Persyaratan pernyataan SSO

Sebagai administrator, Anda memerlukan elemen dan atribut yang tercantum dalam tabel berikut untuk pernyataan SSO SAML 2.0 yang dikirimkan ke Google Assertion Consumer Service (ACS) setelah Penyedia Identitas (IdP) mengautentikasi pengguna.

Tentang Assertion Consumer Service

Assertion Consumer Service atau URL ACS memberi tahu IdP terkait tempat tujuan pengguna yang diautentikasi akan dialihkan setelah login. URL ACS memiliki bentuk berikut:

https://www.google.com/a/domain.com/acs

Catatan: Jika organisasi Anda membatasi akses ke www.google.com, hubungi tim dukungan organisasi Anda untuk mendapatkan URL ACS alternatif, lalu buka Membuat profil SSO.

Panduan untuk atribut

Jika Anda telah menyiapkan SSO melalui Penyedia Identitas pihak ketiga dan pernyataan SAML IdP Anda menyertakan <AttributeStatement>, Google akan menyimpan atribut ini sampai sesi Akun Google pengguna tersebut berakhir. (Durasi sesi bervariasi dan dapat dikonfigurasi oleh administrator.) Setelah sesi akun berakhir, informasi atribut akan dihapus permanen dalam waktu satu minggu.

Seperti halnya atribut khusus di Direktori, atribut pernyataan tidak boleh menyertakan informasi identitas pribadi (PII) yang bersifat sensitif, seperti kredensial akun, nomor tanda pengenal yang dikeluarkan pemerintah, data pemegang kartu, data rekening keuangan, informasi layanan kesehatan, atau informasi latar belakang pribadi yang sensitif.

Penggunaan yang direkomendasikan untuk atribut pernyataan mencakup:

ID Pengguna untuk sistem IT internal
Peran spesifik per sesi

Anda hanya dapat meneruskan maksimum 2 kB data atribut dalam pernyataan. Nilai atribut harus berupa string low-ASCII (karakter Unicode/UTF-8 tidak didukung). Nilai pernyataan yang bukan low-ASCII dan pernyataan yang melebihi ukuran maksimum yang diizinkan akan ditolak sama sekali, dan menyebabkan proses login gagal.

Mengirim pernyataan ke ACS

Memecahkan masalah

Untuk memecahkan masalah terkait pernyataan ini, gunakan pemeriksa jaringan. Untuk mengetahui petunjuknya, lihat halaman Penganalisis HAR Toolbox Google Admin.

Jika Anda perlu menghubungi dukungan, gunakan akun pengujian sekali pakai karena rekaman Arsip HTTP (HAR) berisi nama pengguna dan sandi dalam teks yang jelas. Anda juga dapat mengedit file untuk menghapus interaksi sensitif antara pengguna dan IdP. Hubungi dukungan Google Workspace.

SAMLRequest yang dikirim ke IdP berisi AssertionConsumerServiceURL yang relevan. Jika SAMLResponse dikirim ke URL lain, mungkin terdapat masalah konfigurasi pada IdP Anda.

Menggunakan elemen dan atribut

Catatan: Pernyataan SAML hanya dapat berisi karakter ASCII standar.

Elemen Name ID

Kolom	Elemen NameID di elemen Subject.
Deskripsi	NameID mengidentifikasi subjek yang merupakan alamat email primer pengguna. Elemen ini bersifat peka huruf besar atau kecil.
Nilai yang Wajib Diisi	user@example.com
Contoh	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

Atribut Recipient

Kolom	Atribut Recipient di elemen SubjectConfirmationData
Deskripsi	Recipient menentukan data tambahan yang diperlukan untuk subjek. Elemen ini bersifat peka huruf besar atau kecil. Mungkin example.com adalah domain primer akun Google Workspace atau Cloud Identity Anda, meskipun pengguna yang diautentikasi menggunakan domain sekunder dalam akun Google Workspace atau Cloud Identity yang sama.
Nilai yang Wajib Diisi	https://www.google.com/a/example.com/acs atau https://accounts.google.com/a/example.com/acs
Contoh	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

Elemen Audience

Kolom	Elemen Audience di elemen induk AudienceRestriction
Deskripsi	Audience adalah Uniform Resource Identifier (URI) yang mengidentifikasi audiens yang dimaksud yang memerlukan nilai URI ACS. Mungkin example.com adalah domain primer akun Google Workspace atau Cloud Identity Anda, meskipun pengguna yang diautentikasi menggunakan domain sekunder dalam akun Google Workspace atau Cloud Identity yang sama. Nilai elemen ini tidak boleh kosong.
Nilai yang Wajib Diisi	https://www.google.com/a/example.com/acs atau https://accounts.google.com/a/example.com/acs
Contoh	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://www.google.com/a/example.com/acs </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

Atribut Destination

Kolom	Atribut Destination di elemen Response
Deskripsi	Destination adalah URI yang menjadi tujuan pengiriman pernyataan SAML. Ini adalah atribut opsional, tetapi jika dideklarasikan, atribut akan memerlukan nilai URI ACS. Mungkin example.com adalah domain primer akun Google Workspace atau Cloud Identity Anda, meskipun pengguna yang diautentikasi menggunakan domain sekunder dalam akun Google Workspace atau Cloud Identity yang sama.
Nilai yang Wajib Diisi	https://www.google.com/a/example.com/acs atau https://accounts.google.com/a/example.com/acs
Contoh	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`

Apakah ini membantu?

Bagaimana cara meningkatkannya?