Sebagai administrator, Anda memerlukan elemen dan atribut yang tercantum dalam tabel berikut untuk pernyataan SSO SAML 2.0 yang dikirimkan ke Google Assertion Consumer Service (ACS) setelah penyedia identitas (IdP) mengautentikasi pengguna.
Panduan untuk atribut
Jika Anda telah menyiapkan SSO melalui Penyedia Identitas pihak ketiga dan pernyataan SAML IdP Anda menyertakan <AttributeStatement>, Google akan menyimpan atribut ini hingga sesi Akun Google pengguna tersebut berakhir. (Durasi sesi bervariasi dan dapat dikonfigurasi oleh administrator.) Setelah sesi akun berakhir, informasi atribut akan dihapus permanen dalam waktu satu minggu.
Seperti halnya atribut khusus di Direktori, atribut pernyataan tidak boleh menyertakan informasi identitas pribadi (PII) yang bersifat sensitif, seperti kredensial akun, nomor tanda pengenal yang dikeluarkan pemerintah, data pemegang kartu, data rekening keuangan, informasi layanan kesehatan, atau informasi latar belakang pribadi yang sensitif.
Penggunaan yang direkomendasikan untuk atribut pernyataan mencakup:
- ID Pengguna untuk sistem IT internal
- Peran spesifik per sesi
Anda hanya dapat meneruskan maksimum 2 kB data atribut dalam pernyataan. Pernyataan yang melebihi ukuran maksimum yang diizinkan akan ditolak sama sekali, dan menyebabkan proses login gagal.
Himpunan karakter yang didukung
Himpunan karakter yang didukung bergantung pada apakah Anda menggunakan profil SSO atau profil SSO lama:
- Profil SSO lama—Nilai atribut harus berupa string low-ASCII (karakter Unicode/UTF-8 tidak didukung dan akan menyebabkan login gagal).
- Profil SSO—Karakter Unicode/UTF-8 didukung.
Mengirim pernyataan ke ACS
Memecahkan masalah
Untuk memecahkan masalah terkait pernyataan ini, gunakan pemeriksa jaringan. Untuk mengetahui petunjuknya, lihat halaman Penganalisis HAR Toolbox Google Admin.
Jika Anda perlu menghubungi dukungan, gunakan akun pengujian sekali pakai karena rekaman Arsip HTTP (HAR) berisi nama pengguna dan sandi dalam teks yang jelas. Anda juga dapat mengedit file untuk menghapus interaksi sensitif antara pengguna dan IdP. Hubungi dukungan Google Workspace.
SAMLRequest yang dikirim ke IdP berisi AssertionConsumerServiceURL yang relevan. Jika SAMLResponse dikirim ke URL lain, mungkin terdapat masalah konfigurasi pada IdP Anda.
Menggunakan elemen dan atribut—profil SSO
Elemen Name ID
| Kolom | Elemen NameID di elemen Subject. |
|---|---|
| Deskripsi |
NameID mengidentifikasi subjek yang merupakan alamat email utama pengguna. ID ini peka huruf besar/kecil. |
|
Wajib Nilai |
user@example.com |
| Contoh | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atribut penerima
| Kolom | Atribut Recipient di elemen SubjectConfirmationData |
|---|---|
| Deskripsi |
Recipient menentukan URL layanan konsumen pernyataan dari penyedia layanan yang menjadi tujuan pernyataan tersebut. |
|
Wajib Nilai |
Nilai URL ACS dari bagian detail penyedia layanan (SP) di profil SSO. |
| Contoh | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemen audiens
| Kolom | Elemen Audience di elemen induk AudienceRestriction |
|---|---|
| Deskripsi |
Audience adalah referensi URI yang mengidentifikasi audiens yang dimaksud dari pernyataan. |
|
Wajib Nilai |
Nilai ID Entitas dari bagian detail penyedia layanan (SP) di profil SSO. |
| Contoh |
|
Atribut tujuan
| Kolom | Atribut Destination di elemen Response |
|---|---|
| Deskripsi |
Destination adalah referensi URI yang menunjukkan alamat tujuan pengiriman respons ini. |
|
Wajib Nilai |
Ini adalah atribut opsional; jika ditetapkan, nilainya harus berupa nilai URL ACS dari bagian detail penyedia layanan (SP) di profil SSO. |
| Contoh | <saml:Response |
Menggunakan elemen dan atribut—profil SSO lama
Catatan: Pernyataan SAML hanya dapat berisi karakter ASCII standar.
Elemen Name ID
| Kolom | Elemen NameID di elemen Subject. |
|---|---|
| Deskripsi |
NameID mengidentifikasi subjek yang merupakan alamat email utama pengguna. ID ini peka huruf besar/kecil. |
|
Wajib Nilai |
user@example.com |
| Contoh | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atribut penerima
| Kolom | Atribut Recipient di elemen SubjectConfirmationData |
|---|---|
| Deskripsi |
Recipient menentukan data tambahan yang diperlukan untuk subjek. example.com mungkin adalah domain primer akun Google Workspace atau Cloud Identity Anda, meskipun pengguna yang diautentikasi menggunakan domain sekunder di akun Google Workspace atau Cloud Identity yang sama. |
|
Wajib Nilai |
https://www.google.com/a/example.com/acs atau https://accounts.google.com/a/example.com/acs |
| Contoh | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemen audiens
| Kolom | Elemen Audience di elemen induk AudienceRestriction |
|---|---|
| Deskripsi |
Audience adalah Uniform Resource Identifier (URI) yang mengidentifikasi audiens yang dimaksud yang memerlukan nilai URI ACS. example.com mungkin adalah domain primer akun Google Workspace atau Cloud Identity Anda, meskipun pengguna yang diautentikasi menggunakan domain sekunder di akun Google Workspace atau Cloud Identity yang sama. Nilai elemen ini tidak boleh kosong. |
|
Wajib Nilai |
Salah satu dari hal berikut:
|
| Contoh |
|
Atribut tujuan
| Kolom | Atribut Destination di elemen Response |
|---|---|
| Deskripsi |
Destination adalah URI yang menjadi tujuan pengiriman pernyataan SAML. Ini adalah atribut opsional, tetapi jika dideklarasikan, atribut akan memerlukan nilai URI ACS. example.com mungkin adalah domain primer akun Google Workspace atau Cloud Identity Anda, meskipun pengguna yang diautentikasi menggunakan domain sekunder di akun Google Workspace atau Cloud Identity yang sama. |
|
Wajib Nilai |
https://www.google.com/a/example.com/acs atau https://accounts.google.com/a/example.com/acs |
| Contoh | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |