Requisitos de las aserciones de SSO

Como administrador, cuando un proveedor de identidades autentica un usuario, necesitas que los elementos y los atributos que figuran en las tablas de confirmaciones de SSO de SAML 2.0 de este artículo se devuelvan al servicio de consumidor de confirmaciones (ACS) de Google.

Directrices para atributos

Si has configurado el inicio de sesión único (SSO) usando un proveedor de identidades externo y la aserción de SAML de tu IdP incluye una <AttributeStatement>, Google almacenará estos atributos hasta que la sesión de la cuenta de Google del usuario caduque.La duración de la sesión varía y el administrador puede configurarla.Cuando la sesión de la cuenta caduca, la información de los atributos se elimina definitivamente en el plazo de una semana.

Al igual que ocurre con los atributos personalizados de Directorio, los atributos de aserción no deben incluir información personal identificable sensible, como credenciales de cuentas, números de identificación oficiales, datos de titulares de tarjetas, datos de cuentas financieras, información sanitaria o datos sensibles.

Usos recomendados para los atributos de aserción:

  • IDs de usuario para sistemas de TI internos
  • Roles específicos de sesiones

En tus aserciones, solo puedes transferir un máximo de 2 kB de datos de atributos. Las aserciones que superen el tamaño máximo permitido se rechazarán por completo y provocarán un error de inicio de sesión.

Conjuntos de caracteres admitidos

El conjunto de caracteres admitido depende de si utilizas perfiles de SSO o el perfil de SSO antiguo:

  • Perfil de SSO antiguo: los valores de los atributos deben ser cadenas de ASCII bajo (no se admiten caracteres Unicode/UTF-8, ya que provocarían un error de inicio de sesión).
  • Perfiles de SSO: se admiten caracteres Unicode o UTF-8.

Devolver confirmaciones al ACS

Solucionar problemas

Si tienes algún problema con estas aserciones, puedes solucionarlo con el inspector de red. Para obtener instrucciones al respecto, consulta la página de HAR Analyzer de la Caja de herramientas de Google Admin

Si quieres ponerte en contacto con el equipo de Asistencia, utiliza una cuenta de prueba que puedas eliminar, ya que en las capturas de archivo HTTP (HAR) se incluyen el nombre de usuario y la contraseña usados en texto sin cifrar. También tienes la opción de editar el archivo para eliminar las interacciones sensibles entre el usuario y el proveedor de identidades. Ponte en contacto con el equipo de Asistencia de Google Workspace.

Los elementos SAMLRequest que se envían al proveedor de identidades contienen la URL AssertionConsumerServiceURL correspondiente. Si tu elemento SAMLResponse se envía a otra URL, es posible que haya algún problema con la configuración de tu proveedor de identidades.
Usar elementos y atributos: perfiles de SSO

Elemento NameID

Campo Elemento NameID del elemento Subject.
 
Descripción

En el elemento NameID se identifica el asunto que es la dirección de correo electrónico principal del usuario. 

Distingue entre mayúsculas y minúsculas.

Valor

Valor

 user@example.com
 
Ejemplo <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

Atributo Recipient

Campo Atributo Recipient del elemento SubjectConfirmationData
 
Descripción

Recipient especifica la URL del servicio de consumidor de aserciones del proveedor de servicios para el que está destinada la aserción. 

Valor

Valor

Valor de la URL ACS de la sección de detalles del proveedor de servicios del perfil de SSO.
Ejemplo <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
 <saml:SubjectConfirmationData
   NotOnOrAfter="2014-11-05T17:37:07Z"
   Recipient="https://accounts.google.com/samlrp/0abc123/acs"
   InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
 </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

Elemento Audience

Campo El elemento Audience del elemento principal AudienceRestriction
Descripción

Audience es una referencia URI que identifica la audiencia de destino de la aserción.

Valor

Valor

Valor de ID de entidad de la sección de detalles del proveedor de servicios del perfil de SSO.
Ejemplo

<saml:Conditions
  NotBefore="2014-11-05T17:31:37Z"
  NotOnOrAfter="2014-11-05T17:37:07Z">
 <saml:AudienceRestriction>
  <saml:Audience>https://accounts.google.com/samlrp/0abc123
  </saml:Audience>
 </saml:AudienceRestriction>
</saml:Conditions>

Atributo Destination

Campo Atributo Destination del elemento Response
 
Descripción

Destination es una referencia URI que indica la dirección a la que se ha enviado esta respuesta.

Valor

Valor

 Se trata de un atributo opcional. Si se define, debe ser el valor de la URL ACS de la sección de detalles del proveedor de servicios del perfil de SSO.
Ejemplo <saml:Response 
  Destination="https://accounts.google.com/samlrp/0abc123/acs"
  ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
  InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
  IssueInstant="2024-10-04T20:17:38.726Z"
  Version="2.0">
 ...
</saml:Response>
Usar elementos y atributos: perfil de SSO antiguo

Nota: La aserción de SAML solo puede contener caracteres ASCII.

Elemento NameID

Campo Elemento NameID del elemento Subject.
 
Descripción

En el elemento NameID se identifica el asunto que es la dirección de correo electrónico principal del usuario. 

Distingue entre mayúsculas y minúsculas.

Valor

Valor

 user@example.com
 
Ejemplo <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

Atributo Recipient

Campo Atributo Recipient del elemento SubjectConfirmationData
 
Descripción

En el atributo Recipient se indican datos adicionales que se requieren en el asunto. 

Probablemente example.com sea el dominio principal de tu cuenta de Google Workspace o de Cloud Identity, aunque el usuario que se esté autenticando utilice un dominio secundario de esa misma cuenta de Google Workspace o de Cloud Identity.

Valor

Valor

https://www.google.com/a/example.com/acs

o

https://accounts.google.com/a/example.com/acs
Ejemplo <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
  <saml:SubjectConfirmationData
      NotOnOrAfter="2014-11-05T17:37:07Z"
      Recipient="https://www.google.com/a/example.com/acs"
      InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
  </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

Elemento Audience

Campo El elemento Audience del elemento principal AudienceRestriction
Descripción

El elemento Audience es el identificador uniforme de recursos (URI) que detecta la audiencia de destino que requiere el valor de URI de ACS.

Probablemente example.com sea el dominio principal de tu cuenta de Google Workspace o de Cloud Identity, aunque el usuario que se esté autenticando utilice un dominio secundario de esa misma cuenta de Google Workspace o de Cloud Identity.

Este elemento debe tener un valor.

Valor

Valor

Cualquiera de los siguientes:

  • google.com
  • google.com/a/<tu dominio> (si has marcado la opción "Utilizar una entidad emisora específica del dominio" en la configuración del perfil de SSO antiguo).
Ejemplo

<saml:Conditions
    NotBefore="2014-11-05T17:31:37Z"
    NotOnOrAfter="2014-11-05T17:37:07Z">
  <saml:AudienceRestriction>
    <saml:Audience>google.com/a/example.com</saml:Audience>
  </saml:AudienceRestriction>
</saml:Conditions>

Atributo Destination

Campo Atributo Destination del elemento Response
 
Descripción

El atributo Destino es el URI de la ubicación a la que se envía la confirmación de SAML.

Se trata de un atributo opcional, pero si se declara, necesitará un valor de URI ACS.

Probablemente example.com sea el dominio principal de tu cuenta de Google Workspace o de Cloud Identity, aunque el usuario que se esté autenticando utilice un dominio secundario de esa misma cuenta de Google Workspace o de Cloud Identity.

Valor

Valor

https://www.google.com/a/example.com/acs 

o

https://accounts.google.com/a/example.com/acs
Ejemplo <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
15820541262805274385
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false