管理員需要使用下表所列的元素與屬性,才能在識別資訊提供者 (IdP) 驗證使用者後,將 SAML 2.0 SSO 宣告傳回 Google 宣告客戶服務 (ACS)。
屬性指南
如果您透過第三方識別資訊提供者設定單一登入 (SSO),而 IdP 的 SAML 宣告含有 <AttributeStatement>,Google 會儲存這些屬性,直到使用者的 Google 帳戶工作階段過期 (工作階段長度可能因管理員而異,管理員可以設定工作階段長度)。帳戶工作階段到期後,屬性資訊會在一週內永久刪除。
與目錄中的自訂屬性一樣,宣告屬性不得包含具敏感性的個人識別資訊 (PII),例如帳戶憑證、身分證字號、持卡人資料、金融帳戶資料、醫療照護資訊或機密背景資訊。
宣告屬性的建議用途包括:
- 內部 IT 系統的使用者 ID
- 特定工作階段的角色
您最多只能在宣告中傳遞 2 KB 的屬性資料。超過許可大小上限的宣告將遭到拒絕,並導致登入失敗。
支援的字元集
視您使用的 SSO 設定檔是否為舊版,支援的字元集會有所不同:
- 舊版 SSO 設定檔:屬性值必須是低 ASCII 字串 (系統不支援 Unicode/UTF-8 字元,這會導致登入失敗)。
- SSO 設定檔:支援 Unicode/UTF-8 字元。
將宣告傳回 ACS
排解問題
如需與支援團隊聯絡,請使用一次性測試帳戶,因為 HTTP 封存格式 (HAR) 擷取資料含有以純文字顯示的使用者名稱和密碼。此外,您也可以透過編輯檔案來刪除使用者和 IdP 之間的機密互動資料。與 Google Workspace 支援團隊聯絡。
傳送給您 IdP 的 SAMLRequest 含有相關的 AssertionConsumerServiceURL。如果您的 SAMLResponse 傳送到了其他網址,代表您的 IdP 設定可能有問題。
名稱 ID 元素
| 欄位 | <Subject> 元素中的 <NameID> 元素。 |
|---|---|
| 說明 |
<NameID>NameID 可辨識使用者主要電子郵件地址的主旨。 須區分大小寫。 |
|
必要 值 |
user@example.com |
| 範例 | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
收件者屬性
| 欄位 | <SubjectConfirmationData> 元素中的 <Recipient> 屬性 |
|---|---|
| 說明 |
Recipient 會指定要將宣告傳送給哪個服務供應商的宣告客戶服務網址。 |
|
必要 值 |
SSO 設定檔「服務供應商 (SP) 詳細資料」部分的 ACS 網址值。 |
| 範例 | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
目標對象元素
| 欄位 | <AudienceRestriction> 上層元素中的 <Audience> 元素 |
|---|---|
| 說明 |
Audience 是 URI 參照,用於識別宣告指定的目標對象。 |
|
必要 值 |
SSO 設定檔「服務供應商 (SP) 詳細資料」部分的實體 ID 值。 |
| 範例 |
|
目的地屬性
| 欄位 | <Response> 元素的 <Destination> 屬性 |
|---|---|
| 說明 |
Destination 是 URI 參照,可指出此回應已傳送到哪個地址。 |
|
必要 值 |
這是選用屬性,如要設定此屬性,應設為 SSO 設定檔「服務供應商 (SP) 詳細資料」部分的 ACS 網址值。 |
| 範例 | <saml:Response |
注意:SAML 宣告只能包含標準 ASCII 字元。
名稱 ID 元素
| 欄位 | <Subject> 元素中的 <NameID> 元素。 |
|---|---|
| 說明 |
<NameID>NameID 可辨識使用者主要電子郵件地址的主旨。 須區分大小寫。 |
|
必要 值 |
user@example.com |
| 範例 | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
收件者屬性
| 欄位 | <SubjectConfirmationData> 元素中的 <Recipient> 屬性 |
|---|---|
| 說明 |
<Recipient> 可指定主旨需要的額外資料。 「example.com」可能是您的 Google Workspace 或 Cloud Identity 帳戶的主網域,即使要驗證的使用者所採用的是相同 Google Workspace 或 Cloud Identity 帳戶的次要網域也一樣。 |
|
必要 值 |
https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs |
| 範例 | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
目標對象元素
| 欄位 | <AudienceRestriction> 上層元素中的 <Audience> 元素 |
|---|---|
| 說明 |
<Audience> 為統一資源 ID (URI),用於辨識需要 ACS URI 值的指定目標對象。 「example.com」example.com可能是您的 Google Workspace 或 Cloud Identity 帳戶的主網域,即使要驗證的使用者所採用的是相同 Google Workspace 或 Cloud Identity 帳戶的次要網域也一樣。 此元素值不可留空。 |
|
必要 值 |
可以是以下任一項:
|
| 範例 |
|
目的地屬性
| 欄位 | <Response> 元素的 <Destination> 屬性 |
|---|---|
| 說明 |
<Destination> 是傳送 SAML 宣告的目的地 URI。 這是選用屬性,但如果經過宣告,就需要 ACS URI 的值。 「example.com」example.com可能是您的 Google Workspace 或 Cloud Identity 帳戶的主網域,即使要驗證的使用者所採用的是相同 Google Workspace 或 Cloud Identity 帳戶的次要網域也一樣。 |
|
必要 值 |
https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs |
| 範例 | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |