Powiadomienie

Duet AI to teraz Gemini w Google Workspace. Więcej informacji

Wymagania potwierdzenia logowania jednokrotnego

Jako administrator potrzebujesz elementów i atrybutów wymienionych w poniższych tabelach do obsługi potwierdzeń logowania jednokrotnego opartego na protokole SAML 2.0, które są zwracane do usługi Google ACS po uwierzytelnieniu użytkownika przez dostawcę tożsamości.

Informacje o usłudze ACS (Assertion Consumer Service – usługa konsumenta potwierdzenia)

Usługa ACS (lub adres URL usługi ACS) informuje dostawcę tożsamości o tym, gdzie przekierować uwierzytelnionego użytkownika po zalogowaniu. Adres URL usługi ACS ma format:

https://www.google.com/a/domain.com/acs

Uwaga: jeśli Twoja organizacja ogranicza dostęp do www.google.com, skontaktuj się z zespołem pomocy technicznej organizacji i poproś o alternatywny adres URL usługi ACS. Następnie otwórz stronę Tworzenie profilu SSO.

Wskazówki dotyczące atrybutów

Jeśli masz skonfigurowane logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości, a potwierdzenie dostawcy tożsamości SAML obejmuje <AttributeStatement>, Google będzie przechowywać te atrybuty do momentu, aż sesja konta użytkownika Google wygaśnie. Długość sesji może być różna i może ją skonfigurować administrator. Po wygaśnięciu sesji konta informacje o atrybutach zostaną trwale usunięte w ciągu tygodnia.

Tak jak w przypadku atrybutów niestandardowych w katalogu, atrybuty potwierdzenia nie powinny zawierać informacji poufnych umożliwiających identyfikację, takich jak dane logowania do kont, numery dokumentów tożsamości, dane posiadacza karty płatniczej, dane rachunków bankowych, informacje o stanie zdrowia czy inne poufne informacje o danej osobie.

Zalecane zastosowania atrybutów potwierdzenia to:

  • identyfikatory użytkowników w przypadku wewnętrznych systemów informatycznych,
  • role związane z sesją.

W przypadku potwierdzeń możesz przesłać maksymalnie 2 KB danych atrybutów. Wartości atrybutów muszą być ciągami znaków w standardzie ASCII o niskiej wartości (znaki w standardzie Unicode/UTF-8 nie są obsługiwane). Wartości potwierdzeń, które nie są w standardzie ASCII o niskiej wartości, oraz potwierdzenia, które przekraczają maksymalny dozwolony rozmiar, będą całkowicie odrzucane. Proces logowania się nie powiedzie.
 

Zwracanie potwierdzeń do ACS

Rozwiązywanie problemów

Aby rozwiązać problemy z tymi potwierdzeniami, użyj analizatora sieci. Instrukcje znajdziesz na stronie Analizatora plików HAR z Zestawu narzędzi Google Admin

Jeśli chcesz skontaktować się z zespołem pomocy, użyj jednorazowego konta testowego, ponieważ przechwytywanie w formacie HAR (archiwum HTTP) obejmuje nazwę użytkownika i hasło w postaci zwykłego tekstu. Możesz też edytować plik, aby usunąć poufne interakcje między użytkownikiem a dostawcą tożsamości. Skontaktuj się z zespołem pomocy Google Workspace.

Parametr SAMLRequest wysłany do dostawcy tożsamości zawiera odpowiednią wartość AssertionConsumerServiceURL. Jeśli parametr SAMLRequest jest wysyłany na inny adres URL, może to oznaczać, że konfiguracja dostawcy tożsamości jest nieprawidłowa.
Używanie elementów i atrybutów

Uwaga: potwierdzenie SAML może zawierać tylko standardowe znaki ASCII.

Element NameID

Pole Element NameID elementu Subject.
 
Opis

Element NameID określa podmiot, którym jest podstawowy adres e-mail użytkownika.

Wielkość liter jest rozróżniana.

Wymagana

Wartość

 uzytkownik@example.com
 
Przykład <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Atrybut Recipient

Pole Atrybut Recipient elementu SubjectConfirmationData
 
Opis

Atrybut Recipient określa dodatkowe dane, których wymaga podmiot.

Wielkość liter jest rozróżniana.

example.com to prawdopodobnie domena podstawowa Twojego konta Google Workspace lub Cloud Identity, nawet jeśli uwierzytelniany użytkownik korzysta z domeny dodatkowej na tym samym koncie Google Workspace lub Cloud Identity.

Wymagana

wartość

https://www.google.com/a/example.com/acs

lub

https://accounts.google.com/a/example.com/acs
Przykład <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Element Audience

Pole Element Audience elementu nadrzędnego AudienceRestriction
Opis

Element Audience to identyfikator URI określający odbiorców docelowych, u których jest wymagana wartość identyfikatora URI ACS.

example.com to prawdopodobnie domena podstawowa Twojego konta Google Workspace lub Cloud Identity, nawet jeśli uwierzytelniany użytkownik korzysta z domeny dodatkowej na tym samym koncie Google Workspace lub Cloud Identity.

Wartość tego elementu nie może być pusta.

Wymagana

wartość

https://www.google.com/a/example.com/acs

lub

https://accounts.google.com/a/example.com/acs
Przykład

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Atrybut Destination

Pole Atrybut Destination elementu Response
 
Opis

Atrybut Destination to identyfikator URI wskazujący, dokąd jest wysyłane potwierdzenie SAML.

Jest to atrybut opcjonalny, ale w przypadku jego określenia wymagana jest wartość identyfikatora URI ACS.

example.com to prawdopodobnie domena podstawowa Twojego konta Google Workspace lub Cloud Identity, nawet jeśli uwierzytelniany użytkownik korzysta z domeny dodatkowej na tym samym koncie Google Workspace lub Cloud Identity.

Wymagana

wartość

https://www.google.com/a/example.com/acs

lub

https://accounts.google.com/a/example.com/acs
Przykład <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
6507443694088583767
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false