Como administrador, cuando un proveedor de identidades autentica un usuario, necesitas que los elementos y los atributos que figuran en las tablas de confirmaciones de SSO de SAML 2.0 de este artículo se devuelvan al servicio de consumidor de confirmaciones (ACS) de Google.
Directrices para atributos
Si has configurado el inicio de sesión único (SSO) usando un proveedor de identidades externo y la aserción de SAML de tu IdP incluye una <AttributeStatement>
, Google almacenará estos atributos hasta que la sesión de la cuenta de Google del usuario caduque.La duración de la sesión varía y el administrador puede configurarla.Cuando la sesión de la cuenta caduca, la información de los atributos se elimina definitivamente en el plazo de una semana.
Al igual que ocurre con los atributos personalizados de Directorio, los atributos de aserción no deben incluir información personal identificable sensible, como credenciales de cuentas, números de identificación oficiales, datos de titulares de tarjetas, datos de cuentas financieras, información sanitaria o datos sensibles.
Usos recomendados para los atributos de aserción:
- IDs de usuario para sistemas de TI internos
- Roles específicos de sesiones
En tus aserciones, solo puedes transferir un máximo de 2 kB de datos de atributos. Las aserciones que superen el tamaño máximo permitido se rechazarán por completo y provocarán un error de inicio de sesión.
Conjuntos de caracteres admitidos
El conjunto de caracteres admitido depende de si utilizas perfiles de SSO o el perfil de SSO antiguo:
- Perfil de SSO antiguo: los valores de los atributos deben ser cadenas de ASCII bajo (no se admiten caracteres Unicode/UTF-8, ya que provocarían un error de inicio de sesión).
- Perfiles de SSO: se admiten caracteres Unicode o UTF-8.