Como administrador, você precisa dos elementos e atributos listados nas tabelas a seguir nas declarações de SSO de SAML 2.0 retornadas ao serviço de declaração de consumidor (ACS, na sigla em inglês) do Google depois que o provedor de identidade (IdP) autentica o usuário.
Orientação para atributos
Se você configurou o SSO usando um provedor de identidade de terceiros e a declaração SAML do IdP incluir um <AttributeStatement>, o Google armazenará esses atributos até a sessão da Conta do Google do usuário expirar. (A duração da sessão varia e pode ser configurada pelo administrador.) Depois que a sessão da conta expira, as informações do atributo são excluídas permanentemente em uma semana.
Assim como os atributos personalizados no diretório, os atributos de declaração não podem incluir informações de identificação pessoal (PII), como credenciais de conta, números de identificação governamentais, dados do titular do cartão, dados financeiros da conta, informações sobre saúde ou informações prévias confidenciais.
Os usos recomendados para atributos de declaração incluem:
- IDs de usuários para sistemas internos de TI
- Papéis específicos das sessões
Só é possível transmitir no máximo 2 KB de dados do atributo nas suas declarações. As declarações que excedem o tamanho máximo permitido são totalmente rejeitadas, causando falha no login.
Conjuntos de caracteres aceitos
O conjunto de caracteres compatível depende se você está usando perfis de SSO ou o perfil de SSO legado:
- Perfil de SSO legado: os valores dos atributos precisam ser strings ASCII baixas. Os caracteres Unicode/UTF-8 não são compatíveis e vão causar falhas no login.
- Perfis de SSO: são aceitos caracteres Unicode/UTF-8.
Retornar declarações ao ACS
Resolver problemas
Para resolver problemas com essas declarações, use o inspetor de rede. Confira instruções na página do HAR Analyzer do Google Admin Toolbox.
Se precisar entrar em contato com o suporte, use uma conta de teste descartável, porque a captura em HTTP Archive (HAR, na sigla em inglês) contém o nome de usuário e a senha em texto não criptografado. Ou edite o arquivo para excluir as interações confidenciais entre o usuário e o IdP. Entre em contato com o suporte do Google Workspace.
A consulta SAMLRequest enviada para o IdP contém o AssertionConsumerServiceURL relevante. Se ela for enviada para outro URL, poderá haver um problema de configuração no IdP.
Usar elementos e atributos: perfis de SSO
Elemento "Name ID"
| Campo | Elemento NameID no elemento Subject. |
|---|---|
| Descrição |
O elemento NameID identifica a entidade, que é o endereço de e-mail principal do usuário. Ele diferencia maiúsculas de minúsculas. |
|
Obrigatório Valor |
user@example.com |
| Exemplo | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atributo do destinatário
| Campo | Atributo Recipient no elemento SubjectConfirmationData |
|---|---|
| Descrição |
Destinatário especifica o URL do serviço de consumidor da declaração do provedor de serviços para o qual a declaração se destina. |
|
Obrigatório Valor |
O valor do URL do ACS na seção de detalhes do provedor de serviços (SP) do perfil de SSO. |
| Exemplo | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento de público-alvo
| Campo | Elemento Audience no elemento pai AudienceRestriction |
|---|---|
| Descrição |
Audience é uma referência de URI que identifica o público-alvo pretendido da declaração. |
|
Obrigatório Valor |
O valor do ID da entidade na seção de detalhes do provedor de serviços (SP) do perfil de SSO. |
| Exemplo |
|
Atributo de destino
| Campo | Atributo Destination do elemento Response |
|---|---|
| Descrição |
Destination é uma referência de URI que indica o endereço para onde a resposta foi enviada. |
|
Obrigatório Valor |
Esse é um atributo opcional. Se ele for definido, será o valor do URL do ACS na seção de detalhes do provedor de serviços (SP) do perfil do SSO. |
| Exemplo | <saml:Response |
Usar elementos e atributos: perfil SSO legado
Observação:a declaração SAML pode conter apenas caracteres ASCII padrão.
Elemento "Name ID"
| Campo | Elemento NameID no elemento Subject. |
|---|---|
| Descrição |
O elemento NameID identifica a entidade, que é o endereço de e-mail principal do usuário. Ele diferencia maiúsculas de minúsculas. |
|
Obrigatório Valor |
user@example.com |
| Exemplo | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atributo do destinatário
| Campo | Atributo Recipient no elemento SubjectConfirmationData |
|---|---|
| Descrição |
O atributo Recipient especifica dados adicionais da entidade. O domínio principal da sua conta do Google Workspace ou do Cloud Identity provavelmente é example.com, mesmo que o usuário que está sendo autenticado use um domínio secundário na mesma conta. |
|
Obrigatório Valor |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
| Exemplo | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento de público-alvo
| Campo | Elemento Audience no elemento pai AudienceRestriction |
|---|---|
| Descrição |
Audience é o identificador de recurso uniforme (URI) do público-alvo pretendido que requer o valor do URI do ACS. O domínio principal da sua conta do Google Workspace ou do Cloud Identity provavelmente é example.com, mesmo que o usuário que está sendo autenticado use um domínio secundário na mesma conta. O valor desse elemento não pode ficar vazio. |
|
Obrigatório Valor |
Um dos seguintes:
|
| Exemplo |
|
Atributo de destino
| Campo | Atributo Destination do elemento Response |
|---|---|
| Descrição |
Destination é o URI de onde a declaração de SAML está sendo enviada. Ele é um atributo opcional, mas, caso seja declarado, precisará de um valor de URI do ACS. O domínio principal da sua conta do Google Workspace ou do Cloud Identity provavelmente é example.com, mesmo que o usuário que está sendo autenticado use um domínio secundário na mesma conta. |
|
Obrigatório Valor |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
| Exemplo | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |