En tant qu'administrateur, vous avez besoin des éléments et attributs répertoriés dans les tableaux présentés sur cette page. Ils sont obligatoires pour toute assertion SSO SAML 2.0 renvoyée au service ACS de Google (Assertion Consumer Service) après que le fournisseur d'identité (IdP) a authentifié l'utilisateur.
À propos du service ACS (Assertion Consumer Service)
Le service ACS, ou URL ACS, indique au fournisseur d'identité vers quelle page rediriger un utilisateur authentifié après connexion. Une URL ACS se présente sous la forme suivante :
https://www.google.com/a/domain.com/acs
Remarque : Si votre organisation restreint l'accès à www.google.com, veuillez contacter l'équipe d'assistance de votre organisation pour obtenir une autre URL ACS et consulter Créer un profil SSO.
Conseils pour les attributs
Si vous avez configuré l'authentification unique via un fournisseur d'identité (IdP) tiers et que l'assertion SAML de votre IdP inclut un élément <AttributeStatement>
, Google stockera ces attributs jusqu'à la session du compte Google de l'utilisateur expire. (La durée de la session varie et peut être configurée par l'administrateur.)Une fois la session du compte arrivée à expiration, les informations sur les attributs sont définitivement supprimées dans un délai d'une semaine.
Comme pour les attributs personnalisés dans l'annuaire, les attributs d'assertion ne doivent pas inclure d'informations personnelles sensibles telles que les identifiants de compte, les numéros de carte d'identité nationale, les données sur les titulaires de cartes, les données comptables, les informations de santé ou les données sensibles.
Exemples d'utilisation recommandée des attributs d'assertion:
- ID utilisateur des systèmes informatiques internes
- Rôles spécifiques aux sessions
Vous ne pouvez pas transmettre plus de 2 Ko de données d'attribut dans vos assertions. Les valeurs des attributs doivent être des chaînes ASCII à valeur basse (les caractères Unicode/UTF-8 ne sont pas acceptés). Les valeurs d'assertion qui ne sont pas des chaînes ASCII de valeur basse et les assertions qui dépassent la taille maximale autorisée seront refusées et entraîneront l'échec de la connexion.
Transmettre les assertions au service ACS
Dépannage
Si vous devez contacter l'assistance, utilisez un compte de test temporaire. En effet, la capture de l'archive HTTP (HAR) contient le nom d'utilisateur et le mot de passe en texte clair. Vous pouvez également modifier le fichier pour supprimer les interactions sensibles entre l'utilisateur et le fournisseur d'identité. Contactez l'assistance Google Workspace.
La requête SAML envoyée à votre fournisseur d'identité contient l'URL ACS pertinente. Si votre réponse SAML est envoyée à une autre URL, il est probable qu'il y ait un problème de configuration lié à votre fournisseur d'identité.
Remarque : L'assertion SAML ne peut contenir que des caractères ASCII standards.
Élément "NameID" (ID du nom)
Champ | Élément NameID dans l'élément Subject |
---|---|
Description |
NameID identifie l'élément "Subject" (Sujet) correspondant à l'adresse e-mail principale de l'utilisateur. Ce champ est sensible à la casse. |
Valeur Valeur |
utilisateur@example.com |
Exemple | <saml:Subject> |
Attribut "Recipient" (Destinataire)
Champ | Attribut Recipient dans l'élément SubjectConfirmationData |
---|---|
Description |
Recipient indique les données supplémentaires requises pour l'élément "Subject" (Sujet). Ce champ est sensible à la casse. example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity. |
Valeur requise |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
Exemple | <saml:Subject> |
Élément "Audience"
Champ | Élément Audience dans l'élément parent AudienceRestriction |
---|---|
Description |
Audience est l'URI (Uniform Resource Identifier) identifiant l'audience visée. Elle nécessite comme valeur l'URI ACS. example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity. Vous devez obligatoirement saisir une valeur pour cet élément. |
Valeur requise |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
Exemple |
|
Attribut "Destination"
Champ | Attribut Destination de l'élément Response (Réponse) |
---|---|
Description |
Destination est l'URI de la destination à laquelle l'assertion SAML est envoyée. Il s'agit d'un attribut facultatif, mais, s'il est déclaré, il requiert comme valeur l'URI ACS. example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity. |
Valeur requise |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
Exemple | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |