווים הנתמכת תלויה בשאלה אם אתם משתמשים בפרופילי SSO או בפרופיל SSO מדור קודם:

פרופיל SSO מדור קודם – ערכי המאפיינים צריכים להיות מחרוזות ASCII נמוכות (אין תמיכה בתווי Unicode/UTF-8, והשימוש בהם יגרום לכניסה להיכשל).
פרופילי SSO – יש תמיכה בתווי Unicode/UTF-8.

החזרת טענות ל-ACS

פתרון בעיות

כדי לפתור בעיות בהצהרות האלה, אפשר להשתמש בכלי לבדיקת רשת. הוראות מפורטות זמינות במאמר HAR Analyzer מארגז הכלים של Google Admin.

אם אתם צריכים לפנות לתמיכה, השתמשו בחשבון בדיקה זמני כי קובץ ה-HTTP Archive (HAR) מכיל את שם המשתמש והסיסמה בטקסט רגיל. אפשר גם לערוך את הקובץ כדי למחוק אינטראקציות רגישות בין המשתמש לבין ספק הזהויות. פנו לתמיכה של Google Workspace.

ה-SAMLRequest שנשלח ל-IdP שלכם מכיל את ה-AssertionConsumerServiceURL הרלוונטי. אם ה-SAMLResponse נשלח לכתובת URL אחרת, יכול להיות שיש בעיה בהגדרת ה-IdP.

שימוש ברכיבים ובמאפיינים – פרופילי SSO

רכיב מזהה שם

שדה	רכיב NameID ברכיב Subject.
תיאור	התג NameID מזהה את הנושא, שהוא כתובת האימייל הראשית של המשתמש. הוא תלוי אותיות רישיות.
חובה ערך	user@example.com
דוגמה	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

מאפיין נמען

שדה	מאפיין הנמען ברכיב SubjectConfirmationData
תיאור	הנמען מציין את כתובת ה-URL של Assertion Consumer Service של ספק השירות שאליו מיועדת ההצהרה.
חובה ערך	הערך של כתובת ה-URL של ACS מהקטע 'פרטי ספק השירות (SP)' בפרופיל ה-SSO.
דוגמה	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://accounts.google.com/samlrp/0abc123/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

רכיב הקהל

שדה	אלמנט Audience באלמנט האב AudienceRestriction
תיאור	קהל הוא הפניה ל-URI שמזהה את הקהל המיועד של הטענה.
חובה ערך	הערך של מזהה היישות מהקטע 'פרטי ספק השירות (SP)' בפרופיל ה-SSO.
דוגמה	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://accounts.google.com/samlrp/0abc123 </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

מאפיין היעד

שדה	מאפיין היעד של רכיב התגובה
תיאור	‫Destination הוא הפניה ל-URI שמציינת את הכתובת שאליה נשלחה התגובה הזו.
חובה ערך	זהו מאפיין אופציונלי. אם הוא מוגדר, הוא צריך להיות ערך כתובת האתר של ACS מהקטע של פרטי ספק השירות בפרופיל הכניסה היחידה.
דוגמה	`<saml:Response Destination="https://accounts.google.com/samlrp/0abc123/acs" ID="resp-53450fcf-d45e-420f-9246-262e165563cb" InResponseTo="_cc1ca69615a0e8719426e7a250557c5b"> IssueInstant="2024-10-04T20:17:38.726Z" Version="2.0"> ... </saml:Response>`

שימוש ברכיבים ובמאפיינים – פרופיל SSO מדור קודם

הערה: הצהרת ה-SAML יכולה להכיל רק תווים סטנדרטיים של ASCII.