Conditions requises concernant les assertions SSO

En tant qu'administrateur, vous avez besoin des éléments et attributs répertoriés dans les tableaux présentés sur cette page. Ils sont obligatoires pour toute assertion SSO SAML 2.0 renvoyée au service ACS de Google (Assertion Consumer Service) après que le fournisseur d'identité (IdP) a authentifié l'utilisateur.

Conseils concernant les attributs

Si vous avez configuré l'authentification unique via un fournisseur d'identité (IdP) tiers et que l'assertion SAML de votre IdP inclut un élément <AttributeStatement>, Google stockera ces attributs jusqu'à la session du compte Google de l'utilisateur expire. (La durée de la session varie et peut être configurée par l'administrateur.) Une fois la session du compte arrivée à expiration, les informations sur les attributs sont définitivement supprimées dans un délai d'une semaine.

Comme pour les attributs personnalisés dans l'annuaire, les attributs d'assertion ne doivent pas inclure d'informations personnelles sensibles telles que les identifiants de comptes, les numéros de carte d'identité nationale, les informations sur les titulaires de cartes, les données comptables, les informations de santé ou les informations concernant des parcours personnels.

Exemples d'utilisation recommandée des attributs d'assertion:

  • ID utilisateur des systèmes IT internes
  • Rôles propres aux sessions

Vous ne pouvez pas transmettre plus de 2 ko de données d'attribut dans vos assertions. Les assertions qui dépassent la taille maximale autorisée seront refusées et entraîneront l'échec de la connexion.

Jeux de caractères compatibles

Le jeu de caractères accepté varie selon que vous utilisez des profils SSO ou l'ancien profil SSO :

  • Ancien profil SSO : les valeurs des attributs doivent être des chaînes ASCII à valeur basse (les caractères Unicode/UTF-8 ne sont pas acceptés et entraîneront l'échec de la connexion).
  • Profils SSO : les caractères Unicode/UTF-8 sont acceptés.

Transmettre les assertions au service ACS

Dépannage

Pour résoudre les problèmes liés à ces assertions, utilisez l'outil d'inspection de réseau. Pour obtenir des instructions, consultez Outil d'analyse HAR de Google Admin Toolbox

Si vous devez contacter l'assistance, utilisez un compte de test temporaire. En effet, la capture de l'archive HTTP (HAR) contient le nom d'utilisateur et le mot de passe en texte clair. Vous pouvez également modifier le fichier pour supprimer les interactions sensibles entre l'utilisateur et le fournisseur d'identité. Contactez l'assistance Google Workspace.

La requête SAML envoyée à votre fournisseur d'identité contient l'URL ACS pertinente. Si votre réponse SAML est envoyée à une autre URL, il est probable qu'il y ait un problème de configuration lié à votre fournisseur d'identité.
Utiliser des éléments et des attributs (profils SSO)

Élément "NameID" (ID du nom)

Champ Élément NameID dans l'élément Subject
Description

NameID identifie l'élément "Subject" (Sujet) correspondant à l'adresse e-mail principale de l'utilisateur.

Ce champ est sensible à la casse.

Valeur

obligatoire

user@example.com
 
Exemple <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

Attribut "Recipient" (Destinataire)

Champ Attribut Recipient dans l'élément SubjectConfirmationData
 
Description

Recipient (Destinataire) indique l'URL ACS (Assertion Consumer Service) du fournisseur de services auquel l'assertion est destinée. 

Valeur

obligatoire

Valeur de l'URL ACS dans la section "Détails relatifs au fournisseur de services (SP)" du profil SSO.

Exemple <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
 <saml:SubjectConfirmationData
   NotOnOrAfter="2014-11-05T17:37:07Z"
   Recipient="https://accounts.google.com/samlrp/0abc123/acs"
   InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
 </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

Élément "Audience"

Champ Élément Audience dans l'élément parent AudienceRestriction
Description

Audience est une référence à un URI identifiant l'audience visée de l'assertion.

Valeur

obligatoire

Valeur de l'ID d'entité dans la section "Détails relatifs au fournisseur de services (SP)" du profil SSO.

Exemple

<saml:Conditions
  NotBefore="2014-11-05T17:31:37Z"
  NotOnOrAfter="2014-11-05T17:37:07Z">
 <saml:AudienceRestriction>
  <saml:Audience>https://accounts.google.com/samlrp/0abc123
  </saml:Audience>
 </saml:AudienceRestriction>
</saml:Conditions>

Attribut "Destination"

Champ Attribut Destination de l'élément Response (Réponse)
 
Description

Destination est une référence à un URI indiquant l'adresse à laquelle cette réponse a été envoyée.

Valeur

obligatoire

Il s'agit d'un attribut facultatif. S'il est défini, il doit correspondre à la valeur de l'URL ACS figurant dans la section "Détails relatifs au fournisseur de services (SP)" du profil SSO.
Exemple <saml:Response 
  Destination="https://accounts.google.com/samlrp/0abc123/acs"
  ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
  InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
  IssueInstant="2024-10-04T20:17:38.726Z"
  Version="2.0">
 ...
</saml:Response>
Utiliser des éléments et des attributs (ancien profil SSO)

Remarque : L'assertion SAML ne peut contenir que des caractères ASCII standards.

Élément "NameID" (ID du nom)

Champ Élément NameID dans l'élément Subject
Description

NameID identifie l'élément "Subject" (Sujet) correspondant à l'adresse e-mail principale de l'utilisateur.

Ce champ est sensible à la casse.

Valeur

obligatoire

user@example.com
 
Exemple <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

Attribut "Recipient" (Destinataire)

Champ Attribut Recipient dans l'élément SubjectConfirmationData
 
Description

Recipient indique les données supplémentaires requises pour l'élément "Subject" (Sujet).

example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity.

Valeur

obligatoire

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemple <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
  <saml:SubjectConfirmationData
      NotOnOrAfter="2014-11-05T17:37:07Z"
      Recipient="https://www.google.com/a/example.com/acs"
      InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
  </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

Élément "Audience"

Champ Élément Audience dans l'élément parent AudienceRestriction
Description

Audience est l'URI (Uniform Resource Identifier) identifiant l'audience visée. Elle nécessite comme valeur l'URI ACS.

example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity.

Vous devez obligatoirement saisir une valeur pour cet élément.

Valeur

obligatoire

Au choix :

  • google.com
  • google.com/a/<votre domaine> (si vous avez coché "Utiliser un émetteur spécifique au domaine" dans la configuration de votre ancien profil SSO)
Exemple

<saml:Conditions
    NotBefore="2014-11-05T17:31:37Z"
    NotOnOrAfter="2014-11-05T17:37:07Z">
  <saml:AudienceRestriction>
    <saml:Audience>google.com/a/example.com</saml:Audience>
  </saml:AudienceRestriction>
</saml:Conditions>

Attribut "Destination"

Champ Attribut Destination de l'élément Response (Réponse)
 
Description

Destination est l'URI de la destination à laquelle l'assertion SAML est envoyée.

Il s'agit d'un attribut facultatif, mais, s'il est déclaré, il requiert comme valeur l'URI ACS.

example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity.

Valeur

obligatoire

https://www.google.com/a/example.com/acs 

ou

https://accounts.google.com/a/example.com/acs

Exemple <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
8919060907895119923
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false
false
false