Как администратор, вам необходимы элементы и атрибуты, перечисленные в следующих таблицах, для утверждений SAML 2.0 SSO, возвращаемых в службу обработки утверждений Google (ACS) после аутентификации пользователя поставщиком идентификации (IdP).
Руководство по атрибутам
Если вы настроили единый вход (SSO) через стороннего поставщика идентификации , и утверждение SAML вашего поставщика идентификации включает в себя <AttributeStatement> , Google будет хранить эти атрибуты до истечения срока действия сессии учетной записи Google пользователя. (Длительность сессии варьируется и настраивается администратором.) После истечения срока действия сессии информация об атрибутах безвозвратно удаляется в течение недели.
Как и в случае с пользовательскими атрибутами в Directory, атрибуты утверждений не должны содержать конфиденциальную личную информацию, такую как учетные данные, номера государственных удостоверений личности, данные держателей карт, данные финансовых счетов, информация о состоянии здоровья или конфиденциальная информация о прошлом.
Рекомендуемые варианты использования атрибутов утверждений включают:
- Идентификаторы пользователей для внутренних ИТ-систем
- Роли, специфичные для сессии
В утверждениях можно передавать не более 2 КБ данных атрибутов. Утверждения, превышающие максимально допустимый размер, будут отклонены, что приведет к сбою входа в систему.
Поддерживаемые наборы символов
Поддерживаемый набор символов зависит от того, используете ли вы профили единого входа (SSO) или устаревший профиль SSO:
- Устаревший профиль SSO — значения атрибутов должны быть строками в формате ASCII (символы Unicode/UTF-8 не поддерживаются и приведут к сбою входа в систему).
- Профили SSO — поддерживаются символы Unicode/UTF-8.
Возвращать утверждения в ACS
Устранение неполадок
Для устранения неполадок, связанных с этими утверждениями, используйте сетевой инспектор. Инструкции см. на странице HAR Analyzer в Google Admin Toolbox .
Если вам необходимо связаться со службой поддержки, используйте временную тестовую учетную запись, поскольку в архиве HTTP (HAR) имя пользователя и пароль хранятся в открытом виде. Или отредактируйте файл, удалив конфиденциальные данные о взаимодействии пользователя с поставщиком идентификации. Обратитесь в службу поддержки Google Workspace .
Запрос SAMLRequest, отправленный вашему поставщику идентификации (IdP), содержит соответствующий AssertionConsumerServiceURL. Если ваш ответ SAMLResponse отправляется на другой URL, возможно, возникла проблема с конфигурацией вашего IdP.
Использование элементов и атрибутов — профили единого входа (SSO).
Элемент идентификатора имени
| Поле | Элемент NameID в элементе Subject . |
|---|---|
| Описание | NameID идентифицирует субъект, то есть основной адрес электронной почты пользователя. Регистр имеет значение. |
Необходимый Ценить | user@example.com |
| Пример | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
Атрибут получателя
| Поле | Атрибут получателя в элементе SubjectConfirmationData |
|---|---|
| Описание | В поле «Получатель» указывается URL-адрес службы обработки утверждений поставщика услуг, для которого предназначено утверждение. |
Необходимый Ценить | Значение URL-адреса ACS из раздела сведений о поставщике услуг (SP) профиля SSO. |
| Пример | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Элемент аудитории
| Поле | Элемент Audience находится в родительском элементе AudienceRestriction. |
|---|---|
| Описание | «Аудитория» — это URI-ссылка, определяющая целевую аудиторию утверждения. |
Необходимый Ценить | Значение идентификатора сущности из раздела сведений о поставщике услуг (SP) профиля SSO. |
| Пример | |
Атрибут назначения
| Поле | Атрибут назначения элемента Response |
|---|---|
| Описание | В поле Destination указан URI-адрес, на который был отправлен данный ответ. |
Необходимый Ценить | Это необязательный атрибут; если он задан, то должен соответствовать значению URL-адреса ACS из раздела сведений о поставщике услуг (SP) профиля SSO. |
| Пример | <saml:Response |
Использование элементов и атрибутов — устаревший профиль единого входа (SSO)
Примечание: утверждение SAML может содержать только стандартные символы ASCII .
Элемент идентификатора имени
| Поле | Элемент NameID в элементе Subject . |
|---|---|
| Описание | NameID идентифицирует субъект, то есть основной адрес электронной почты пользователя. Регистр имеет значение. |
Необходимый Ценить | user@example.com |
| Пример | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
Атрибут получателя
| Поле | Атрибут получателя в элементе SubjectConfirmationData |
|---|---|
| Описание | Получатель указывает дополнительные данные, необходимые для данного субъекта. Вероятно, example.com является основным доменом вашей учетной записи Google Workspace или Cloud Identity, даже если пользователь, проходящий аутентификацию, использует дополнительный домен в той же учетной записи Google Workspace или Cloud Identity. |
Необходимый Ценить | https://www.google.com/a/example.com/acs или https://accounts.google.com/a/example.com/acs |
| Пример | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Элемент аудитории
| Поле | Элемент Audience находится в родительском элементе AudienceRestriction. |
|---|---|
| Описание | Аудитория — это унифицированный идентификатор ресурса (URI), который определяет целевую аудиторию, для которой требуется значение URI ACS. Вероятно, example.com является основным доменом вашей учетной записи Google Workspace или Cloud Identity, даже если пользователь, проходящий аутентификацию, использует дополнительный домен в той же учетной записи Google Workspace или Cloud Identity. Значение этого элемента не может быть пустым. |
Необходимый Ценить | Один из следующих вариантов:
|
| Пример | |
Атрибут назначения
| Поле | Атрибут назначения элемента Response |
|---|---|
| Описание | В поле «Назначение» указан URI, куда отправляется утверждение SAML. Это необязательный атрибут, но если он указан, ему потребуется значение URI ACS. Вероятно, example.com является основным доменом вашей учетной записи Google Workspace или Cloud Identity, даже если пользователь, проходящий аутентификацию, использует дополнительный домен в той же учетной записи Google Workspace или Cloud Identity. |
Необходимый Ценить | https://www.google.com/a/example.com/acs или https://accounts.google.com/a/example.com/acs |
| Пример | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |