ข้อกำหนดในการยืนยันสิทธิ์ SSO

ในฐานะผู้ดูแลระบบ คุณต้องมีองค์ประกอบและแอททริบิวที่ปรากฏในตารางต่อไปนี้สำหรับการยืนยันสิทธิ์ SAML 2.0 SSO ที่ส่งไปยัง Google Assertion Consumer Service (ACS) หลังจากที่ผู้ให้บริการข้อมูลประจำตัว (IdP) ได้ตรวจสอบสิทธิ์ของผู้ใช้แล้ว

คำแนะนำสำหรับแอตทริบิวต์

หากคุณตั้งค่า SSO ผ่านผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม และการยืนยัน SAML ของ IdP มี <AttributeStatement> อยู่ด้วย Google จะจัดเก็บแอตทริบิวต์เหล่านี้ไว้จนกว่าเซสชันบัญชี Google ของผู้ใช้จะหมดอายุ (ความยาวเซสชันจะแตกต่างกันไปและผู้ดูแลระบบจะกำหนดค่าความยาวได้) หลังจากที่เซสชันบัญชีหมดอายุ ระบบจะลบข้อมูลแอตทริบิวต์อย่างถาวรภายใน 1 สัปดาห์

เช่นเดียวกับแอตทริบิวต์ที่กำหนดเองในไดเรกทอรี แอตทริบิวต์การยืนยันไม่ควรมีข้อมูลส่วนบุคคลที่ละเอียดอ่อนและระบุตัวบุคคลนั้นได้ (SPII) เช่น ข้อมูลเข้าสู่ระบบของบัญชี หมายเลขประจำตัวประชาชน ข้อมูลผู้ถือบัตร ข้อมูลบัญชีการเงิน ข้อมูลสุขภาพ หรือข้อมูลภูมิหลังที่มีความละเอียดอ่อน

การใช้งานที่แนะนำสำหรับแอตทริบิวต์การยืนยันมีดังนี้

  • รหัสผู้ใช้สำหรับระบบไอทีภายใน
  • บทบาทเฉพาะเซสชัน

คุณสามารถส่งข้อมูลแอตทริบิวต์ได้สูงสุด 2 KB ในการยืนยันเท่านั้น ระบบจะปฏิเสธการยืนยันที่เกินขนาดสูงสุดที่อนุญาตทั้งหมด ซึ่งทำให้การลงชื่อเข้าใช้ล้มเหลว

การเข้ารหัสข้อความที่รองรับ

การเข้ารหัสข้อความที่รองรับจะขึ้นอยู่กับว่าคุณใช้โปรไฟล์ SSO หรือโปรไฟล์ SSO เดิม

  • โปรไฟล์ SSO เดิม - ค่าแอตทริบิวต์ต้องเป็นสตริงที่มี ASCII ต่ำ (ไม่รองรับอักขระ Unicode/UTF-8 และจะทำให้การลงชื่อเข้าใช้ล้มเหลว)
  • โปรไฟล์ SSO - รองรับอักขระ Unicode/UTF-8

ส่งการยืนยันสิทธิ์ไปยัง ACS

แก้ปัญหา

หากต้องการแก้ปัญหาการยืนยันสิทธิ์เหล่านี้ ให้ใช้เครื่องมือตรวจสอบเครือข่าย โปรดดูวิธีการในหน้าเครื่องมือวิเคราะห์ HAR ของกล่องเครื่องมือของ Google Admin

หากต้องการติดต่อทีมสนับสนุน ให้ใช้บัญชีทดสอบแบบใช้ครั้งเดียวเนื่องจากการบันทึก HTTP Archive (HAR) มีชื่อผู้ใช้และรหัสผ่านในรูปแบบข้อความธรรมดา หรือแก้ไขไฟล์เพื่อลบการโต้ตอบที่ละเอียดอ่อนระหว่างผู้ใช้และ IdP ติดต่อทีมสนับสนุนของ Google Workspace

SAMLRequest ที่ส่งไปยัง IdP จะมี AssertionConsumerServiceURL ที่เกี่ยวข้อง หากระบบส่ง SAMLResponse ไปยัง URL อื่น อาจเกิดปัญหาในการกำหนดค่ากับ IdP ของคุณ

ใช้องค์ประกอบและแอตทริบิวต์ - โปรไฟล์ SSO

องค์ประกอบรหัสชื่อ

ช่อง องค์ประกอบ NameID ในองค์ประกอบ Subject
คำอธิบาย

NameID จะระบุหัวเรื่อง ซึ่งเป็นอีเมลหลักของผู้ใช้

ต้องใช้ตัวพิมพ์เล็กและใหญ่ตรงกันทุกประการ

ต้องระบุ

ค่า

 user@example.com
ตัวอย่าง <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

แอตทริบิวต์ผู้รับ

ช่อง แอตทริบิวต์ Recipient ในองค์ประกอบ SubjectConfirmationData
คำอธิบาย

ผู้รับจะระบุ URL ของ Assertion Consumer Service ของผู้ให้บริการที่ต้องการใช้การยืนยัน

ต้องระบุ

ค่า

ค่า ACS URL จากส่วนรายละเอียดของผู้ให้บริการ (SP) ของโปรไฟล์ SSO
ตัวอย่าง <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://accounts.google.com/samlrp/0abc123/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

องค์ประกอบกลุ่มเป้าหมาย

ช่อง องค์ประกอบ Audience ในองค์ประกอบระดับบนสุด AudienceRestriction
คำอธิบาย

Audience คือข้อมูลอ้างอิง URI ที่ระบุกลุ่มเป้าหมายที่ต้องการของการยืนยัน

ต้องระบุ

ค่า

ค่ารหัสเอนทิตีจากส่วนรายละเอียดของผู้ให้บริการ (SP) ของโปรไฟล์ SSO
ตัวอย่าง

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://accounts.google.com/samlrp/0abc123
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

แอตทริบิวต์ปลายทาง

ช่อง แอตทริบิวต์ Destination ขององค์ประกอบ Response
คำอธิบาย

Destination คือข้อมูลอ้างอิง URI ที่ระบุที่อยู่ซึ่งได้รับคำตอบนี้

ต้องระบุ

ค่า

 แอตทริบิวต์นี้จะเลือกระบุหรือไม่ก็ได้ หากตั้งค่าไว้ ควรเป็นค่า URL ของ ACS จากส่วนรายละเอียดของผู้ให้บริการ (SP) ของโปรไฟล์ SSO
ตัวอย่าง <saml:Response
Destination="https://accounts.google.com/samlrp/0abc123/acs"
ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
IssueInstant="2024-10-04T20:17:38.726Z"
Version="2.0">
...
</saml:Response>

ใช้องค์ประกอบและแอตทริบิวต์ - โปรไฟล์ SSO แบบเดิม

หมายเหตุ: การยืนยัน SAML ต้องประกอบด้วยเฉพาะอักขระ ASCII มาตรฐานเท่านั้น

องค์ประกอบรหัสชื่อ

ช่อง องค์ประกอบ NameID ในองค์ประกอบ Subject
คำอธิบาย

NameID จะระบุหัวเรื่อง ซึ่งเป็นอีเมลหลักของผู้ใช้

ต้องใช้ตัวพิมพ์เล็กและใหญ่ตรงกันทุกประการ

ต้องระบุ

ค่า

 user@example.com
ตัวอย่าง <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

แอตทริบิวต์ผู้รับ

ช่อง แอตทริบิวต์ Recipient ในองค์ประกอบ SubjectConfirmationData
คำอธิบาย

Recipient จะระบุข้อมูลเพิ่มเติมที่จำเป็นสำหรับหัวเรื่อง

example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม

ต้องระบุ

ค่า

https://www.google.com/a/example.com/acs

หรือ

https://accounts.google.com/a/example.com/acs
ตัวอย่าง <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

องค์ประกอบกลุ่มเป้าหมาย

ช่อง องค์ประกอบ Audience ในองค์ประกอบระดับบนสุด AudienceRestriction
คำอธิบาย

Audience คือ Uniform Resource Identifier (URI) ที่ระบุกลุ่มเป้าหมายที่ต้องการ ซึ่งต้องใช้ค่าของ ACS URI

example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม

ค่าองค์ประกอบนี้จะเว้นว่างไม่ได้

ต้องระบุ

ค่า

อย่างใดอย่างหนึ่งต่อไปนี้

  • google.com
  • google.com/a/<โดเมนของคุณ> (หากคุณเลือก "ใช้ผู้ออกใบรับรองเฉพาะโดเมน" ในการกำหนดค่าโปรไฟล์ SSO แบบเดิม)
ตัวอย่าง

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>google.com/a/example.com</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

แอตทริบิวต์ปลายทาง

ช่อง แอตทริบิวต์ Destination ขององค์ประกอบ Response
คำอธิบาย

ปลายทาง คือ URI ของปลายทางที่ระบบจะส่งการยืนยันสิทธิ์ SAML ให้

แอตทริบิวต์นี้จะเลือกระบุหรือไม่ก็ได้ แต่ถ้ามีการระบุ ก็จะต้องมีค่าของ ACS URI

example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม

ต้องระบุ

ค่า

https://www.google.com/a/example.com/acs

หรือ

https://accounts.google.com/a/example.com/acs
ตัวอย่าง <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">