Vereisten voor SSO-assertie

Als beheerder heeft u de volgende elementen en kenmerken nodig voor SAML 2.0 SSO-verklaringen die worden teruggestuurd naar de Google Assertion Consumer Service (ACS) nadat de eindgebruiker is geverifieerd door de identiteitsprovider (IDP).

Over de Assertion Consumer Service

De Assertion Consumer Service (of de ACS-URL) vertelt de IdP waar een geverifieerde gebruiker na het inloggen naartoe moet worden gestuurd. Een ACS-URL heeft de volgende indeling:

https://www.google.com/a/domain.com/acs

Opmerking: Als uw organisatie de toegang tot www.google.com beperkt, neemt u contact op met het supportteam van uw organisatie voor een alternatieve ACS-URL en gaat u naar Een SSO-profiel maken

Hulp bij kenmerken

Als u SSO heeft ingesteld via een identiteitsprovider van derden en de SAML-verklaring van uw IdP een <AttributeStatement> bevat, slaat Google deze kenmerken op totdat de sessie voor het Google-account van de gebruiker verloopt. (De sessieduur verschilt en kan worden ingesteld door de beheerder.) Nadat de accountsessie is verlopen, worden kenmerkgegevens binnen 1 week definitief verwijderd.

Net als aangepaste kenmerken in Directory mogen assertiekenmerken geen gevoelige persoonlijk identificeerbare informatie (PII) bevatten, zoals accountgegevens, ID-nummers die door de overheid worden uitgegeven, gegevens van kaarthouders, bankrekeninggegevens, medische gegevens of gevoelige achtergrondinformatie.

Aanbevolen toepassingen voor assertiekenmerken zijn onder andere:

  • Gebruikers-ID's voor interne IT-systemen
  • Sessiespecifieke rollen

U kunt maximaal 2 KB aan kenmerkgegevens opgeven in uw asserties. De kenmerkwaarden moeten bestaan uit low-SCII-tekenreeksen (Unicode-/UTF-8-tekens worden niet ondersteund). Asserties met waarden die niet uit low-ASCII-tekenreeksen bestaan en asserties die de maximumgrootte overschrijden, worden geweigerd en inloggen zal niet lukken.
 

Verklaringen terugsturen naar de ACS

Problemen oplossen

Gebruik het netwerkinspectieprogramma om problemen met deze asserties op te lossen. Ga naar de pagina over HAR Analyzer in de Google Admin Toolbox voor instructies. 

Als u contact wilt opnemen met support, moet u een eenmalig testaccount gebruiken, omdat in de opname van het HTTP-archief (HAR) de gebruikersnaam en het wachtwoord zichtbaar zijn. U kunt het bestand ook bewerken om gevoelige interacties tussen de gebruiker en de IdP te verwijderen. Neem contact op met Google Workspace-support.

Het SAML-verzoek dat naar de IdP wordt gestuurd, bevat de relevante AssertionConsumerServiceURL Als de SAML-reactie naar een andere URL wordt gestuurd, kan er een configuratieprobleem zijn met de IDP.
Elementen en kenmerken gebruiken

Opmerking: De SAML-assertie kan alleen standaard ASCII-tekens bevatten.

Element NameID

Veld Element NameID (Naam-ID) in het element Subject (Onderwerp).
 
Beschrijving

Met de NameID wordt het onderwerp geïdentificeerd. Dit is het primaire e-mailadres van de gebruiker. 

Dit element is hoofdlettergevoelig.

Vereist

Waarde

gebruiker@example.com
 
Voorbeeld <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Kenmerk 'Recipient'

Veld Het kenmerk Recipient (Ontvanger) in het element SubjectConfirmationData (Bevestigingsgegevens onderwerp).
 
Beschrijving

Het kenmerk Recipient bevat aanvullende gegevens die vereist zijn voor het onderwerp. 

Dit element is hoofdlettergevoelig.

example.com is waarschijnlijk het hoofddomein van uw Google Workspace- of Cloud Identity-account, zelfs als de gebruiker die wordt geverifieerd een secundair domein gebruikt in hetzelfde Google Workspace- of Cloud Identity-account.

Vereist

Waarde

https://www.google.com/a/example.com/acs

of

https://accounts.google.com/a/example.com/acs

Voorbeeld <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Element 'Audience'

Veld Het element Audience (Doelgroep) in het bovenliggende element AudienceRestriction (Doelgroepbeperking).
Beschrijving

Audience is de Uniform Resource Identifier (URI) waarmee de bedoelde doelgroep wordt aangegeven waarvoor de waarde van de ACS-URI is vereist.

example.com is waarschijnlijk het hoofddomein van uw Google Workspace- of Cloud Identity-account, zelfs als de gebruiker die wordt geverifieerd een secundair domein gebruikt in hetzelfde Google Workspace- of Cloud Identity-account.

De waarde van dit element mag niet leeg zijn.

Vereist

Waarde

https://www.google.com/a/example.com/acs

of

https://accounts.google.com/a/example.com/acs

Voorbeeld

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Kenmerk Destination

Veld Het kenmerk Destination (Bestemming) van het element Response (Reactie).
 
Beschrijving

Destination is de URI vanaf waar de SAML-verklaring wordt verzonden.

Dit is een optioneel kenmerk, maar als het wordt opgegeven, moet het de waarde van de ACS-URI bevatten.

example.com is waarschijnlijk het hoofddomein van uw Google Workspace- of Cloud Identity-account, zelfs als de gebruiker die wordt geverifieerd een secundair domein gebruikt in hetzelfde Google Workspace- of Cloud Identity-account.

Vereist

Waarde

https://www.google.com/a/example.com/acs 

of

https://accounts.google.com/a/example.com/acs

Voorbeeld <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

Was dit nuttig?

Hoe kunnen we dit verbeteren?
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
47123357842878871
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false