Índice
- Qual versão do SAML é compatível com a API de SSO?
- O SSO via SAML funciona com POP3 ou IMAP?
- O SSO via SAML funciona com o feed Atom do Gmail?
- O SSO via SAML funciona com o AuthSub?
- Podemos usar o RSA em vez do DSA para a implementação do SSO?
- Como posso gerar o certificado de verificação necessário para o SSO?
- Se nosso domínio implementar o SSO, ainda assim poderemos fazer login diretamente no Google?
- Como excluo o cookie da sessão não persistente que identifica um usuário durante a sessão do navegador (por exemplo, ao sair)?
- Por que o URL para alteração de senha não está funcionando?
- Por que o formulário HTML SAMLResponse funciona no Firefox, mas não no Internet Explorer?
- Como posso permitir que os usuários vejam a página inicial do parceiro sem fazer a autenticação?
- Qual é o atributo Recipient necessário na resposta SAML?
- Como posso garantir que meu provedor de identidade de terceiros especificará o atributo Recipient correto?
- Meus usuários podem fazer a autenticação usando o URL de login do painel de controle do administrador com SSO?
- O que significa a mensagem de erro "Não foi possível acessar esse serviço porque sua solicitação de login continha informações de destinatário inválidas"?
- O que significa a mensagem de erro "Não foi possível acessar este serviço porque sua solicitação de login não continha informações de destinatário"?
- O que significa a mensagem de erro "Não foi possível acessar esta conta porque não conseguimos confirmar as credenciais de login"?
- Qual versão do SAML é compatível com a API de SSO?
-
No momento, a versão compatível é SAML v2.0. Visite http://www.oasis-open.org/specs/index.php#samlv2.0 para encontrar mais detalhes sobre o padrão SAML v2.0.
- O SSO via SAML funciona com POP3 ou IMAP?
-
Não, o SAML só funciona com os aplicativos da Web do Google Workspace.
- O SSO via SAML funciona com o feed Atom do Gmail?
-
Não, o feed Atom do Gmail usa a autenticação HTTP básica.
- O Logon único via SAML funciona com o AuthSub?
-
Sim, o SAML funciona com o AuthSub.
- Podemos usar o RSA em vez do DSA para a implementação do Logon único?
-
Sim, você pode optar por usar o algoritmo de criptografia RSA ou DSA. Aceitamos ambos.
- Como posso gerar o certificado de verificação necessário para o SSO?
-
É possível gerar certificados X509 usando o comando
openssl. Veja mais detalhes em Gerar chaves e certificados para o Logon único. - Se nosso domínio implementar o SSO, ainda assim poderemos fazer login diretamente no Google?
-
Com o SSO implementado, os usuários finais do domínio não poderão fazer login diretamente no Google. Os superadministradores ainda poderão fazer login no painel de controle do Google (por exemplo, http://www.google.com/a/example.com).
-
Após realizar a autenticação via SAML, o Google define um cookie de sessão para identificar a sessão de um usuário. Quando o usuário sair explicitamente, por exemplo, ao clicar no botão "Sair", esse cookie precisará ser destruído. Se sua implementação envolver o gerenciamento de sessões persistentes (funcionalidade "Salvar as minhas informações neste computador"), você talvez precise controlar como e quando esse cookie será destruído. Na saída, o Google redirecionará a sessão para seu servlet de saída. No servlet de saída, será possível apresentar ao usuário algumas opções que determinarão se o cookie da sessão será ou não excluído.
- Por que o URL para alteração de senha não está funcionando?
-
As mudanças no URL para alteração de senha nas "Configurações" do Logon único levam cerca de uma hora para entrar em vigor.
- Por que o formulário HTML SAMLResponse funciona no Firefox mas não no Internet Explorer?
-
Isso acontece quando o Internet Explorer interpreta o RelayState de forma incorreta. O Internet Explorer interpreta "<mpl" como "<mpl". Para evitar esse erro, é preciso remover os caracteres XML especiais do RelayState. Altere { &, <, >, ', " } para { &, <, >, ', " }.
- Como posso permitir que os usuários vejam a página inicial do parceiro sem fazer a autenticação?
-
Consulte este tópico no grupo de discussão para ver um SAMLResponse de exemplo.
- Qual é o atributo Recipient necessário na resposta SAML?
-
De acordo com a seção 4.1.4.2 da especificação de perfis SAML 2.0, é preciso que o atributo Recipient seja igual ao URL do serviço de declaração de consumidor (ACS, na sigla em inglês) localizado aqui:
<samlp:Response ...> <saml:Assertion ...> <saml:Subject> <saml:NameID ...>user@domain.com</saml:NameID> <saml:SubjectConfirmation ...> <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../> </saml:SubjectConfirmation> </saml:Subject> </saml:Assertion> </samlp:Response>
Veja as perguntas abaixo para saber como adicionar o atributo Recipient à resposta SAML.
- Como posso garantir que meu provedor de identidade de terceiros especificará o atributo Recipient correto?
-
Se seu provedor de identidade comercial ou de código aberto for compatível com o SAML 2.0, ele já terá especificado o atributo Recipient correto já estará especificado por ele. Se você está recebendo uma das mensagens de erro acima, isso significa que o atributo Recipient está incorreto. Se esse for o caso, entre em contato com o fornecedor ou o mantenedor do software e envie o link para essa página.
- Meus usuários podem fazer a própria autenticação usando o URL de login do painel de controle do administrador com Logon único?
-
Sim. Com o Logon único (SSO) baseado no SAML, você transfere a autoridade de login do Google Workspace para o software do seu provedor de identidade, por exemplo, um portal de login. O software controla e gerencia a autenticação das contas de usuário, e o Google Workspace redireciona uma tentativa de login para seu portal de SSO. No entanto, é importante lembrar que os administradores continuam podendo gerenciar esses serviços pelo URL de login de administrador do Google Admin Console (https://www.google.com/a/example.com). Isso oferece flexibilidade caso seu portal de SSO tenha um problema ou precise de atualização.
- O que significa a mensagem de erro "Não foi possível acessar este serviço porque sua solicitação de login não continha informações de destinatário"?
-
Significa que a resposta SAML não tem o atributo Recipient necessário.
- O que significa a mensagem de erro "Não foi possível acessar esse serviço porque sua solicitação de login continha informações de destinatário inválidas"?
-
Significa que o atributo Recipient na resposta SAML não corresponde ao URL do serviço de declaração do consumidor (ACS).
- O que significa a mensagem de erro "Não foi possível acessar esta conta porque não conseguimos confirmar as credenciais de login"?
-
Em geral, significa que a chave privada usada na assinatura de SAMLResponse não corresponde ao certificado de chave pública que consta no arquivo do Google Workspace. Faça upload do certificado em "Configurações de SSO" no painel de controle e tente novamente.
