Notificação

A Duet AI agora se chama Gemini para Google Workspace. Saiba mais

Informações técnicas gerais do SSO baseado em SAML

Com o Logon único (SSO), seus usuários podem acessar muitos aplicativos sem precisar digitar o nome de usuário e a senha em cada aplicativo. A Linguagem de marcação para autorização de segurança (SAML) é um padrão XML que permite que domínios da Web seguros compartilhem a autenticação de usuário e os dados de autorização. 

Os papéis dos provedores de serviços e de identidade

O Google oferece um serviço de SSO baseado em SAML que permite que empresas parceiras autorizem e autentiquem usuários hospedados que tentam acessar um conteúdo seguro. O Google atua como o provedor de serviços on-line e oferece serviços, como o Google Agenda e o Gmail. Os parceiros do Google atuam como provedores de identidade on-line e controlam nomes de usuário, senhas e outras informações usadas para identificar, autenticar e autorizar usuários em aplicativos da Web hospedados pelo Google. 

Muitos provedores de identidade de código aberto e comerciais podem ajudar você a implementar o SSO com o Google.

Os clientes de computador ainda exigem logins

A solução de SSO é válida somente para aplicativos da Web. Você pode permitir que seus usuários acessem os Serviços do Google com clientes de desktop. Por exemplo, para permitir o acesso POP ao Gmail usando o Outlook, você precisa fornecer aos usuários senhas utilizáveis e sincronizá-las com o banco de dados interno do usuário usando a API Directory do SDK Admin. Ao sincronizar suas senhas, você deve entender como os usuários são autenticados usando o URL de login do painel de controle do administrador.

Entender o SSO baseado em SAML operado por parceiros 

A Figura 1 ilustra o processo de login em um app do Google, como o Gmail, usando um serviço de SSO baseado em SAML operado por parceiros. A lista numerada que segue a imagem detalha cada etapa.

Importante: antes da criação desse processo, o parceiro precisava fornecer ao Google o URL para o serviço de SSO, bem como a chave pública que o Google deveria usar para verificar respostas SAML.

Figura 1 : mostra o processo de login no Google usando um serviço de SSO baseado em SAML. 

Esta imagem ilustra as etapas a seguir.

  1. O usuário tentar alcançar um aplicativo Google hospedado, como o Gmail, Google Agenda ou outro serviço do Google.
  2. O Google gera uma solicitação de autenticação SAML, que é codificada e incorporada no URL do serviço de SSO do parceiro. O parâmetro RelayState que contém o URL codificado do aplicativo Google que o usuário está tentando alcançar também é incorporado no URL de SSO. Esse parâmetro RelayState é um identificador opaco que é transmitido de volta sem nenhuma modificação ou inspeção.
  3. O Google envia um redirecionamento ao navegador do usuário. O URL de redirecionamento inclui uma autenticação SAML codificada que deverá ser enviada ao serviço de SSO do parceiro.
  4. O navegador redireciona para o URL do SSO.
  5. O parceiro decodifica a solicitação SAML e extrai o URL para o serviço de declaração de consumidor (ACS) do Google e para o URL de destino do usuário (parâmetro RelayState). 
  6. O parceiro autentica o usuário. Os parceiros podem autenticar os usuários por meio da solicitação de credenciais de login válidas ou da verificação de cookies de sessão válidos.
  7. O parceiro gera uma resposta SAML que contém o nome de usuário autenticado. De acordo com a especificação do SAML v2.0, essa resposta é digitalmente assinada com as chaves DSA/RSA públicas e privadas do parceiro.
  8. O parceiro codifica a resposta SAML e o parâmetro RelayState e retorna essas informações para o navegador do usuário. O parceiro fornece um mecanismo para que o navegador possa encaminhar essa informação para o ACS do Google. Por exemplo, o parceiro poderia incorporar a resposta SAML e o URL de destino em um formulário e fornecer um botão que o usuário pudesse clicar e enviar o formulário para o Google. O parceiro também pode incluir JavaScript na página que envia o formulário para o Google.
  9. O navegador envia uma resposta ao URL do ACS. O ACS do Google verifica a resposta SAML usando a chave pública do parceiro. Se a resposta for verificada com sucesso, o ACS redirecionará o usuário para o URL de destino. 
  10. O usuário está conectado ao Google app.

Tema relacionado

Especificações do SAML v2.0

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
8337696426462510142
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false