Requisiti per l'asserzione SSO

Per gli amministratori è necessario che gli elementi e gli attributi elencati nelle seguenti tabelle per le asserzioni SSO SAML 2.0 vengano restituiti al servizio Assertion Consumer Service (ACS) di Google dopo che l'utente è stato autenticato dal provider di identità (IdP).

Informazioni sull'Assertion Consumer Service

L'Assertion Consumer Service, o URL ACS, indica all'IdP dove reindirizzare un utente autenticato dopo l'accesso. Un URL ACS ha il seguente formato:

https://www.google.com/a/domain.com/acs

Nota: se la tua organizzazione limita l'accesso a www.google.com, contatta il team di assistenza della tua organizzazione per un URL ACS alternativo e vai a Creare un profilo SSO

Indicazioni per gli attributi

Se hai configurato il servizio SSO tramite un provider di identità di terze parti e l'asserzione SAML del tuo IdP include un elemento <AttributeStatement>, Google archivierà questi attributi fino alla scadenza della sessione dell'Account Google dell'utente. La durata della sessione varia e può essere configurata dall'amministratore. Una volta scaduta la sessione dell'account, le informazioni sugli attributi verranno eliminate definitivamente entro una settimana.

Come per gli attributi personalizzati nella directory, gli attributi delle dichiarazioni non devono includere informazioni sensibili che consentono l'identificazione personale (PII), come credenziali dell'account, numeri di carte d'identità, dati di titolari delle carte, dati finanziari, dati sanitari o informazioni di carattere generale riservate.

Gli utilizzi consigliati per gli attributi delle asserzioni includono:

  • ID utente per sistemi IT interni
  • Ruoli specifici della sessione

Nelle tue asserzioni puoi passare solo un massimo di 2 kB di dati degli attributi. I valori degli attributi devono essere stringhe con caratteri ASCII minuscoli (i caratteri Unicode/UTF-8 non sono supportati). I valori delle asserzioni che non sono caratteri ASCII minuscoli e le asserzioni che superano la dimensione massima consentita verranno rifiutati completamente e l'accesso non andrà a buon fine.
 

Restituire le asserzioni al servizio ACS

Risolvere i problemi

Per risolvere i problemi relativi alle suddette asserzioni, utilizza lo strumento di controllo della rete. Per le istruzioni, consulta la pagina Strumento di analisi HAR di Strumenti amministrativi Google

Se devi contattare l'assistenza, utilizza un account di prova eliminabile perché l'acquisizione HTTP Archive (HAR) contiene il nome utente e la password in chiaro. In alternativa, modifica il file per eliminare le interazioni sensibili tra l'utente e l'IdP. Contatta l'assistenza Google Workspace.

Il parametro SAMLRequest inviato al tuo IdP contiene l'attributo AssertionConsumerServiceURL pertinente. Se il parametro SAMLResponse viene inviato a un altro URL, ciò potrebbe indicare la presenza di un problema di configurazione del tuo IdP.
Utilizzare elementi e attributi

Nota: l'asserzione SAML può contenere solo caratteri ASCII standard.

Elemento NameID

Campo Elemento NameID nell'elemento Subject.
 
Descrizione

NameID identifica l'elemento Subject, che corrisponde all'indirizzo email principale dell'utente. 

Fa distinzione tra maiuscole e minuscole.

Valore

obbligatorio

user@example.com
 
Esempio <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Attributo Recipient

Campo Attributo Recipient nell'elemento SubjectConfirmationData
 
Descrizione

Recipient specifica i dati aggiuntivi richiesti per l'elemento Subject. 

Fa distinzione tra maiuscole e minuscole.

example.com corrisponde probabilmente al dominio principale del tuo account Google Workspace o Cloud Identity, anche se l'utente in fase di autenticazione utilizza un dominio secondario che appartiene allo stesso account Google Workspace o Cloud Identity.

Valore

obbligatorio

https://www.google.com/a/example.com/acs

o

https://accounts.google.com/a/example.com/acs

Esempio <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Elemento Audience

Campo Elemento Audience nell'elemento principale AudienceRestriction
Descrizione

Audience è l'URI (Uniform Resource Identifier) che identifica il pubblico previsto e che richiede il valore dell'URI dell'ACS.

example.com corrisponde probabilmente al dominio principale del tuo account Google Workspace o Cloud Identity, anche se l'utente in fase di autenticazione utilizza un dominio secondario che appartiene allo stesso account Google Workspace o Cloud Identity.

Questo valore non può essere vuoto.

Valore

obbligatorio

https://www.google.com/a/example.com/acs

o

https://accounts.google.com/a/example.com/acs

Esempio

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Attributo Destination

Campo Attributo Destination dell'elemento Response
 
Descrizione

Destination è l'URI della destinazione dell'asserzione SAML.

È un attributo opzionale; tuttavia, se viene dichiarato, è necessario specificare un valore dell'URI dell'ACS.

example.com corrisponde probabilmente al dominio principale del tuo account Google Workspace o Cloud Identity, anche se l'utente in fase di autenticazione utilizza un dominio secondario che appartiene allo stesso account Google Workspace o Cloud Identity.

Valore

obbligatorio

https://www.google.com/a/example.com/acs 

o

https://accounts.google.com/a/example.com/acs

Esempio <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
16972227515400850663
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false