在身份提供商 (IdP) 对用户进行身份验证后,管理员必须提供下表所列的元素和属性,才能将 SAML 2.0 SSO 断言返回到 Google 断言消费者服务 (ACS)。
属性指南
如果您已通过第三方身份提供方设置单点登录,但 IdP 的 SAML 断言包含 <AttributeStatement>,Google 将会存储这些属性,直至用户的 Google 账号会话过期。(会话时长各不相同,可由管理员配置。)账号会话失效后,属性信息会在一周内永久删除。
与名录中的自定义属性一样,断言属性不应包含敏感的个人身份信息 (PII),例如账号凭据、政府身份证号码、持卡人数据、财务账号数据、医疗保健信息或敏感背景信息。
断言属性的推荐用途包括:
- 内部 IT 系统的用户 ID
- 会话专属角色
您最多只能在断言中传递 2kB 属性数据。超出允许的最大大小的断言将被拒绝,并会导致登录失败。
支持的字符集
支持的字符集取决于您使用的是较新的单点登录配置文件还是旧版单点登录配置文件:
- 旧版单点登录配置文件 - 属性值必须是低 ASCII 字符串(不支持 Unicode/UTF-8 字符,它们会导致登录失败)。
- 单点登录配置文件 - 支持 Unicode/UTF-8 字符。
将断言返回到 ACS
排查问题
如要排查与这些断言有关的问题,请使用网络检查工具。有关说明,请参阅 Google 管理员工具箱 HAR 分析器页面。
如需与支持团队联系,请使用可任意处置的测试账号,因为捕获的 HTTP 归档 (HAR) 文件包含明文显示的用户名和密码。您也可以编辑文件,删除用户和 IdP 之间的敏感性互动内容。与 Google Workspace 支持团队联系。
发送给 IdP 的 SAMLRequest 包含相关的 AssertionConsumerService网址。如果您的 SAMLResponse 是发送到其他网址的,那么 IdP 可能会出现配置问题。
使用元素和属性 - 较新的单点登录配置文件
名称 ID 元素
| 字段 | Subject 元素中的 NameID 元素。 |
|---|---|
| 说明 |
NameID 可识别主题,即用户的主电子邮件地址。 区分大小写。 |
|
必需 值 |
user@example.com |
| 示例 | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
收件人属性
| 字段 | SubjectConfirmationData 元素中的 Recipient 属性 |
|---|---|
| 说明 |
Recipient 指定了断言所针对的服务提供商的断言消费者服务网址。 |
|
必需 值 |
单点登录配置文件的服务提供商 (SP) 详细信息部分中的 ACS 网址值。 |
| 示例 | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
受众群体元素
| 字段 | AudienceRestriction 上级元素中的 Audience 元素 |
|---|---|
| 说明 |
Audience 是一个 URI 引用,用于标识断言的目标受众群体。 |
|
必需 值 |
单点登录配置文件的服务提供商 (SP) 详细信息部分中的实体 ID 值。 |
| 示例 |
|
目的地属性
| 字段 | Response 元素的 Destination 属性 |
|---|---|
| 说明 |
Destination 是一个 URI 引用,指示此响应被发送到的地址。 |
|
必需 值 |
这是可选属性;如果已设置,则它应为单点登录配置文件的服务提供商 (SP) 详细信息部分中的 ACS 网址值。 |
| 示例 | <saml:Response |
使用元素和属性 - 旧版单点登录配置文件
注意:SAML 断言只能包含标准 ASCII 字符。
名称 ID 元素
| 字段 | Subject 元素中的 NameID 元素。 |
|---|---|
| 说明 |
NameID 可识别主题,即用户的主电子邮件地址。 区分大小写。 |
|
必需 值 |
user@example.com |
| 示例 | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
收件人属性
| 字段 | SubjectConfirmationData 元素中的 Recipient 属性 |
|---|---|
| 说明 |
Recipient 可指定主题所需的其他数据。 example.com 可能是您的 Google Workspace 或 Cloud Identity 账号的主域名,即使要验证身份的用户使用相同 Google Workspace 或 Cloud Identity 账号的辅助域名也一样。 |
|
必需 值 |
https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs |
| 示例 | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
受众群体元素
| 字段 | AudienceRestriction 上级元素中的 Audience 元素 |
|---|---|
| 说明 |
Audience 是统一资源标识符 (URI),用于识别需要 ACS URI 值的目标受众群体。 example.com 可能是您的 Google Workspace 或 Cloud Identity 账号的主域名,即使要验证身份的用户使用相同 Google Workspace 或 Cloud Identity 账号的辅助域名也一样。 此元素值不得为空。 |
|
必需 值 |
以下任意一个:
|
| 示例 |
|
目的地属性
| 字段 | Response 元素的 Destination 属性 |
|---|---|
| 说明 |
Destination 是 SAML 断言发送目的地的 URI。 这是可选属性,但如果被断言,就需要 ACS URI 值。 example.com 可能是您的 Google Workspace 或 Cloud Identity 账号的主域名,即使要验证身份的用户使用相同 Google Workspace 或 Cloud Identity 账号的辅助域名也一样。 |
|
必需 值 |
https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs |
| 示例 | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |