Persyaratan pernyataan SSO

Sebagai administrator, Anda memerlukan elemen dan atribut yang tercantum dalam tabel berikut untuk pernyataan SSO SAML 2.0 yang dikirimkan ke Google Assertion Consumer Service (ACS) setelah penyedia identitas (IdP) mengautentikasi pengguna.

Panduan untuk atribut

Jika Anda telah menyiapkan SSO melalui Penyedia Identitas pihak ketiga dan pernyataan SAML IdP Anda menyertakan <AttributeStatement>, Google akan menyimpan atribut ini hingga sesi Akun Google pengguna tersebut berakhir. (Durasi sesi bervariasi dan dapat dikonfigurasi oleh administrator.) Setelah sesi akun berakhir, informasi atribut akan dihapus permanen dalam waktu satu minggu.

Seperti halnya atribut khusus di Direktori, atribut pernyataan tidak boleh menyertakan informasi identitas pribadi (PII) yang bersifat sensitif, seperti kredensial akun, nomor tanda pengenal yang dikeluarkan pemerintah, data pemegang kartu, data rekening keuangan, informasi layanan kesehatan, atau informasi latar belakang pribadi yang sensitif.

Penggunaan yang direkomendasikan untuk atribut pernyataan mencakup:

  • ID Pengguna untuk sistem IT internal
  • Peran spesifik per sesi

Anda hanya dapat meneruskan maksimum 2 kB data atribut dalam pernyataan. Pernyataan yang melebihi ukuran maksimum yang diizinkan akan ditolak sama sekali, dan menyebabkan proses login gagal.

Himpunan karakter yang didukung

Himpunan karakter yang didukung bergantung pada apakah Anda menggunakan profil SSO atau profil SSO lama:

  • Profil SSO lama—Nilai atribut harus berupa string low-ASCII (karakter Unicode/UTF-8 tidak didukung dan akan menyebabkan login gagal).
  • Profil SSO—Karakter Unicode/UTF-8 didukung.

Mengirim pernyataan ke ACS

Memecahkan masalah

Untuk memecahkan masalah terkait pernyataan ini, gunakan pemeriksa jaringan. Untuk mengetahui petunjuknya, lihat halaman Penganalisis HAR Toolbox Google Admin.

Jika Anda perlu menghubungi dukungan, gunakan akun pengujian sekali pakai karena rekaman Arsip HTTP (HAR) berisi nama pengguna dan sandi dalam teks yang jelas. Anda juga dapat mengedit file untuk menghapus interaksi sensitif antara pengguna dan IdP. Hubungi dukungan Google Workspace.

SAMLRequest yang dikirim ke IdP berisi AssertionConsumerServiceURL yang relevan. Jika SAMLResponse dikirim ke URL lain, mungkin terdapat masalah konfigurasi pada IdP Anda.

Menggunakan elemen dan atribut—profil SSO

Elemen Name ID

Kolom Elemen NameID di elemen Subject.
 
Deskripsi

NameID mengidentifikasi subjek yang merupakan alamat email utama pengguna.

ID ini peka huruf besar/kecil.

Wajib

Nilai

user@example.com
Contoh <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

Atribut penerima

Kolom Atribut Recipient di elemen SubjectConfirmationData
Deskripsi

Recipient menentukan URL layanan konsumen pernyataan dari penyedia layanan yang menjadi tujuan pernyataan tersebut.

Wajib

Nilai

Nilai URL ACS dari bagian detail penyedia layanan (SP) di profil SSO.

Contoh <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://accounts.google.com/samlrp/0abc123/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

Elemen audiens

Kolom Elemen Audience di elemen induk AudienceRestriction
Deskripsi

Audience adalah referensi URI yang mengidentifikasi audiens yang dimaksud dari pernyataan.

Wajib

Nilai

Nilai ID Entitas dari bagian detail penyedia layanan (SP) di profil SSO.

Contoh

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://accounts.google.com/samlrp/0abc123
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Atribut tujuan

Kolom Atribut Destination di elemen Response
Deskripsi

Destination adalah referensi URI yang menunjukkan alamat tujuan pengiriman respons ini.

Wajib

Nilai

Ini adalah atribut opsional; jika ditetapkan, nilainya harus berupa nilai URL ACS dari bagian detail penyedia layanan (SP) di profil SSO.
Contoh <saml:Response
Destination="https://accounts.google.com/samlrp/0abc123/acs"
ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
IssueInstant="2024-10-04T20:17:38.726Z"
Version="2.0">
...
</saml:Response>

Menggunakan elemen dan atribut—profil SSO lama

Catatan: Pernyataan SAML hanya dapat berisi karakter ASCII standar.

Elemen Name ID

Kolom Elemen NameID di elemen Subject.
 
Deskripsi

NameID mengidentifikasi subjek yang merupakan alamat email utama pengguna.

ID ini peka huruf besar/kecil.

Wajib

Nilai

user@example.com
Contoh <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

Atribut penerima

Kolom Atribut Recipient di elemen SubjectConfirmationData
Deskripsi

Recipient menentukan data tambahan yang diperlukan untuk subjek.

example.com mungkin adalah domain primer akun Google Workspace atau Cloud Identity Anda, meskipun pengguna yang diautentikasi menggunakan domain sekunder di akun Google Workspace atau Cloud Identity yang sama.

Wajib

Nilai

https://www.google.com/a/example.com/acs

atau

https://accounts.google.com/a/example.com/acs

Contoh <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

Elemen audiens

Kolom Elemen Audience di elemen induk AudienceRestriction
Deskripsi

Audience adalah Uniform Resource Identifier (URI) yang mengidentifikasi audiens yang dimaksud yang memerlukan nilai URI ACS.

example.com mungkin adalah domain primer akun Google Workspace atau Cloud Identity Anda, meskipun pengguna yang diautentikasi menggunakan domain sekunder di akun Google Workspace atau Cloud Identity yang sama.

Nilai elemen ini tidak boleh kosong.

Wajib

Nilai

Salah satu dari hal berikut:

  • google.com
  • google.com/a/<your domain> (jika Anda mencentang "Gunakan penerbit khusus domain" di konfigurasi profil SSO lama.)
Contoh

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>google.com/a/example.com</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Atribut tujuan

Kolom Atribut Destination di elemen Response
Deskripsi

Destination adalah URI yang menjadi tujuan pengiriman pernyataan SAML.

Ini adalah atribut opsional, tetapi jika dideklarasikan, atribut akan memerlukan nilai URI ACS.

example.com mungkin adalah domain primer akun Google Workspace atau Cloud Identity Anda, meskipun pengguna yang diautentikasi menggunakan domain sekunder di akun Google Workspace atau Cloud Identity yang sama.

Wajib

Nilai

https://www.google.com/a/example.com/acs

atau

https://accounts.google.com/a/example.com/acs

Contoh <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">