Google como IdP admite el parámetro sugerencia de acceso para simplificar el acceso de los usuarios cuando realizan accesos iniciados por el proveedor de servicios (SP). Cuando hay sugerencias de acceso, el servidor de autenticación de Google las usa para hacer lo siguiente:
- Precompleta el campo de correo electrónico: El servidor de autenticación precompleta la dirección de correo electrónico en el formulario de acceso, lo que le ahorra un paso al usuario.
- Habilita el acceso directo: Si el usuario asociado a la sugerencia ya tiene una sesión activa con Google, el servidor accede automáticamente a su cuenta, lo que proporciona una experiencia sin inconvenientes.
Requisitos para el proveedor de servicios
Si tu aplicación conoce la identidad del usuario que intenta acceder, puede incluir el parámetro de sugerencia de acceso (login_hint) en la solicitud HTTP a la URL del SSO. El valor de login_hint debe ser el NameID del usuario, como en el siguiente ejemplo:
https://www.accounts.google.com/o/saml2/idp?idpid=<customer_id>&login_hint=<email_id_of_the_user>
Nota: El IdP de SAML de Google no usa el NameID que puede estar presente en el elemento Subject de AuthnRequest. Usa login_hint en su lugar.
Comportamiento de acceso cuando se usa la sugerencia de acceso
En la siguiente tabla, se resume cómo difiere el acceso del usuario a Google cuando hay parámetros de sugerencias de acceso en la solicitud de SAML:
| Usuarios que accedieron a sus cuentas | Valor de sugerencia de acceso | Comportamiento |
|---|---|---|
| Ninguno | No está presente | El usuario ve la página de acceso habitual de Google. |
| user@domain.com | La dirección de correo electrónico en la página de acceso de Google se completa previamente con user@domain.com. | |
| user1@domain.com | No está presente | Se omite la página de acceso de Google y se accede directamente al proveedor de servicios con la cuenta del usuario1. |
| user1@domain.com | ||
| user2@domain.com | La página de acceso de Google se completa previamente con user2@domain.com. | |
| usuario1@dominio.com usuario2@dominio.com |
No está presente | En la pantalla del selector de Cuentas de Google, se muestran todos los usuarios que accedieron. |
| user1@domain.com |
Se omite la página de acceso de Google y se accede directamente al proveedor de servicios con la cuenta del usuario1. |
|
| user2@domain.com | Se omite la página de acceso de Google y se accede directamente al proveedor de servicios con la cuenta del usuario2. | |
|
usuario3@dominio.com |
La página de acceso de Google se completó previamente con user3@domain.com. |