Yönetici olarak, kimlik sağlayıcının (IdP) son kullanıcı kimliğini doğrulamasının ardından Google Onay Tüketici Hizmeti'ne (ACS) döndürülen SAML 2.0 TOA onayları için aşağıdaki tablolarda listelenen öğeler ve özelliklere ihtiyacınız vardır.
Özelliklerle ilgili rehberlik
Google, TOA ayarlarını üçüncü taraf bir kimlik sağlayıcı aracılığıyla yaptıysanız ve IdP'nizin SAML onayında <AttributeStatement> değeri varsa bu özellikleri kullanıcının Google Hesabı oturumunun süresi sona erene kadar saklar. (Oturum uzunluğu değişiklik gösterir ve yönetici tarafından yapılandırılabilir.) Hesap oturumu sona erdikten sonra özellik bilgileri bir hafta içinde kalıcı olarak silinir.
Dizin'deki özel özelliklerde olduğu gibi, onay özellikleri hesap kimlik bilgileri, resmi kimlik numaraları, kart sahibi verileri, finansal hesap verileri, sağlık bilgileri veya hassas geçmiş bilgileri gibi hassas kimliği tanımlayabilecek bilgiler (PII) içermemelidir.
Onay özellikleri için önerilen kullanımlar arasında şunlar bulunur:
- Dahili BT sistemleri için kullanıcı kimlikleri
- Oturuma özgü roller
Onaylarınızda en fazla 2 kB özellik verisi iletebilirsiniz. İzin verilen maksimum boyutu aşan onaylar tamamen reddedilir ve oturum açma işleminin başarısız olmasına neden olur.
Desteklenen karakter kümeleri
Desteklenen karakter kümesi, TOA profillerini mi yoksa eski TOA profilini mi kullandığınıza bağlıdır:
- Eski TOA profili: Özellik değerleri küçük ASCII dizeleri olmalıdır. (Unicode/UTF-8 karakterleri desteklenmez ve oturum açma işleminin başarısız olmasına neden olur.)
- TOA profilleri: Unicode/UTF-8 karakterleri desteklenir.
Onayları ACS'ye döndürme
Sorun giderme
Bu onaylarla ilgili sorunları gidermek için ağ denetleme aracını kullanın. Talimatlar için Google Yönetici Araç Kutusu HAR Analiz Aracı sayfasına göz atın.
HTTP Arşivi (HAR) yakalama biçiminde, kullanıcı adı ve şifre açık metin olarak tutulur. Bu nedenle, destek ekibine başvurmanız gerekiyorsa tek kullanımlık bir test hesabı kullanın. Kullanıcı ile IdP arasındaki hassas etkileşimleri gösterecek verileri silmeyi de tercih edebilirsiniz. Google Workspace Destek Ekibi ile iletişime geçin.
IdP'nize gönderilen SAMLRequest, ilgili AssertionConsumerServiceURL'i içerir. SAMLResponse, başka bir URL'ye gönderildiyse IdP'nizle ilgili bir yapılandırma sorunu olabilir.
Öğeleri ve özellikleri kullanma (TOA profilleri)
Name ID öğesi
| Alan | Subject öğesindeki NameID öğesi. |
|---|---|
| Açıklama |
NameID, kullanıcının birincil e-posta adresi olan subject'i tanımlar. Büyük/küçük harfe duyarlıdır. |
|
Zorunlu Değer |
user@example.com |
| Örnek | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Alıcı özelliği
| Alan | SubjectConfirmationData öğesindeki Recipient özelliği |
|---|---|
| Açıklama |
Recipient, onayın hedeflendiği servis sağlayıcının onaylama tüketici hizmeti URL'sini belirtir. |
|
Zorunlu Değer |
TOA profilinin servis sağlayıcı (SP) ayrıntıları bölümündeki ACS URL'si değeri. |
| Örnek | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Kitle öğesi
| Alan | AudienceRestriction üst öğesindeki Auidence öğesi |
|---|---|
| Açıklama |
Audience, onayın hedeflenen kitlesini tanımlayan bir URI referansıdır. |
|
Zorunlu Değer |
TOA profilinin servis sağlayıcı (SS) ayrıntıları bölümündeki varlık kimliği değeri. |
| Örnek |
|
Destination özelliği
| Alan | Response öğesinin Destination özelliği |
|---|---|
| Açıklama |
Destination, bu yanıtın gönderildiği adresi belirten bir URI referansıdır. |
|
Zorunlu Değer |
Bu, isteğe bağlı bir özelliktir. Ayarlanmışsa TOA profilinin servis sağlayıcı (SP) ayrıntıları bölümündeki ACS URL'si değeridir. |
| Örnek | <saml:Response |
Öğeleri ve özellikleri kullanma (eski TOA profili)
Not: SAML onayı yalnızca standart ASCII karakterlerini içerebilir.
Name ID öğesi
| Alan | Subject öğesindeki NameID öğesi. |
|---|---|
| Açıklama |
NameID, kullanıcının birincil e-posta adresi olan subject'i tanımlar. Büyük/küçük harfe duyarlıdır. |
|
Zorunlu Değer |
user@example.com |
| Örnek | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Alıcı özelliği
| Alan | SubjectConfirmationData öğesindeki Recipient özelliği |
|---|---|
| Açıklama |
Recipient, konu için gerekli olan ek verileri belirtir. example.com büyük ihtimalle Google Workspace veya Cloud Identity hesabınızın birincil alanıdır (kimlik doğrulaması yapılan kullanıcı aynı Google Workspace veya Cloud Identity hesabında bir ikincil alan kullanıyor olsa bile). |
|
Zorunlu Değer |
https://www.google.com/a/example.com/acs veya https://accounts.google.com/a/example.com/acs |
| Örnek | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Kitle öğesi
| Alan | AudienceRestriction üst öğesindeki Auidence öğesi |
|---|---|
| Açıklama |
Audience, Hedeflenen kitleyi tanımlayan tekdüzen kaynak tanımlayıcısıdır (URI) ve ACS URI değerini gerektirir. example.com büyük ihtimalle Google Workspace veya Cloud Identity hesabınızın birincil alanıdır (kimlik doğrulaması yapılan kullanıcı aynı Google Workspace veya Cloud Identity hesabında bir ikincil alan kullanıyor olsa bile). Bu öğe değeri boş bırakılamaz. |
|
Zorunlu Değer |
Aşağıdakilerden biri:
|
| Örnek |
|
Destination özelliği
| Alan | Response öğesinin Destination özelliği |
|---|---|
| Açıklama |
Destination, SAML onayının gönderilmekte olduğu konumun URI'sidir. Bu, isteğe bağlı bir özellik olmakla beraber, belirtilmesi durumunda ACS URI'si değeri gerektirecektir. example.com büyük ihtimalle Google Workspace veya Cloud Identity hesabınızın birincil alanıdır (kimlik doğrulaması yapılan kullanıcı aynı Google Workspace veya Cloud Identity hesabında bir ikincil alan kullanıyor olsa bile). |
|
Zorunlu Değer |
https://www.google.com/a/example.com/acs veya https://accounts.google.com/a/example.com/acs |
| Örnek | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |