目錄
- SSO API 支援哪一個版本的 SAML?
- SAML SSO 是否支援 POP3 或 IMAP?
- SAML SSO 是否支援 Gmail Atom 動態饋給?
- SAML SSO 是否支援 AuthSub?
- 實作單一登入時是否可以使用 RSA 取代 DSA?
- 如何產生 SSO 必要的驗證憑證?
- 如果網域實作了 SSO,仍可直接登入 Google 嗎?
- 對於在瀏覽器工作階段用來辨識使用者的非永久工作階段 Cookie,系統會以何種方式刪除 (例如登出時)?
- 為何變更密碼網址無法運作?
- 為何 SAMLResponse HTML 表單支援 Firefox,卻不支援 Internet Explorer?
- 如何允許使用者不需經過驗證即可查看合作夥伴的起始網頁?
- SAML 回應中必要的 Recipient 屬性為何?
- 如何確認第三方識別資訊提供者指定了正確的 Recipient 屬性?
- 採用 SSO 服務後,使用者是否可以使用管理控制台登入網址自行驗證?
- 以下錯誤訊息代表什麼意思:「無法使用此服務,因為您的登入要求包含無效的收件人資訊。」?
- 以下錯誤訊息代表什麼意思:「無法使用此服務,因為您的登入要求沒有包含收件人資訊。」?
- 以下錯誤訊息代表什麼意思:「無法使用此帳戶,因為無法驗證登入認證。」?
- SSO API 支援哪一個版本的 SAML?
-
我們目前支援 SAML v2.0。如需 SAML v2.0 標準的詳細資訊,請造訪 http://www.oasis-open.org/specs/index.php#samlv2.0。
- SAML SSO 是否支援 POP3 或 IMAP?
-
不支援,SAML 僅適用於 Google Workspace 網頁應用程式。
- SAML SSO 是否支援 Gmail Atom 動態饋給?
-
不支援,Gmail Atom 動態饋給使用 HTTP 基本驗證。
- SAML SSO 是否支援 AuthSub?
-
是的,SAML 支援 AuthSub。
- 實作單一登入時是否可以使用 RSA 取代 DSA?
-
是的,您可以選擇使用 RSA 或 DSA 加密演算法。我們支援這兩種演算法。
- 如何產生 SSO 必要的驗證憑證?
-
您可以使用
openssl指令產生 X509 憑證。詳情請參閱建立 SSO 所需的金鑰和憑證。 - 如果網域實作了 SSO,仍可直接登入 Google 嗎?
-
不可以。您實作 SSO 後,網域使用者便無法直接登入 Google,不過超級管理員還是可以登入 Google 控制台 (亦即 http://www.google.com/a/<貴機構網域>.com)。
-
成功透過 SAML 進行驗證後,Google 會設定用來識別使用者工作階段的工作階段 Cookie。使用者明確登出後 (例如點選登出按鈕),系統就必須刪除這個 Cookie。如果您的實作涉及永久的工作階段管理機制 (「在這台電腦上記住我的登入資訊」功能),就可能需要控管這個 Cookie 的刪除方式和時機。登出時,Google 會重新導向至您的登出 Servlet。您可以在登出 Servlet 中為使用者提供一些相關選項,讓使用者決定是否要刪除這個工作階段 Cookie。
- 為何變更密碼網址無法運作?
-
您在 SSO 設定中對變更密碼網址所做的變更可能需要經過 1 小時才會生效。
- 為何 SAMLResponse HTML 表單支援 Firefox,卻不支援 Internet Explorer?
-
這可能是因為 Internet Explorer 無法正確解讀 RelayState。Internet Explorer 會將「<mpl」解讀為「<mpl」。為了避免這種情況發生,在 RelayState 中必須將 XML 特殊字元逸出。也就是將「&」、「<」、「>」、「'」、「"」 變更為 「&'」、「<'」、「>'」、「''」、「"」。
- 如何允許使用者不需經過驗證即可查看合作夥伴的起始網頁?
-
如需 SAMLResponse 範例,請參閱討論群組中的這個主題。
- SAML 回應中必要的 Recipient 屬性為何?
-
根據《SAML 2.0 設定檔規格》第 4.1.4.2 節,Recipient 屬性必須與宣告客戶服務 (ACS) 網址相同。位置如下:
<samlp:Response ...> <saml:Assertion ...> <saml:Subject> <saml:NameID ...>user@domain.com</saml:NameID> <saml:SubjectConfirmation ...> <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../> </saml:SubjectConfirmation> </saml:Subject> </saml:Assertion> </samlp:Response>
請查看下列問題,瞭解如何將 Recipient 屬性加到 SAML 回應。
- 如何確認第三方識別資訊提供者指定了正確的 Recipient 屬性?
-
如果您的商用或開放原始碼的識別資訊提供者支援 SAML 2.0,應該已指定了正確的 Recipient 屬性。如果您收到以上任何一則錯誤訊息,即代表 Recipient 屬性不正確。在這種情況下,請與軟體供應商或維護商聯絡,並傳送這個網頁的連結給他們。
- 採用 SSO 服務後,使用者是否可以使用管理控制台登入網址自行驗證?
-
可以,SAML 式單一登入 (SSO) 服務可讓您將 Google Workspace 登入授權單位轉移至自家的識別資訊提供者軟體 (例如現有的登入入口網站)。您的軟體負責控制及管理使用者帳戶的驗證作業,當使用者嘗試登入時,Google Workspace 會將使用者重新導向至您的 SSO 入口網站。但請注意,您的系統管理員仍可透過 Google 管理控制台的管理員登入網址 (亦即 https://www.google.com/a/example.com) 管理這些服務。如此一來,即使您的 SSO 入口網站發生問題或需要更新,也不會造成影響。
- 以下錯誤訊息代表什麼意思:「無法使用此服務,因為您的登入要求沒有包含收件人資訊。」?
-
這代表 SAML 回應缺少必要的 Recipient 屬性。
- 以下錯誤訊息代表什麼意思:「無法使用此服務,因為您的登入要求包含無效的收件人資訊。」?
-
這代表 SAML 回應中的 Recipient 屬性與宣告客戶服務 (ACS) 網址不符。
- 以下錯誤訊息代表什麼意思:「無法使用此帳戶,因為無法驗證登入認證。」?
-
這通常代表用於簽署 SAMLResponse 的私密金鑰與 Google Workspace 資料庫中記錄的公開金鑰憑證不符。請在控制台的「SSO 設定」中上傳憑證,然後再試一次。
