Requisitos de declaração de SSO

Como administrador, você precisa dos elementos e atributos listados nas tabelas a seguir nas declarações de SSO de SAML 2.0 retornadas ao serviço de declaração de consumidor (ACS, na sigla em inglês) do Google depois que o provedor de identidade (IdP) autentica o usuário.

Retornar declarações ao ACS

Resolver problemas

Para resolver problemas com essas declarações, use o inspetor de rede. Veja instruções na página HAR Analyzer do G Suite Toolbox

Se precisar entrar em contato com o suporte, use uma conta de teste descartável, porque a captura em HTTP Archive (HAR, na sigla em inglês) contém o nome de usuário e a senha em texto não criptografado. Também é possível editar o arquivo para excluir as interações confidenciais entre o usuário e o IdP. Entre em contato com o suporte do G Suite.

A consulta SAMLRequest enviada para o IdP contém o AssertionConsumerServiceURL relevante. Se ela for enviada para outro URL, poderá haver um problema de configuração no IdP.

Usar elementos e atributos

Elemento Name ID

Campo Elemento NameID no elemento Subject
Descrição

O elemento NameID identifica a entidade, que é o endereço de e-mail principal do usuário.

Ele diferencia maiúsculas de minúsculas.

Valor

necessário

usuario@example.com
 
Exemplo <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>usuario@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Atributo "Recipient"

Campo Atributo Recipient no elemento SubjectConfirmationData
 
Descrição

O atributo Recipient especifica dados adicionais da entidade.

Ele diferencia maiúsculas de minúsculas.

Provavelmente, example.com é o domínio principal da sua conta do G Suite ou do Cloud Identity, mesmo se o usuário que está sendo autenticado utilizar um domínio secundário nessa mesma conta.

Valor

necessário

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemplo <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>usuario@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Elemento "Audience"

Campo Elemento Audience no elemento pai AudienceRestriction
Descrição

O elemento Audience é o identificador de recurso uniforme (URI) do público-alvo pretendido que requer o valor do URI do ACS.

Provavelmente, example.com é o domínio principal da sua conta do G Suite ou do Cloud Identity, mesmo se o usuário que está sendo autenticado utilizar um domínio secundário nessa mesma conta.

O valor desse elemento não pode ficar vazio.

Valor

necessário

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemplo

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://wwww.google.com/a/example.com/acs</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Atributo "Destination"

Campo Atributo Destination do elemento Response
 
Descrição

Destination é o URI de onde a declaração de SAML está sendo enviada.

Ele é um atributo opcional, mas, caso seja declarado, precisará de um valor de URI do ACS.

Provavelmente, example.com é o domínio principal da sua conta do G Suite ou do Cloud Identity, mesmo se o usuário que está sendo autenticado utilizar um domínio secundário nessa mesma conta.

Valor

necessário

https://www.google.com/a/example.com/acs

ou

https://accounts.google.com/a/example.com/acs

Exemplo <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
Isso foi útil?
Como podemos melhorá-lo?