Per gli amministratori è necessario che gli elementi e gli attributi elencati nelle seguenti tabelle per le asserzioni SSO SAML 2.0 vengano restituiti al servizio Assertion Consumer Service (ACS) di Google dopo che l'utente è stato autenticato dal provider di identità (IdP).
Indicazioni per gli attributi
Se hai configurato il servizio SSO tramite un provider di identità di terze parti e l'asserzione SAML del tuo IdP include un elemento <AttributeStatement>, Google archivierà questi attributi fino alla scadenza della sessione dell'Account Google dell'utente. La durata della sessione varia e può essere configurata dall'amministratore. Una volta scaduta la sessione dell'account, le informazioni sugli attributi verranno eliminate definitivamente entro una settimana.
Come per gli attributi personalizzati nella directory, gli attributi delle dichiarazioni non devono includere informazioni sensibili che consentono l'identificazione personale (PII), come credenziali dell'account, numeri di carte d'identità, dati di titolari delle carte, dati finanziari, dati sanitari o informazioni di carattere generale riservate.
Gli utilizzi consigliati per gli attributi delle asserzioni includono:
- ID utente per sistemi IT interni
- Ruoli specifici della sessione
Nelle tue asserzioni puoi passare solo un massimo di 2 kB di dati degli attributi. Le asserzioni che superano la dimensione massima consentita verranno rifiutate completamente e l'accesso non andrà a buon fine.
Set di caratteri supportati
Il set di caratteri supportato dipende dal fatto che tu stia utilizzando i profili SSO o il profilo SSO legacy:
- Profilo SSO legacy: i valori degli attributi devono essere stringhe con caratteri ASCII minuscoli (i caratteri Unicode/UTF-8 non sono supportati e l'accesso non andrà a buon fine).
- Profili SSO: i caratteri Unicode/UTF-8 sono supportati.
Restituire le asserzioni al servizio ACS
Risoluzione dei problemi
Per risolvere i problemi relativi alle suddette asserzioni, utilizza lo strumento di controllo della rete. Per le istruzioni, consulta la pagina Strumento di analisi HAR di Strumenti amministrativi Google.
Se devi contattare l'assistenza, utilizza un account di prova eliminabile perché l'acquisizione HTTP Archive (HAR) contiene il nome utente e la password in chiaro. In alternativa, modifica il file per eliminare le interazioni sensibili tra l'utente e l'IdP. Contatta l'assistenza Google Workspace.
Il parametro SAMLRequest inviato al tuo IdP contiene l'attributo AssertionConsumerServiceURL pertinente. Se il parametro SAMLResponse viene inviato a un altro URL, ciò potrebbe indicare la presenza di un problema di configurazione del tuo IdP.
Utilizzare elementi e attributi: profili SSO
Elemento ID nome
| Campo | Elemento NameID nell'elemento Subject. |
|---|---|
| Descrizione |
NameID identifica l'elemento Subject, che corrisponde all'indirizzo email principale dell'utente. Fa distinzione tra maiuscole e minuscole. |
|
Obbligatorio Valore |
user@example.com |
| Esempio | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Attributo Destinatario
| Campo | Attributo Recipient nell'elemento SubjectConfirmationData |
|---|---|
| Descrizione |
Recipient specifica l'URL del servizio di consumo delle attestazioni del fornitore di servizi a cui è destinata l'attestazione. |
|
Obbligatorio Valore |
Il valore dell'URL ACS dalla sezione dei dettagli del fornitore di servizi (SP) del profilo SSO. |
| Esempio | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento Pubblico
| Campo | Elemento Audience nell'elemento principale AudienceRestriction |
|---|---|
| Descrizione |
Audience è un riferimento URI che identifica il pubblico di destinazione dell'asserzione. |
|
Obbligatorio Valore |
Il valore dell'ID entità dalla sezione dei dettagli del fornitore di servizi (SP) del profilo SSO. |
| Esempio |
|
Attributo Destinazione
| Campo | Attributo Destination dell'elemento Response |
|---|---|
| Descrizione |
Destination è un riferimento URI che indica l'indirizzo a cui è stata inviata questa risposta. |
|
Obbligatorio Valore |
Si tratta di un attributo facoltativo; se è impostato, deve essere il valore dell'URL ACS dalla sezione dei dettagli del fornitore di servizi (SP) del profilo SSO. |
| Esempio | <saml:Response |
Utilizzare elementi e attributi: profilo SSO legacy
Nota: l'asserzione SAML può contenere solo caratteri ASCII standard.
Elemento ID nome
| Campo | Elemento NameID nell'elemento Subject. |
|---|---|
| Descrizione |
NameID identifica l'elemento Subject, che corrisponde all'indirizzo email principale dell'utente. Fa distinzione tra maiuscole e minuscole. |
|
Obbligatorio Valore |
user@example.com |
| Esempio | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Attributo Destinatario
| Campo | Attributo Recipient nell'elemento SubjectConfirmationData |
|---|---|
| Descrizione |
Recipient specifica i dati aggiuntivi richiesti per l'elemento Subject. example.com corrisponde probabilmente al dominio principale del tuo account Google Workspace o Cloud Identity, anche se l'utente in fase di autenticazione utilizza un dominio secondario che appartiene allo stesso account Google Workspace o Cloud Identity. |
|
Obbligatorio Valore |
https://www.google.com/a/example.com/acs o https://accounts.google.com/a/example.com/acs |
| Esempio | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento Pubblico
| Campo | Elemento Audience nell'elemento principale AudienceRestriction |
|---|---|
| Descrizione |
Audience è l'URI (Uniform Resource Identifier) che identifica il pubblico previsto e che richiede il valore dell'URI dell'ACS. example.com corrisponde probabilmente al dominio principale del tuo account Google Workspace o Cloud Identity, anche se l'utente in fase di autenticazione utilizza un dominio secondario che appartiene allo stesso account Google Workspace o Cloud Identity. Questo valore non può essere vuoto. |
|
Obbligatorio Valore |
Uno dei seguenti:
|
| Esempio |
|
Attributo Destinazione
| Campo | Attributo Destination dell'elemento Response |
|---|---|
| Descrizione |
Destination è l'URI della destinazione dell'asserzione SAML. È un attributo opzionale; tuttavia, se viene dichiarato, è necessario specificare un valore dell'URI dell'ACS. example.com corrisponde probabilmente al dominio principale del tuo account Google Workspace o Cloud Identity, anche se l'utente in fase di autenticazione utilizza un dominio secondario che appartiene allo stesso account Google Workspace o Cloud Identity. |
|
Obbligatorio Valore |
https://www.google.com/a/example.com/acs o https://accounts.google.com/a/example.com/acs |
| Esempio | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |