Como administrador, você precisa dos elementos e atributos listados nas tabelas a seguir nas declarações de SSO de SAML 2.0 retornadas ao serviço de declaração de consumidor (ACS, na sigla em inglês) do Google depois que o provedor de identidade (IdP) autentica o usuário.
Orientação para atributos
Se você tiver configurado o SSO usando um provedor de identidade de terceiros e a declaração SAML do IdP incluir uma <AttributeStatement>, o Google armazenará esses atributos até a sessão da Conta do Google do usuário expirar. (A duração da sessão varia e pode ser configurada pelo administrador.) Depois que a sessão da conta expira, as informações do atributo são excluídas permanentemente em uma semana.
Assim como os atributos personalizados no diretório, os atributos de declaração não podem incluir informações de identificação pessoal (PII), como credenciais de conta, números de identificação governamentais, dados do titular do cartão, dados financeiros da conta, informações sobre saúde ou informações prévias confidenciais.
Os usos recomendados para atributos de declaração incluem:
- IDs de usuários para sistemas internos de TI
- Papéis específicos das sessões
Só é possível transmitir no máximo 2 KB de dados do atributo nas suas declarações. As declarações que excedem o tamanho máximo permitido são totalmente rejeitadas, causando falha no login.
Conjuntos de caracteres aceitos
O conjunto de caracteres compatível depende se você está usando perfis de SSO ou o perfil de SSO legado:
- Perfil de SSO legado: os valores dos atributos precisam ser strings ASCII baixas. Os caracteres Unicode/UTF-8 não são compatíveis e vão causar falhas no login.
- Perfis de SSO: são aceitos caracteres Unicode/UTF-8.
Retornar declarações ao ACS
Resolver problemas
Se precisar entrar em contato com o suporte, use uma conta de teste descartável, porque a captura em HTTP Archive (HAR, na sigla em inglês) contém o nome de usuário e a senha em texto não criptografado. Também é possível editar o arquivo para excluir as interações confidenciais entre o usuário e o IdP. Entre em contato com o suporte do Google Workspace.
A consulta SAMLRequest enviada para o IdP contém o AssertionConsumerServiceURL relevante. Se ela for enviada para outro URL, poderá haver um problema de configuração no IdP.
Elemento "Name ID"
| Campo | Elemento NameID no elemento Subject |
|---|---|
| Descrição |
O elemento NameID identifica a entidade, que é o endereço de e-mail principal do usuário. Ele diferencia maiúsculas de minúsculas. |
|
Obrigatório Valor |
user@example.com |
| Exemplo | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atributo Recipient
| Campo | Atributo Recipient no elemento SubjectConfirmationData |
|---|---|
| Descrição |
Destinatário especifica o URL do serviço de consumidor da declaração do provedor de serviços para o qual a declaração se destina. |
|
Obrigatório Valor |
O valor do URL do ACS na seção de detalhes do provedor de serviços (SP) do perfil de SSO. |
| Exemplo | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento Audience
| Campo | Elemento Audience no elemento pai AudienceRestriction |
|---|---|
| Descrição |
Audience é uma referência de URI que identifica o público-alvo pretendido da declaração. |
|
Obrigatório Valor |
O valor do ID da entidade na seção de detalhes do provedor de serviços (SP) do perfil de SSO. |
| Exemplo |
|
Atributo "Destination"
| Campo | Atributo Destination do elemento Response |
|---|---|
| Descrição |
Destination é uma referência de URI que indica o endereço para onde a resposta foi enviada. |
|
Obrigatório Valor |
Esse é um atributo opcional. Se ele for definido, será o valor do URL do ACS na seção de detalhes do provedor de serviços (SP) do perfil do SSO. |
| Exemplo | <saml:Response |
Observação: a declaração SAML pode conter apenas caracteres ASCII padrão.
Elemento "Name ID"
| Campo | Elemento NameID no elemento Subject |
|---|---|
| Descrição |
O elemento NameID identifica a entidade, que é o endereço de e-mail principal do usuário. Ele diferencia maiúsculas de minúsculas. |
|
Obrigatório Valor |
user@example.com |
| Exemplo | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Atributo Recipient
| Campo | Atributo Recipient no elemento SubjectConfirmationData |
|---|---|
| Descrição |
O atributo Recipient especifica dados adicionais da entidade. O domínio principal da conta do Google Workspaceexample.com ou do Cloud Identity provavelmente é o example.com, mesmo que o usuário que está sendo autenticado tenha um domínio secundário na mesma conta do Google Workspace ou do Cloud Identity. |
|
Obrigatório Valor |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
| Exemplo | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elemento Audience
| Campo | Elemento Audience no elemento pai AudienceRestriction |
|---|---|
| Descrição |
O elemento Audience é o identificador de recurso uniforme (URI) do público-alvo pretendido que requer o valor do URI do ACS. O domínio principal da conta do Google Workspace ou do Cloud Identity provavelmente é o example.com, mesmo que o usuário que está sendo autenticado tenha um domínio secundário na mesma conta do Google Workspace ou do Cloud Identity. O valor desse elemento não pode ficar vazio. |
|
Obrigatório Valor |
Um dos seguintes:
|
| Exemplo |
|
Atributo "Destination"
| Campo | Atributo Destination do elemento Response |
|---|---|
| Descrição |
Destination é o URI de onde a declaração de SAML está sendo enviada. Ele é um atributo opcional, mas, caso seja declarado, precisará de um valor de URI do ACS. O domínio principal da conta do Google Workspace ou do Cloud Identity provavelmente é o example.com, mesmo que o usuário que está sendo autenticado tenha um domínio secundário na mesma conta do Google Workspace ou do Cloud Identity. |
|
Obrigatório Valor |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
| Exemplo | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |
