Google como IdP admite el parámetro sugerencia de acceso para simplificar el acceso de los usuarios cuando realizan accesos iniciados por el proveedor de servicios (SP). Cuando hay sugerencias de acceso, el servidor de autenticación de Google las usa para lo siguiente:
- Completar previamente el campo de correo electrónico: El servidor de autenticación completa previamente la dirección de correo electrónico en el formulario de acceso, lo que le ahorra un paso al usuario.
- Habilitar el acceso directo: Si el usuario asociado con la sugerencia ya tiene una sesión activa con Google, el servidor accede automáticamente, lo que proporciona una experiencia fluida.
Requisitos del proveedor de servicios
Si tu aplicación conoce la identidad del usuario que intenta acceder, puede incluir el parámetro de sugerencia de acceso (login_hint) en la solicitud HTTP a la URL de SSO. El valor de login_hint debe ser el NameID del usuario, como en el siguiente ejemplo:
https://www.accounts.google.com/o/saml2/idp?idpid=<customer_id>&login_hint=<email_id_of_the_user>
Nota: El IdP de SAML de Google no usa el NameID que puede estar presente en el
elemento Subject de AuthnRequest. En su lugar, usa login_hint.
Comportamiento de acceso cuando se usa la sugerencia de acceso
En la siguiente tabla, se resume cómo difiere el acceso de los usuarios a Google cuando el parámetro de sugerencias de acceso está presente en la solicitud de SAML:
| Usuarios que accedieron a su cuenta | Valor de la sugerencia de acceso | Comportamiento |
|---|---|---|
| Ninguna | No está presente | El usuario ve la página de acceso normal de Google. |
| usuario@dominio.com | La dirección de correo electrónico en la página de acceso de Google se completa previamente con usuario@dominio.com. | |
| usuario1@dominio.com | No está presente | Se omite la página de acceso de Google y el usuario1 accede directamente al proveedor de servicios. |
| usuario1@dominio.com | ||
| usuario2@dominio.com | La página de acceso de Google se completa previamente con usuario2@dominio.com. | |
| usuario1@dominio.com usuario2@dominio.com |
No está presente | En la pantalla de selección de la Cuenta de Google, se muestran todos los usuarios que accedieron. |
| usuario1@dominio.com |
Se omite la página de acceso de Google y el usuario1 accede directamente al proveedor de servicios. |
|
| usuario2@dominio.com | Se omite la página de acceso de Google y el usuario2 accede directamente al proveedor de servicios. | |
|
usuario3@dominio.com |
La página de acceso de Google se completa previamente con usuario3@dominio.com. |