Jako administrator potrzebujesz elementów i atrybutów wymienionych w poniższych tabelach do obsługi potwierdzeń logowania jednokrotnego opartego na protokole SAML 2.0, które są zwracane do usługi Google ACS po uwierzytelnieniu użytkownika przez dostawcę tożsamości.
Wskazówki dotyczące atrybutów
Jeśli masz skonfigurowane logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości, a potwierdzenie dostawcy tożsamości SAML obejmuje <AttributeStatement>, Google będzie przechowywać te atrybuty do momentu, aż sesja konta użytkownika Google wygaśnie. (Długość sesji może być różna i może ją skonfigurować administrator). Po wygaśnięciu sesji konta informacje o atrybutach zostaną trwale usunięte w ciągu tygodnia.
Tak jak w przypadku atrybutów niestandardowych w katalogu, atrybuty potwierdzenia nie powinny zawierać informacji poufnych umożliwiających identyfikację, takich jak dane logowania do kont, numery dokumentów tożsamości, dane posiadacza karty płatniczej, dane rachunków bankowych, informacje o stanie zdrowia czy inne poufne informacje o danej osobie.
Zalecane zastosowania atrybutów potwierdzenia to:
- identyfikatory użytkowników w przypadku wewnętrznych systemów informatycznych,
- role związane z sesją.
W przypadku potwierdzeń możesz przesłać maksymalnie 2 KB danych atrybutów. Potwierdzenia, które przekraczają maksymalny dozwolony rozmiar, będą całkowicie odrzucane. Proces logowania się nie powiedzie.
Obsługiwane zestawy znaków
Obsługiwany zestaw znaków zależy od tego, czy używasz profili SSO czy starszego profilu SSO:
- Starsza wersja profilu SSO – wartości atrybutów muszą być ciągami znaków w standardzie ASCII o niskiej wartości (znaki w standardzie Unicode/UTF-8 nie są obsługiwane i spowodują niepowodzenie logowania).
- Profile SSO – znaki w standardzie Unicode/UTF-8 są obsługiwane.
Zwracanie potwierdzeń do ACS
Rozwiązywanie problemów
Aby rozwiązać problemy z tymi potwierdzeniami, użyj analizatora sieci. Instrukcje znajdziesz na stronie Analizatora plików HAR z Zestawu narzędzi Google Admin.
Jeśli chcesz skontaktować się z zespołem pomocy, użyj jednorazowego konta testowego, ponieważ przechwytywanie w formacie HAR (archiwum HTTP) obejmuje nazwę użytkownika i hasło w postaci zwykłego tekstu. Możesz też edytować plik, aby usunąć poufne interakcje między użytkownikiem a dostawcą tożsamości. Skontaktuj się z zespołem pomocy Google Workspace.
Parametr SAMLRequest wysłany do dostawcy tożsamości zawiera odpowiednią wartość AssertionConsumerServiceURL. Jeśli parametr SAMLResponse jest wysyłany na inny adres URL, może to oznaczać, że konfiguracja dostawcy tożsamości jest nieprawidłowa.
Używanie elementów i atrybutów – profile SSO
Element NameID
| Pole | Element NameID elementu Subject. |
|---|---|
| Opis |
Element NameID określa podmiot, którym jest podstawowy adres e-mail użytkownika. Wielkość liter jest rozróżniana. |
|
Wymagane Wartość |
user@example.com |
| Przykład | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atrybut odbiorcy
| Pole | Atrybut Recipient elementu SubjectConfirmationData |
|---|---|
| Opis |
Atrybut Recipient określa URL usługi konsumenta potwierdzenia dostawcy usług, dla którego jest przeznaczone potwierdzenie. |
|
Wymagane Wartość |
Wartość adresu URL usługi ACS z sekcji informacji o dostawcy usługi w profilu SSO. |
| Przykład | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Element Audience
| Pole | Element Audience elementu nadrzędnego AudienceRestriction |
|---|---|
| Opis |
Audience to odwołanie URI, które określa docelowych odbiorców potwierdzenia. |
|
Wymagane Wartość |
Wartość identyfikatora jednostki z sekcji Informacje o dostawcy usługi w profilu logowania jednokrotnego. |
| Przykład |
|
Atrybut Destination
| Pole | Atrybut Destination elementu Response |
|---|---|
| Opis |
Atrybut Destination to odwołanie do identyfikatora URI wskazujące adres, na który została wysłana ta odpowiedź. |
|
Wymagane Wartość |
Jest to atrybut opcjonalny. Jeśli jest ustawiony, powinien zawierać wartość adresu URL usługi ACS z sekcji Informacje o dostawcy usługi w profilu logowania jednokrotnego. |
| Przykład | <saml:Response |
Używanie elementów i atrybutów – starszy profil SSO
Uwaga: potwierdzenie SAML może zawierać tylko standardowe znaki ASCII.
Element NameID
| Pole | Element NameID elementu Subject. |
|---|---|
| Opis |
Element NameID określa podmiot, którym jest podstawowy adres e-mail użytkownika. Wielkość liter jest rozróżniana. |
|
Wymagane Wartość |
user@example.com |
| Przykład | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atrybut odbiorcy
| Pole | Atrybut Recipient elementu SubjectConfirmationData |
|---|---|
| Opis |
Atrybut Recipient określa dodatkowe dane, których wymaga podmiot. example.com to prawdopodobnie domena podstawowa Twojego konta Google Workspace lub Cloud Identity, nawet jeśli uwierzytelniany użytkownik korzysta z domeny dodatkowej na tym samym koncie Google Workspace lub Cloud Identity. |
|
Wymagane Wartość |
https://www.google.com/a/example.com/acs lub https://accounts.google.com/a/example.com/acs |
| Przykład | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Element Audience
| Pole | Element Audience elementu nadrzędnego AudienceRestriction |
|---|---|
| Opis |
Audience to identyfikator URI określający odbiorców docelowych, u których jest wymagana wartość identyfikatora URI ACS. example.com to prawdopodobnie domena podstawowa Twojego konta Google Workspace lub Cloud Identity, nawet jeśli uwierzytelniany użytkownik korzysta z domeny dodatkowej na tym samym koncie Google Workspace lub Cloud Identity. Wartość tego elementu nie może być pusta. |
|
Wymagane Wartość |
Jeden z poniższych:
|
| Przykład |
|
Atrybut Destination
| Pole | Atrybut Destination elementu Response |
|---|---|
| Opis |
Atrybut Destination to identyfikator URI wskazujący, dokąd jest wysyłane potwierdzenie SAML. Jest to atrybut opcjonalny, ale w przypadku jego określenia wymagana jest wartość identyfikatora URI ACS. example.com to prawdopodobnie domena podstawowa Twojego konta Google Workspace lub Cloud Identity, nawet jeśli uwierzytelniany użytkownik korzysta z domeny dodatkowej na tym samym koncie Google Workspace lub Cloud Identity. |
|
Wymagane Wartość |
https://www.google.com/a/example.com/acs lub https://accounts.google.com/a/example.com/acs |
| Przykład | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |