Conditions requises concernant les assertions SSO

En tant qu'administrateur, vous avez besoin des éléments et attributs répertoriés dans les tableaux présentés sur cette page. Ils sont obligatoires pour toute assertion SSO SAML 2.0 renvoyée au service ACS de Google (Assertion Consumer Service) après que le fournisseur d'identité (IdP) a authentifié l'utilisateur.

À propos du service ACS (Assertion Consumer Service)

Le service ACS, ou URL ACS, indique au fournisseur d'identité vers quelle page rediriger un utilisateur authentifié après connexion. Une URL ACS se présente sous la forme suivante :

https://www.google.com/a/domain.com/acs

Remarque : Si votre organisation restreint l'accès à www.google.com, veuillez contacter l'équipe d'assistance de votre organisation pour obtenir une autre URL ACS et consulter Créer un profil SSO.

Conseils pour les attributs

Si vous avez configuré l'authentification unique via un fournisseur d'identité (IdP) tiers et que l'assertion SAML de votre IdP inclut un élément <AttributeStatement>, Google stockera ces attributs jusqu'à la session du compte Google de l'utilisateur expire. (La durée de la session varie et peut être configurée par l'administrateur.)Une fois la session du compte arrivée à expiration, les informations sur les attributs sont définitivement supprimées dans un délai d'une semaine.

Comme pour les attributs personnalisés dans l'annuaire, les attributs d'assertion ne doivent pas inclure d'informations personnelles sensibles telles que les identifiants de compte, les numéros de carte d'identité nationale, les données sur les titulaires de cartes, les données comptables, les informations de santé ou les données sensibles.

Exemples d'utilisation recommandée des attributs d'assertion:

  • ID utilisateur des systèmes informatiques internes
  • Rôles spécifiques aux sessions

Vous ne pouvez pas transmettre plus de 2 Ko de données d'attribut dans vos assertions. Les valeurs des attributs doivent être des chaînes ASCII à valeur basse (les caractères Unicode/UTF-8 ne sont pas acceptés). Les valeurs d'assertion qui ne sont pas des chaînes ASCII de valeur basse et les assertions qui dépassent la taille maximale autorisée seront refusées et entraîneront l'échec de la connexion.
 

Transmettre les assertions au service ACS

Dépannage

Pour résoudre les problèmes liés à ces assertions, utilisez l'outil d'inspection de réseau. Pour obtenir des instructions, consultez Outil d'analyse HAR de Google Admin Toolbox

Si vous devez contacter l'assistance, utilisez un compte de test temporaire. En effet, la capture de l'archive HTTP (HAR) contient le nom d'utilisateur et le mot de passe en texte clair. Vous pouvez également modifier le fichier pour supprimer les interactions sensibles entre l'utilisateur et le fournisseur d'identité. Contactez l'assistance Google Workspace.

La requête SAML envoyée à votre fournisseur d'identité contient l'URL ACS pertinente. Si votre réponse SAML est envoyée à une autre URL, il est probable qu'il y ait un problème de configuration lié à votre fournisseur d'identité.
Utiliser des éléments et des attributs

Remarque : L'assertion SAML ne peut contenir que des caractères ASCII standards.

Élément "NameID" (ID du nom)

Champ Élément NameID dans l'élément Subject
 
Description

NameID identifie l'élément "Subject" (Sujet) correspondant à l'adresse e-mail principale de l'utilisateur.

Ce champ est sensible à la casse.

Valeur

Valeur

utilisateur@example.com
 
Exemple <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Attribut "Recipient" (Destinataire)

Champ Attribut Recipient dans l'élément SubjectConfirmationData
 
Description

Recipient indique les données supplémentaires requises pour l'élément "Subject" (Sujet).

Ce champ est sensible à la casse.

example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity.

Valeur

requise

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemple <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Élément "Audience"

Champ Élément Audience dans l'élément parent AudienceRestriction
Description

Audience est l'URI (Uniform Resource Identifier) identifiant l'audience visée. Elle nécessite comme valeur l'URI ACS.

example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity.

Vous devez obligatoirement saisir une valeur pour cet élément.

Valeur

requise

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemple

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Attribut "Destination"

Champ Attribut Destination de l'élément Response (Réponse)
 
Description

Destination est l'URI de la destination à laquelle l'assertion SAML est envoyée.

Il s'agit d'un attribut facultatif, mais, s'il est déclaré, il requiert comme valeur l'URI ACS.

example.com est probablement le domaine principal de votre compte Google Workspace ou Cloud Identity, même si l'utilisateur authentifié utilise un domaine secondaire dans le même compte Google Workspace ou Cloud Identity.

Valeur

requise

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemple <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal