Là quản trị viên, bạn cần có các phần tử và thuộc tính được liệt kê trong các bảng sau cho các câu khẳng định SSO dựa trên SAML 2.0 được trả về cho Dịch vụ sử dụng câu khẳng định (ACS) của Google sau khi nhà cung cấp dịch vụ danh tính (IdP) đã xác thực người dùng.
Hướng dẫn về các thuộc tính
Nếu bạn đã thiết lập SSO thông qua một nhà cung cấp danh tính bên thứ ba và câu khẳng định SAML của IdP có chứa <AttributeStatement>, thì Google sẽ lưu trữ các thuộc tính này cho đến khi phiên Tài khoản Google của người dùng hết hạn. (Thời lượng mỗi phiên có thể khác nhau và do quản trị viên định cấu hình.) Sau khi phiên hoạt động của tài khoản hết hạn, thông tin thuộc tính sẽ bị xoá vĩnh viễn trong vòng một tuần.
Tương tự như thuộc tính tuỳ chỉnh trong Thư mục, thuộc tính xác nhận không được chứa thông tin nhận dạng cá nhân (PII) nhạy cảm, chẳng hạn như thông tin đăng nhập tài khoản, số căn cước công dân, dữ liệu chủ thẻ, dữ liệu tài khoản tài chính, thông tin về sức khoẻ hoặc thông tin nhạy cảm về lý lịch.
Các trường hợp nên dùng thuộc tính xác nhận bao gồm:
- Mã nhận dạng người dùng cho hệ thống CNTT nội bộ
- Vai trò dành riêng cho phiên
Bạn chỉ có thể truyền tối đa 2 kB dữ liệu thuộc tính trong các câu khẳng định. Những câu khẳng định vượt quá kích thước tối đa cho phép sẽ bị từ chối hoàn toàn và khiến quá trình đăng nhập không thành công.
Bộ ký tự được hỗ trợ
Bộ ký tự được hỗ trợ phụ thuộc vào việc bạn đang sử dụng cấu hình SSO hay cấu hình SSO cũ:
- Cấu hình SSO cũ – Giá trị thuộc tính phải là chuỗi ASCII thấp (không hỗ trợ ký tự Unicode/UTF-8 và sẽ khiến quá trình đăng nhập không thành công).
- Cấu hình đăng nhập một lần (SSO) – Hỗ trợ các ký tự Unicode/UTF-8.
Trả lại các câu khẳng định cho ACS
Khắc phục sự cố
Để khắc phục sự cố với các câu khẳng định này, hãy sử dụng trình kiểm tra mạng. Để biết hướng dẫn, hãy xem trang Trình phân tích HAR của Google Admin Toolbox.
Nếu bạn cần liên hệ với nhóm hỗ trợ, hãy sử dụng tài khoản kiểm thử dùng một lần vì bản ghi HTTP Archive (HAR) chứa tên người dùng và mật khẩu ở dạng văn bản thuần tuý. Hoặc chỉnh sửa tệp để xoá các hoạt động tương tác nhạy cảm giữa người dùng và IdP. Liên hệ với Nhóm hỗ trợ Google Workspace.
SAMLRequest được gửi đến IdP của bạn có chứa AssertionConsumerServiceURL có liên quan. Nếu SAMLResponse của bạn được gửi đến một URL khác, thì có thể IdP của bạn gặp vấn đề về cấu hình.
Sử dụng các phần tử và thuộc tính – Cấu hình đăng nhập một lần (SSO)
Phần tử mã nhận dạng tên
| Trường | Phần tử NameID trong phần tử Subject. |
|---|---|
| Mô tả |
NameID xác định chủ đề là địa chỉ email chính của người dùng. Tham số này phân biệt chữ hoa chữ thường. |
|
Bắt buộc Giá trị |
user@example.com |
| Ví dụ: | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Thuộc tính người nhận
| Trường | Thuộc tính Recipient trong phần tử SubjectConfirmationData |
|---|---|
| Mô tả |
Người nhận chỉ định URL dịch vụ sử dụng chứng thực của nhà cung cấp dịch vụ mà chứng thực đó dành cho. |
|
Bắt buộc Giá trị |
Giá trị URL ACS trong phần thông tin chi tiết về nhà cung cấp dịch vụ (SP) của hồ sơ SSO. |
| Ví dụ: | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Phần tử đối tượng
| Trường | Phần tử Audience trong phần tử mẹ AudienceRestriction |
|---|---|
| Mô tả |
Đối tượng là một tham chiếu URI giúp xác định đối tượng mà bạn muốn hướng đến của câu khẳng định. |
|
Bắt buộc Giá trị |
Giá trị Mã nhận dạng thực thể trong phần thông tin chi tiết về nhà cung cấp dịch vụ (SP) của hồ sơ SSO. |
| Ví dụ: |
|
Thuộc tính đích đến
| Trường | Thuộc tính Destination của phần tử Response |
|---|---|
| Mô tả |
Destination là một tham chiếu URI cho biết địa chỉ mà phản hồi này đã được gửi đến. |
|
Bắt buộc Giá trị |
Đây là một thuộc tính không bắt buộc; nếu được đặt, thì thuộc tính này phải là giá trị URL ACS trong phần thông tin chi tiết về nhà cung cấp dịch vụ (SP) của hồ sơ SSO. |
| Ví dụ: | <saml:Response |
Sử dụng các phần tử và thuộc tính – cấu hình SSO cũ
Lưu ý: SAML chỉ có thể chứa các ký tự ASCII tiêu chuẩn.
Phần tử mã nhận dạng tên
| Trường | Phần tử NameID trong phần tử Subject. |
|---|---|
| Mô tả |
NameID xác định chủ đề là địa chỉ email chính của người dùng. Tham số này phân biệt chữ hoa chữ thường. |
|
Bắt buộc Giá trị |
user@example.com |
| Ví dụ: | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Thuộc tính người nhận
| Trường | Thuộc tính Recipient trong phần tử SubjectConfirmationData |
|---|---|
| Mô tả |
Người nhận chỉ định dữ liệu bổ sung cần thiết cho chủ đề. example.com có thể là miền chính của tài khoản Google Workspace hoặc Cloud Identity của bạn, ngay cả khi người dùng được xác thực sử dụng miền phụ trong cùng một tài khoản Google Workspace hoặc Cloud Identity. |
|
Bắt buộc Giá trị |
https://www.google.com/a/example.com/acs hoặc https://accounts.google.com/a/example.com/acs |
| Ví dụ: | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Phần tử đối tượng
| Trường | Phần tử Audience trong phần tử mẹ AudienceRestriction |
|---|---|
| Mô tả |
Đối tượng là giá trị nhận dạng tài nguyên thống nhất (URI) xác định đối tượng mục tiêu yêu cầu giá trị của URI ACS. example.com có thể là miền chính của tài khoản Google Workspace hoặc Cloud Identity của bạn, ngay cả khi người dùng được xác thực sử dụng miền phụ trong cùng một tài khoản Google Workspace hoặc Cloud Identity. Không được để trống giá trị của phần tử này. |
|
Bắt buộc Giá trị |
Nhập các thông tin sau:
|
| Ví dụ: |
|
Thuộc tính đích đến
| Trường | Thuộc tính Destination của phần tử Response |
|---|---|
| Mô tả |
Đích đến là URI nơi mà câu khẳng định SAML đang được gửi đến. Đây là một thuộc tính không bắt buộc, nhưng nếu được khai báo, thì thuộc tính này sẽ cần có giá trị là URI ACS. example.com có thể là miền chính của tài khoản Google Workspace hoặc Cloud Identity của bạn, ngay cả khi người dùng được xác thực sử dụng miền phụ trong cùng một tài khoản Google Workspace hoặc Cloud Identity. |
|
Bắt buộc Giá trị |
https://www.google.com/a/example.com/acs hoặc https://accounts.google.com/a/example.com/acs |
| Ví dụ: | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |