Requisitos de declaração de SSO

Como administrador, você precisa dos elementos e atributos listados nas tabelas a seguir nas declarações de SSO de SAML 2.0 retornadas ao serviço de declaração de consumidor (ACS, na sigla em inglês) do Google depois que o provedor de identidade (IdP) autentica o usuário.

Retornar declarações ao ACS

Resolver problemas

Para resolver problemas com essas declarações, use o inspetor de rede. Veja instruções na página HAR Analyzer do G Suite Toolbox

Se precisar entrar em contato com o suporte, use uma conta de teste descartável, porque a captura em HTTP Archive (HAR, na sigla em inglês) contém o nome de usuário e a senha em texto não criptografado. Ou edite o arquivo para excluir as interações confidenciais entre o usuário e o IdP. Entre em contato com o suporte do G Suite.

A consulta SAMLRequest enviada para o IdP contém o AssertionConsumerServiceURL pertinente. Se a consulta SAMLResponse for enviada para outro URL, poderá haver um problema de configuração no IdP.

Usar elementos e atributos

Elemento Name ID

Campo Elemento NameID no elemento Subject
 
Descrição

NameID identifica a entidade, que é o endereço de e-mail principal do usuário. 

Ele diferencia maiúsculas de minúsculas.

Valor

obrigatório

user@yourdomain.com
 
Exemplo <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/yourdomain.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>user@yourdomain.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/yourdomain.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Atributo Recipient

Campo Atributo Recipient no elemento SubjectConfirmationData
 
Descrição

Recipient especifica dados adicionais da entidade. 

Ele diferencia maiúsculas de minúsculas.

Yourdomain.com provavelmente é o domínio principal da sua conta do G Suite ou do Cloud Identity, mesmo que o usuário que está sendo autenticado use um domínio secundário na mesma conta do G Suite ou do Cloud Identity.

Valor

obrigatório

https://www.google.com/a/yourdomain.com/acs

ou

https://accounts.google.com/a/yourdomain.com/acs

Exemplo <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/yourdomain.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>user@yourdomain.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/yourdomain.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Elemento Audience

Campo Elemento Audience no elemento pai AudienceRestriction
Descrição

Audience é o identificador de recurso uniforme (URI) do público-alvo pretendido que requer o valor do URI do ACS.

Yourdomain.com provavelmente é o domínio principal da sua conta do G Suite ou do Cloud Identity, mesmo que o usuário que está sendo autenticado use um domínio secundário na mesma conta do G Suite ou do Cloud Identity.

O valor desse elemento não pode estar vazio.

Valor

obrigatório

https://www.google.com/a/yourdomain.com/acs

ou

https://accounts.google.com/a/yourdomain.com/acs

Exemplo

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://wwww.google.com/a/yourdomain.com/acs</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Atributo Destination

Campo Atributo Destination do elemento Response
 
Descrição

Destination é o URI de onde a declaração de SAML está sendo enviada.

É um atributo opcional, mas, caso seja declarado, precisará de um valor de URI do ACS.

Yourdomain.com provavelmente é o domínio principal da sua conta do G Suite ou do Cloud Identity, mesmo que o usuário que está sendo autenticado use um domínio secundário na mesma conta do G Suite ou do Cloud Identity.

Valor

obrigatório

https://www.google.com/a/yourdomain.com/acs 

ou

https://accounts.google.com/a/yourdomain.com/acs

Exemplo <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/yourdomain.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
Isso foi útil?
Como podemos melhorá-lo?