Als Administrator müssen Sie sicherstellen, dass die in den folgenden Tabellen aufgeführten Elemente und Attribute für SAML 2.0 SSO-Assertions an den Google Assertion Consumer Service (ACS) gesendet werden, nachdem der Nutzer vom Identitätsanbieter authentifiziert wurde.
Hinweise zu Attributen
Wenn Sie die Einmalanmeldung (SSO) über einen externen Identitätsanbieter eingerichtet haben und die SAML-Assertion Ihres IdP ein <AttributeStatement> enthält, speichert Google diese Attribute, bis die Google Account-Sitzung des Nutzers abläuft. Die Sitzungslänge variiert und kann vom Administrator konfiguriert werden. Nach Ablauf der Kontositzung werden die Attributinformationen innerhalb einer Woche endgültig gelöscht.
Wie bei benutzerdefinierten Attributen im Verzeichnis sollten Assertion-Attribute keine vertraulichen personenidentifizierbaren Informationen enthalten, z. B. Anmeldedaten für Konten, behördliche Identifikationsnummern, Karteninhaberdaten, Finanzdaten, Gesundheitsdaten oder vertrauliche Hintergrundinformationen.
Empfohlene Verwendungen für Assertion-Attribute:
- Nutzer-IDs für interne IT-Systeme
- Sitzungsspezifische Rollen
Sie können in Ihren Assertions maximal 2 KB an Attributdaten übergeben. Assertions, die die maximal zulässige Größe überschreiten, werden vollständig abgelehnt. Dadurch kann die Anmeldung fehlschlagen.
Unterstützte Zeichensätze
Der unterstützte Zeichensatz hängt davon ab, ob Sie SSO-Profile oder das Legacy-SSO-Profil verwenden:
- Legacy-SSO-Profil: Attributwerte müssen niedrige ASCII-Strings sein. Unicode-/UTF-8-Zeichen werden nicht unterstützt und führen zu einem Anmeldefehler.
- SSO-Profile: Unicode-/UTF-8-Zeichen werden unterstützt.
Assertions an den ACS senden
Fehlerbehebung
Wenn Sie sich an den Support wenden müssen, sollten Sie ein temporäres Testkonto nutzen, da die HTTP-Archivdatei (HAR) den Nutzernamen und das Passwort im Klartext enthält. Alternativ können Sie auch die sensiblen Interaktionen zwischen dem Nutzer und dem Identitätsanbieter aus der Datei löschen. Wenden Sie sich an den Google Workspace-Support.
Die an Ihren Identitätsanbieter gesendete SAML-Anfrage enthält die relevante AssertionConsumerServiceURL. Wenn Ihre SAML-Antwort an eine andere URL gesendet wird, liegt möglicherweise ein Konfigurationsproblem bei Ihrem Identitätsanbieter vor.
Element „NameID“
| Feld | Element NameID im Element Subject |
|---|---|
| Beschreibung |
NameID steht für die primäre E-Mail-Adresse des Nutzers. Es wird zwischen Groß- und Kleinschreibung unterschieden. |
|
Erforderlich Wert |
user@example.com |
| Beispiel | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Attribut "Recipient"
| Feld | Attribut Recipient im Element SubjectConfirmationData |
|---|---|
| Beschreibung |
Mit Recipient wird die Assertion Consumer Service-URL des Dienstanbieters angegeben, für den die Assertion bestimmt ist. |
|
Erforderlich Wert |
Der Wert der ACS-URL aus dem Abschnitt „Details zum Dienstanbieter“ des SSO-Profils. |
| Beispiel | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Element "Audience"
| Feld | Element Audience im übergeordneten Element AudienceRestriction |
|---|---|
| Beschreibung |
Audience ist eine URI-Referenz, die die Zielgruppe der Assertion identifiziert. |
|
Erforderlich Wert |
Der Wert der Entitäts-ID aus dem Abschnitt „Details zum Dienstanbieter“ des SSO-Profils. |
| Beispiel |
|
Attribut "Destination"
| Feld | Attribut Destination des Elements Response |
|---|---|
| Beschreibung |
Destination ist eine URI-Referenz, die die Adresse angibt, an die diese Antwort gesendet wurde. |
|
Erforderlich Wert |
Dies ist ein optionales Attribut. Wenn es festgelegt ist, sollte es der Wert der ACS-URL aus dem Abschnitt „Details zum Dienstanbieter“ des SSO-Profils sein. |
| Beispiel | <saml:Response |
Hinweis: Die SAML-Assertion darf nur standardmäßige ASCII-Zeichen enthalten.
Element „NameID“
| Feld | Element NameID im Element Subject |
|---|---|
| Beschreibung |
NameID steht für die primäre E-Mail-Adresse des Nutzers. Es wird zwischen Groß- und Kleinschreibung unterschieden. |
|
Erforderlich Wert |
user@example.com |
| Beispiel | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Attribut "Recipient"
| Feld | Attribut Recipient im Element SubjectConfirmationData |
|---|---|
| Beschreibung |
Recipient gibt zusätzliche Daten an, die für "Subject" erforderlich sind. example.com ist wahrscheinlich die primäre Domain Ihres Google Workspace- oder Cloud Identity-Kontos, auch wenn der zu authentifizierende Nutzer eine sekundäre Domain im selben Google Workspace- oder Cloud Identity-Konto verwendet. |
|
Erforderlich Wert |
https://www.google.com/a/example.com/acs oder https://accounts.google.com/a/example.com/acs |
| Beispiel | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Element "Audience"
| Feld | Element Audience im übergeordneten Element AudienceRestriction |
|---|---|
| Beschreibung |
Audience ist der Uniform Resource Identifier (URI), mit dem die Zielgruppe identifiziert wird, die den Wert des ACS-URI erfordert. example.com ist wahrscheinlich die primäre Domain Ihres Google Workspace- oder Cloud Identity-Kontos, auch wenn der zu authentifizierende Nutzer eine sekundäre Domain im selben Google Workspace- oder Cloud Identity-Konto verwendet. Dieser Elementwert muss angegeben werden. |
|
Erforderlich Wert |
Eine der folgenden:
|
| Beispiel |
|
Attribut "Destination"
| Feld | Attribut Destination des Elements Response |
|---|---|
| Beschreibung |
Destination ist der URI, an den die SAML-Assertion gesendet werden soll. Das Attribut ist optional. Wenn es angegeben wird, ist dafür der Wert des ACS-URI erforderlich. example.com ist wahrscheinlich die primäre Domain Ihres Google Workspace- oder Cloud Identity-Kontos, auch wenn der zu authentifizierende Nutzer eine sekundäre Domain im selben Google Workspace- oder Cloud Identity-Konto verwendet. |
|
Erforderlich Wert |
https://www.google.com/a/example.com/acs oder https://accounts.google.com/a/example.com/acs |
| Beispiel | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |