Als beheerder hebt u de elementen en attributen nodig die in de volgende tabellen worden vermeld voor SAML 2.0 SSO-asserties die worden teruggestuurd naar de Google Assertion Consumer Service (ACS) nadat de identiteitsprovider (IdP) de gebruiker heeft geverifieerd.
Richtlijnen voor attributen
Als u SSO hebt ingesteld via een externe identiteitsprovider en de SAML-assertie van uw IdP een <AttributeStatement> bevat, bewaart Google deze attributen totdat de Google-accountsessie van de gebruiker verloopt. (De sessieduur varieert en kan door de beheerder worden geconfigureerd.) Nadat de accountsessie is verlopen, worden de attribuutgegevens binnen een week permanent verwijderd.
Net als bij aangepaste attributen in Directory, mogen beweringattributen geen gevoelige persoonsgegevens bevatten, zoals accountgegevens, overheidsidentificatienummers, kaartgegevens, financiële rekeninggegevens, medische gegevens of gevoelige achtergrondinformatie.
Aanbevolen toepassingen voor beweringattributen zijn onder andere:
- Gebruikers-ID's voor interne IT-systemen
- Sessiespecifieke rollen
Je kunt maximaal 2 kB aan attribuutgegevens in je beweringen doorgeven. Beweringen die de maximaal toegestane grootte overschrijden, worden volledig afgewezen en leiden tot een mislukte aanmelding.
Ondersteunde tekensets
De ondersteunde tekenset is afhankelijk van of u SSO-profielen of het oude SSO-profiel gebruikt:
- Legacy SSO-profiel — Attribuutwaarden moeten low-ASCII-tekenreeksen zijn (Unicode/UTF-8-tekens worden niet ondersteund en zullen ervoor zorgen dat de aanmelding mislukt).
- SSO-profielen — Unicode/UTF-8-tekens worden ondersteund.
Stuur beweringen terug naar de ACS.
Problemen oplossen
Om problemen met deze beweringen op te lossen, gebruikt u de netwerkinspecteur. Zie de pagina HAR Analyzer van Google Admin Toolbox voor instructies.
Als je contact moet opnemen met de supportafdeling, gebruik dan een tijdelijk testaccount, omdat de HTTP Archive (HAR)-capture de gebruikersnaam en het wachtwoord in platte tekst bevat. Je kunt het bestand ook bewerken om gevoelige interacties tussen de gebruiker en de IdP te verwijderen. Neem contact op met de supportafdeling van Google Workspace .
Het SAMLRequest dat naar uw IdP wordt verzonden, bevat de relevante AssertionConsumerServiceURL. Als uw SAMLResponse naar een andere URL wordt verzonden, kan er een configuratieprobleem zijn met uw IdP.
Gebruik elementen en attributen—SSO-profielen
Naam ID-element
| Veld | Het NameID- element in het Subject- element. |
|---|---|
| Beschrijving | NameID identificeert het onderwerp, oftewel het primaire e-mailadres van de gebruiker. Het is hoofdlettergevoelig. |
Vereist Waarde | gebruiker@example.com |
| Voorbeeld | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
Ontvangerkenmerk
| Veld | Ontvangerkenmerk in het SubjectConfirmationData -element |
|---|---|
| Beschrijving | De ontvanger specificeert de URL van de serviceprovider waarvoor de bewering bedoeld is. |
Vereist Waarde | De ACS-URL-waarde is te vinden in het gedeelte met serviceprovidergegevens (SP) van het SSO-profiel. |
| Voorbeeld | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Publiekselement
| Veld | Het element 'Audience' in het bovenliggende element 'AudienceRestriction'. |
|---|---|
| Beschrijving | Een 'audience' is een URI-referentie die de beoogde doelgroep van de bewering identificeert. |
Vereist Waarde | De entiteits-ID-waarde uit het gedeelte met serviceprovidergegevens (SP) van het SSO-profiel. |
| Voorbeeld | |
Bestemmingskenmerk
| Veld | Bestemmingskenmerk van het Response- element |
|---|---|
| Beschrijving | De bestemming is een URI-referentie die het adres aangeeft waarnaar dit antwoord is verzonden. |
Vereist Waarde | Dit is een optioneel attribuut; indien ingesteld, dient het de ACS-URL-waarde te zijn uit het gedeelte met serviceprovidergegevens (SP) van het SSO-profiel. |
| Voorbeeld | <saml:Response |
Gebruik elementen en attributen – verouderd SSO-profiel
Let op: de SAML-assertie mag alleen standaard ASCII- tekens bevatten.
Naam ID-element
| Veld | Het NameID- element in het Subject- element. |
|---|---|
| Beschrijving | NameID identificeert het onderwerp, oftewel het primaire e-mailadres van de gebruiker. Het is hoofdlettergevoelig. |
Vereist Waarde | gebruiker@example.com |
| Voorbeeld | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
Ontvangerkenmerk
| Veld | Ontvangerkenmerk in het SubjectConfirmationData -element |
|---|---|
| Beschrijving | De ontvanger specificeert aanvullende gegevens die voor de betreffende persoon nodig zijn. example.com is waarschijnlijk het primaire domein van uw Google Workspace- of Cloud Identity-account, zelfs als de gebruiker die wordt geverifieerd een secundair domein gebruikt in hetzelfde Google Workspace- of Cloud Identity-account. |
Vereist Waarde | https://www.google.com/a/example.com/acs of https://accounts.google.com/a/example.com/acs |
| Voorbeeld | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Publiekselement
| Veld | Het element 'Audience' in het bovenliggende element 'AudienceRestriction'. |
|---|---|
| Beschrijving | Het woord 'audience' is de Uniform Resource Identifier (URI) die de beoogde doelgroep identificeert en die de waarde van de ACS URI vereist. example.com is waarschijnlijk het primaire domein van uw Google Workspace- of Cloud Identity-account, zelfs als de gebruiker die wordt geverifieerd een secundair domein gebruikt in hetzelfde Google Workspace- of Cloud Identity-account. De waarde van dit element mag niet leeg zijn. |
Vereist Waarde | Een van de volgende opties:
|
| Voorbeeld | |
Bestemmingskenmerk
| Veld | Bestemmingskenmerk van het Response- element |
|---|---|
| Beschrijving | De bestemming is de URI waarnaar de SAML-assertie wordt verzonden. Het is een optioneel attribuut, maar als het wordt gedeclareerd, moet het de ACS URI als waarde hebben. example.com is waarschijnlijk het primaire domein van uw Google Workspace- of Cloud Identity-account, zelfs als de gebruiker die wordt geverifieerd een secundair domein gebruikt in hetzelfde Google Workspace- of Cloud Identity-account. |
Vereist Waarde | https://www.google.com/a/example.com/acs of https://accounts.google.com/a/example.com/acs |
| Voorbeeld | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |