En tant qu'administrateur, vous avez besoin des éléments et attributs répertoriés dans les tableaux présentés sur cette page. Ils sont obligatoires pour toute assertion SSO SAML 2.0 renvoyée au service ACS de Google (Assertion Consumer Service) après que le fournisseur d'identité (IdP) a authentifié l'utilisateur.
Conseils concernant les attributs
Si vous avez configuré l'authentification unique via un fournisseur d'identité (IdP) tiers et que l'assertion SAML de votre IdP inclut un élément <AttributeStatement>, Google stockera ces attributs jusqu'à la session du compte Google de l'utilisateur expire. (La durée de la session varie et peut être configurée par l'administrateur.) Une fois la session du compte arrivée à expiration, les informations sur les attributs sont définitivement supprimées dans un délai d'une semaine.
Comme pour les attributs personnalisés dans l'annuaire, les attributs d'assertion ne doivent pas inclure d'informations personnelles sensibles telles que les identifiants de comptes, les numéros de carte d'identité nationale, les informations sur les titulaires de cartes, les données comptables, les informations de santé ou les informations concernant des parcours personnels.
Exemples d'utilisation recommandée des attributs d'assertion:
- ID utilisateur des systèmes IT internes
- Rôles propres aux sessions
Vous ne pouvez pas transmettre plus de 2 ko de données d'attribut dans vos assertions. Les assertions qui dépassent la taille maximale autorisée seront refusées et entraîneront l'échec de la connexion.
Jeux de caractères compatibles
Le jeu de caractères accepté varie selon que vous utilisez des profils SSO ou l'ancien profil SSO :
- Ancien profil SSO : les valeurs des attributs doivent être des chaînes ASCII à valeur basse (les caractères Unicode/UTF-8 ne sont pas acceptés et entraîneront l'échec de la connexion).
- Profils SSO : les caractères Unicode/UTF-8 sont acceptés.
Transmettre les assertions au service ACS
Dépannage
Si vous devez contacter l'assistance, utilisez un compte de test temporaire. En effet, la capture de l'archive HTTP (HAR) contient le nom d'utilisateur et le mot de passe en texte clair. Vous pouvez également modifier le fichier pour supprimer les interactions sensibles entre l'utilisateur et le fournisseur d'identité. Contactez l'assistance Google Workspace.
La requête SAML envoyée à votre fournisseur d'identité contient l'URL ACS pertinente. Si votre réponse SAML est envoyée à une autre URL, il est probable qu'il y ait un problème de configuration lié à votre fournisseur d'identité.
Élément "NameID" (ID du nom)
| Champ | Élément NameID dans l'élément Subject |
|---|---|
| Description |
NameID identifie l'élément "Subject" (Sujet) correspondant à l'adresse e-mail principale de l'utilisateur. Ce champ est sensible à la casse. |
|
Valeur obligatoire |
user@example.com |
| Exemple | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Attribut "Recipient" (Destinataire)
| Champ | Attribut Recipient dans l'élément SubjectConfirmationData |
|---|---|
| Description |
Recipient (Destinataire) indique l'URL ACS (Assertion Consumer Service) du fournisseur de services auquel l'assertion est destinée. |
|
Valeur obligatoire |
Valeur de l'URL ACS dans la section "Détails relatifs au fournisseur de services (SP)" du profil SSO. |
| Exemple | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Élément "Audience"
| Champ | Élément Audience dans l'élément parent AudienceRestriction |
|---|---|
| Description |
Audience est une référence à un URI identifiant l'audience visée de l'assertion. |
|
Valeur obligatoire |
Valeur de l'ID d'entité dans la section "Détails relatifs au fournisseur de services (SP)" du profil SSO. |
| Exemple |
|
Attribut "Destination"
| Champ | Attribut Destination de l'élément Response (Réponse) |
|---|---|
| Description |
Destination est une référence à un URI indiquant l'adresse à laquelle cette réponse a été envoyée. |
|
Valeur obligatoire |
Il s'agit d'un attribut facultatif. S'il est défini, il doit correspondre à la valeur de l'URL ACS figurant dans la section "Détails relatifs au fournisseur de services (SP)" du profil SSO. |
| Exemple | <saml:Response |
Remarque : L'assertion SAML ne peut contenir que des caractères ASCII standards.
Élément "NameID" (ID du nom)
| Champ | Élément NameID dans l'élément Subject |
|---|---|
| Description |
NameID identifie l'élément "Subject" (Sujet) correspondant à l'adresse e-mail principale de l'utilisateur. Ce champ est sensible à la casse. |
|
Valeur obligatoire |
user@example.com |
| Exemple | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Attribut "Recipient" (Destinataire)
| Champ | Attribut Recipient dans l'élément SubjectConfirmationData |
|---|---|
| Description |
Recipient indique les données supplémentaires requises pour l'élément "Subject" (Sujet). example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity. |
|
Valeur obligatoire |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
| Exemple | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Élément "Audience"
| Champ | Élément Audience dans l'élément parent AudienceRestriction |
|---|---|
| Description |
Audience est l'URI (Uniform Resource Identifier) identifiant l'audience visée. Elle nécessite comme valeur l'URI ACS. example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity. Vous devez obligatoirement saisir une valeur pour cet élément. |
|
Valeur obligatoire |
Au choix :
|
| Exemple |
|
Attribut "Destination"
| Champ | Attribut Destination de l'élément Response (Réponse) |
|---|---|
| Description |
Destination est l'URI de la destination à laquelle l'assertion SAML est envoyée. Il s'agit d'un attribut facultatif, mais, s'il est déclaré, il requiert comme valeur l'URI ACS. example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity. |
|
Valeur obligatoire |
https://www.google.com/a/example.com/acs ou https://accounts.google.com/a/example.com/acs |
| Exemple | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |
