Требования к выражению SSO

Как администратору, вам необходимо настроить элементы и атрибуты для выражений SSO SAML 2.0, указанные в таблицах ниже, таким образом, чтобы они возвращались в Google Assertion Consumer Service (ACS) после аутентификации пользователя поставщиком идентификационной информации.

Как настроить возврат выражений в ACS

Устранение неполадок

Чтобы устранить неполадки с выражениями, воспользуйтесь инструментом проверки сети. Подробную информацию можно найти на странице Набор инструментов G Suite: анализатор HAR

Если вам необходимо обратиться в службу поддержки, используйте одноразовый тестовый аккаунт, поскольку HAR-файл содержит имя пользователя и пароль. Вы также можете изменить этот файл, чтобы поставщик идентификационной информации не получил доступ к конфиденциальным данным. Узнайте, как обратиться в службу поддержки G Suite.

Запрос SAML, отправленный вашему поставщику идентификационной информации, содержит соответствующий URL сервиса обработки утверждений (AssertionConsumerServiceURL). Если ответ SAML отправлен на другой URL, возможно, проблема в неправильной конфигурации вашего поставщика идентификационной информации.

Как использовать элементы и атрибуты

Элемент NameID

Поле Элемент NameID в элементе Subject.
 
Описание

NameID указывает на субъект, то есть основной адрес электронной почты пользователя. 

Регистр символов учитывается.

Требуемое

значение

user@vash-domen.ru
 
Пример <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/vash-domen.ru"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>user@vash-domen.ru</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/vash-domen.ru/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Атрибут Recipient

Поле Атрибут Recipient элемента SubjectConfirmationData.
 
Описание

Атрибут Recipient содержит дополнительные данные, необходимые для этого субъекта. 

Регистр символов учитывается.

Как правило, vash-domen.ru – это основной домен вашего аккаунта G Suite или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте G Suite или Cloud Identity.

Требуемое

значение

https://www.google.com/a/vash-domen.ru/acs

или

https://accounts.google.com/a/vash-domen.ru/acs

Пример <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/vash-domen.ru"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>user@vash-domen.ru</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/vash-domen.ru/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Элемент Audience

Поле Элемент Audience в родительском элементе AudienceRestriction.
Описание

Audience – это универсальный идентификатор ресурса (URI), определяющий целевую аудиторию. Для этого элемента требуется значение URI ACS.

Как правило, vash-domen.ru – это основной домен вашего аккаунта G Suite или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте G Suite или Cloud Identity.

Это поле не должно быть пустым.

Требуемое

значение

https://www.google.com/a/vash-domen.ru/acs

или

https://accounts.google.com/a/vash-domen.ru/acs

Пример

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/vash-domen.ru/acs<saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Атрибут Destination

Поле Атрибут Destination элемента Response.
 
Описание

Destination – это URI, по которому отправляется выражение SAML.

Это необязательный атрибут. Если он есть, то должен содержать значение URI ACS.

Как правило, vash-domen.ru – это основной домен вашего аккаунта G Suite или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте G Suite или Cloud Identity.

Требуемое

значение

https://www.google.com/a/vash-domen.ru/acs 

или

https://accounts.google.com/a/vash-domen.ru/acs

Пример <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/vash-domen.ru/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
Эта информация оказалась полезной?
Как можно улучшить эту статью?