Requisitos de declaração de SSO

Como administrador, você precisa dos elementos e atributos listados nas tabelas a seguir nas declarações de SSO de SAML 2.0 retornadas ao serviço de declaração de consumidor (ACS, na sigla em inglês) do Google depois que o provedor de identidade (IdP) autentica o usuário.

Sobre o serviço de declaração do consumidor

O serviço de declaração do consumidor, ou URL do ACS, informa ao IdP para onde redirecionar um usuário autenticado após o login. Um URL do ACS tem o seguinte formato:

https://www.google.com/a/domain.com/acs

Observação: caso sua organização restrinja o acesso a www.google.com, entre em contato com a equipe de suporte da organização para receber um URL do ACS alternativo e acesse Criar um perfil de SSO.

Orientação para atributos

Se você tiver configurado o SSO usando um provedor de identidade de terceiros e a declaração SAML do IdP incluir uma <AttributeStatement>, o Google armazenará esses atributos até a sessão da Conta do Google do usuário expirar. (A duração da sessão varia e pode ser configurada pelo administrador.) Depois que a sessão da conta expira, as informações do atributo são excluídas permanentemente em uma semana.

Assim como os atributos personalizados no diretório, os atributos de declaração não podem incluir informações de identificação pessoal (PII), como credenciais de conta, números de identificação governamentais, dados do titular do cartão, dados financeiros da conta, informações sobre saúde ou informações prévias confidenciais.

Os usos recomendados para atributos de declaração incluem:

  • IDs de usuários para sistemas internos de TI
  • Papéis específicos das sessões

Só é possível transmitir no máximo 2 KB de dados do atributo nas suas declarações. Os valores dos atributos precisam ser strings ASCII baixas (caracteres Unicode/UTF-8 não são compatíveis). Valores de declaração não de baixo ASCII e declarações que excedam o tamanho máximo permitido serão totalmente rejeitados, causando falha no login.
 

Retornar declarações ao ACS

Resolver problemas

Para resolver problemas com essas declarações, use o inspetor de rede. Veja mais instruções na página do HAR Analyzer do Google Admin Toolbox

Se precisar entrar em contato com o suporte, use uma conta de teste descartável, porque a captura em HTTP Archive (HAR, na sigla em inglês) contém o nome de usuário e a senha em texto não criptografado. Também é possível editar o arquivo para excluir as interações confidenciais entre o usuário e o IdP. Entre em contato com o suporte do Google Workspace.

A consulta SAMLRequest enviada para o IdP contém o AssertionConsumerServiceURL relevante. Se ela for enviada para outro URL, poderá haver um problema de configuração no IdP.
Usar elementos e atributos

Observação: a declaração SAML pode conter apenas caracteres ASCII padrão.

Elemento "Name ID"

Campo Elemento NameID no elemento Subject
 
Descrição

O elemento NameID identifica a entidade, que é o endereço de e-mail principal do usuário.

Ele diferencia maiúsculas de minúsculas.

Valor

Valor

user@example.com
 
Exemplo <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Atributo Recipient

Campo Atributo Recipient no elemento SubjectConfirmationData
 
Descrição

O atributo Recipient especifica dados adicionais da entidade.

Ele diferencia maiúsculas de minúsculas.

O domínio principal da conta do Google Workspace ou do Cloud Identity provavelmente é o example.com, mesmo que o usuário que está sendo autenticado tenha um domínio secundário na mesma conta do Google Workspace ou do Cloud Identity.

Valor

necessário

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemplo <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Elemento Audience

Campo Elemento Audience no elemento pai AudienceRestriction
Descrição

O elemento Audience é o identificador de recurso uniforme (URI) do público-alvo pretendido que requer o valor do URI do ACS.

O domínio principal da conta do Google Workspace ou do Cloud Identity provavelmente é o example.com, mesmo que o usuário que está sendo autenticado tenha um domínio secundário na mesma conta do Google Workspace ou do Cloud Identity.

O valor desse elemento não pode ficar vazio.

Valor

necessário

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemplo

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Atributo "Destination"

Campo Atributo Destination do elemento Response
 
Descrição

Destination é o URI de onde a declaração de SAML está sendo enviada.

Ele é um atributo opcional, mas, caso seja declarado, precisará de um valor de URI do ACS.

O domínio principal da conta do Google Workspace ou do Cloud Identity provavelmente é o example.com, mesmo que o usuário que está sendo autenticado tenha um domínio secundário na mesma conta do Google Workspace ou do Cloud Identity.

Valor

necessário

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemplo <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

Isso foi útil?

Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
5852945829318159264
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false