單一登入 (SSO) 宣告需求

管理員需要使用下表所列的元素與屬性,才能在識別資訊提供者 (IdP) 驗證使用者後,將 SAML 2.0 SSO 宣告傳回 Google 宣告客戶服務 (ACS)。

關於宣告客戶服務

宣告客戶服務網址 (或 ACS 網址) 用於通知 IdP,將登入的已驗證使用者重新導向至哪個網址。ACS 網址格式如下:

https://www.google.com/a/domain.com/acs

注意:如果貴機構限制存取 www.google.com,請與貴機構的支援團隊聯絡,取得替代 ACS 網址,然後前往建立單一登入 (SSO) 設定檔

屬性指南

如果您透過第三方識別資訊提供者設定單一登入 (SSO),而 IdP 的 SAML 宣告含有 <AttributeStatement>,Google 會儲存這些屬性,直到使用者的 Google 帳戶工作階段過期 (工作階段長度可能因管理員而異,管理員可以設定工作階段長度)。帳戶工作階段到期後,屬性資訊會在一週內永久刪除。

與目錄中的自訂屬性一樣,宣告屬性不得包含具敏感性的個人識別資訊 (PII),例如帳戶憑證、身分證字號、持卡人資料、金融帳戶資料、醫療照護資訊或機密背景資訊。

宣告屬性的建議用途包括:

  • 內部 IT 系統的使用者 ID
  • 工作階段專屬角色

您最多只能在宣告中傳遞 2 KB 的屬性資料。屬性值必須為低 ASCII 字串 (不支援 Unicode/UTF-8 字元)。非低 ASCII 的宣告值和超過允許大小上限的宣告將遭到拒絕,並導致登入失敗。
 

將宣告傳回 ACS

排解問題

您可以透過網路檢查工具,排解宣告相關問題。如需操作說明,請參閱 Google Admin Toolbox HAR 分析工具頁面

如需與支援團隊聯絡,請使用一次性測試帳戶,因為 HTTP 封存格式 (HAR) 擷取資料含有以純文字顯示的使用者名稱和密碼。此外,您也可以透過編輯檔案來刪除使用者和 IdP 之間的機密互動資料。與 Google Workspace 支援團隊聯絡。

傳送給您 IdP 的 SAMLRequest 含有相關的 AssertionConsumerServiceURL。如果您的 SAMLResponse 傳送到了其他網址,代表您的 IdP 設定可能有問題。
使用元素與屬性

注意:SAML 宣告只能包含標準 ASCII 字元。

名稱 ID 元素

欄位 <Subject> 元素中的 <NameID> 元素
 
說明

<NameID> 可辨識使用者主要電子郵件地址的主旨。

須區分大小寫。

必要

創造價值

 user@example.com
 
範例 <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

收件者屬性

欄位 <SubjectConfirmationData> 元素中的 <Recipient> 屬性
 
說明

<Recipient> 可指定主旨需要的額外資料。

須區分大小寫。

「example.com」可能是您的 Google Workspace 或 Cloud Identity 帳戶的主網域,即使要驗證的使用者所採用的是相同 Google Workspace 或 Cloud Identity 帳戶的次要網域也一樣。

必要

https://www.google.com/a/example.com/acs

https://accounts.google.com/a/example.com/acs
範例 <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

目標對象元素

欄位 <AudienceRestriction> 上層元素中的 <Audience> 元素
說明

<Audience> 為統一資源 ID (URI),用於辨識需要 ACS URI 值的指定目標對象。

「example.com」可能是您的 Google Workspace 或 Cloud Identity 帳戶的主網域,即使要驗證的使用者所採用的是相同 Google Workspace 或 Cloud Identity 帳戶的次要網域也一樣。

此元素值不可留空。

必要

https://www.google.com/a/example.com/acs

https://accounts.google.com/a/example.com/acs
範例

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

目的地屬性

欄位 <Response> 元素的 <Destination> 屬性
 
說明

<Destination> 是傳送 SAML 宣告的目的地 URI。

這是選用屬性,但如果經過宣告,就需要 ACS URI 的值。

「example.com」可能是您的 Google Workspace 或 Cloud Identity 帳戶的主網域,即使要驗證的使用者所採用的是相同 Google Workspace 或 Cloud Identity 帳戶的次要網域也一樣。

必要

https://www.google.com/a/example.com/acs

https://accounts.google.com/a/example.com/acs
範例 <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

這對您有幫助嗎?

我們應如何改進呢?

還有其他問題嗎?

嘗試以下步驟:

張貼到產品討論社群 向社群成員尋求答案
與我們聯絡 進一步說明相關資訊,我們會盡力協助您
true
立即開始 14 天免費試用

享盡公司專用電子郵件帳戶、線上儲存空間、共用日曆、視訊會議等好處。立即開始免費試用 G Suite

搜尋
清除搜尋內容
關閉搜尋
主選單
5439615532296475164
true
搜尋說明中心
true
true
true
true
true
73010
false
false