SSO Assertion 요구사항

관리자에게는 ID 공급업체(IdP)가 사용자를 인증한 후 Google 어설션 소비자 서비스(ACS)로 반환하는 SAML 2.0 SSO 어설션을 위한 요소 및 속성(다음 표에 나열되어 있음)이 필요합니다.

어설션 소비자 서비스에 대한 정보

어설션 소비자 서비스(ACS URL)는 인증된 사용자를 로그인 후 리디렉션할 위치를 IdP에 알립니다. ACS URL의 형식은 다음과 같습니다.

https://www.google.com/a/domain.com/acs

참고: 조직에서 www.google.com에 대한 액세스를 제한하는 경우 조직의 지원팀에 대체 ACS URL을 문의하고 SSO 프로필 만들기를 참고하세요.

속성 관련 안내

서드 파티 ID 공급업체를 통해 SSO를 설정했고 IdP의 SAML 어설션에 <AttributeStatement>가 포함된 경우, Google은 사용자의 Google 계정 세션이 만료될 때까지 이러한 속성을 저장합니다. 세션 길이는 다양하며 관리자가 구성할 수 있습니다. 계정 세션이 만료된 후 속성 정보는 일주일 내에 영구적으로 삭제됩니다.

디렉터리의 맞춤 속성과 마찬가지로 어설션 속성에는 계정 사용자 인증 정보, 주민등록번호, 카드 소지자 데이터, 금융 계좌 데이터, 건강 정보 또는 민감한 신변 정보 등 민감한 개인 식별 정보(PII)를 포함해서는 안 됩니다.

어설션 속성의 권장 용도는 다음과 같습니다.

내부 IT 시스템의 사용자 ID
세션별 역할

어설션에 최대 2KB의 속성 데이터만 전달할 수 있습니다. 속성 값은 하위 ASCII 문자열이어야 합니다(유니코드/UTF-8 문자는 지원되지 않음). 하위 ASCII가 아닌 어설션 값과 최대 허용 크기를 초과하는 어설션은 모두 거부되며 로그인에 실패하게 됩니다.

ACS에 어설션 반환하기

문제 해결하기

이 Assertion과 관련된 문제를 해결하려면 네트워크 인스펙터를 사용하세요. 자세한 내용은 Google 관리 콘솔 도구 상자 HAR Analyzer 페이지를 참고하세요.

지원팀에 문의해야 하는 경우 일회용 테스트 계정을 사용하세요. HTTP Archive(HAR) 캡처에는 사용자 이름과 비밀번호가 텍스트로 분명하게 표시됩니다. 또는 파일을 편집하여 사용자와 IdP 간의 민감한 상호작용을 삭제하고 Google Workspace 지원팀에 문의하세요.

사용자 IdP에 전송된 SAMLRequest에는 관련 AssertionConsumerServiceURL이 포함되어 있습니다. 사용자의 SAMLResponse가 다른 URL로 전송된 경우 사용자의 IdP와 관련된 구성 문제가 있을 수 있습니다.

요소 및 속성 사용하기

참고: SAML 어설션에는 표준 ASCII 문자만 포함할 수 있습니다.

이름 ID 요소

입력란	Subject 요소에 있는 NameID 요소
설명	NameID로 사용자의 기본 이메일 주소인 제목을 식별합니다. 대소문자를 구분합니다.
필수 값	user@example.com
예	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

수신자 속성

입력란	SubjectConfirmationData 요소에 있는 Recipient 속성
설명	Recipient는 제목에 필요한 추가 데이터를 지정합니다. 대소문자를 구분합니다. 인증 중인 사용자가 동일한 Google Workspace 또는 Cloud ID 계정에서 보조 도메인을 사용하고 있더라도 example.com은 Google Workspace 또는 Cloud ID 계정의 기본 도메인일 가능성이 높습니다.
필수 값	https://www.google.com/a/example.com/acs 또는 https://accounts.google.com/a/example.com/acs
예	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

대상 요소

입력란	AudienceRestriction 상위 요소에 있는 Audience 요소
설명	Audience는 ACS URI 값이 필요한 해당 대상을 식별하는 URI(uniform resource identifier)입니다. 인증 중인 사용자가 동일한 Google Workspace 또는 Cloud ID 계정에서 보조 도메인을 사용하고 있더라도 example.com은 Google Workspace 또는 Cloud ID 계정의 기본 도메인일 가능성이 높습니다. 이 요소 값은 비워둘 수 없습니다.
필수 값	https://www.google.com/a/example.com/acs 또는 https://accounts.google.com/a/example.com/acs
예	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://www.google.com/a/example.com/acs </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

목적지 속성

입력란	Response 요소의 Destination 속성
설명	Destination은 SAML Assertion이 전송되고 있는 위치의 URI입니다. 선택적인 속성이지만 선언된 경우 ACS URI의 값이 필요합니다. 인증 중인 사용자가 동일한 Google Workspace 또는 Cloud ID 계정에서 보조 도메인을 사용하고 있더라도 example.com은 Google Workspace 또는 Cloud ID 계정의 기본 도메인일 가능성이 높습니다.
필수 값	https://www.google.com/a/example.com/acs 또는 https://accounts.google.com/a/example.com/acs
예	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?