Som administratör behöver du element och attribut i följande tabeller för SAML 2.0 SSO-kontroller som returneras till Google Consumer Service (ACS) efter att identitetsleverantören har autentiserat slutanvändaren.
Vägledning för attribut
Om du har konfigurerat SSO via en extern identitetsleverantör och IdP:s SAML-kontroll innehåller ett <AttributeStatement>
lagrar Google dessa attribut tills användarens Google-kontosession löper ut. (Sessionens längd varierar och kan konfigureras av administratören.) När kontosessionen har löpt ut raderas attributinformationen permanent inom en vecka.
Precis som med anpassade attribut i katalogen ska kontrollattribut inte innehålla känsliga uppgifter som kan kopplas till en specifik person, till exempel kontouppgifter, nationella id-nummer, kortuppgifter, bankkontouppgifter, hälsovårdsinformation eller känslig bakgrundsinformation.
Rekommenderade användningsområden för kontrollattribut är:
- Användar-id:n för interna IT-system
- Sessionsspecifika roller
Du kan bara överföra maximalt 2 kB attributdata i dina kontroller. Kontroller som överskrider den högsta tillåtna storleken avvisas helt och hållet och gör att inloggningen misslyckas.
Teckenuppsättningar som stöds
Vilken teckenuppsättning som stöds beror på om du använder SSO-profiler eller den äldre SSO-profilen:
- Äldre SSO-profil – attributvärden måste vara låga ASCII-strängar (Unicode-/UTF-8-tecken stöds inte och gör att inloggningen misslyckas).
- SSO-profiler – Unicode-/UTF-8-tecken stöds.
Returnera kontroller till ACS
Felsöka problem
Om du behöver kontakta support använder du ett engångstestkonto eftersom HTTP-arkivet (HAR) innehåller användarnamnet och lösenordet i klartext. Du kan även redigera filen och ta bort känsliga interaktioner mellan användaren och IdP. Kontakta support för Google Workspace.
SAMLRequest som skickats till din IdP innehåller relevant AssertionConsumerServiceURL. Om ditt SAMLResponse skickas till en annan webbadress kan det finnas ett konfigurationsproblem med din IdP.
Elementet NameID
Fält | NameID-element i elementet Subject. |
---|---|
Beskrivning |
NameID identifierar ämnet som är användarens primära e-postadress. Det är skiftlägeskänsligt. |
Obligatoriskt Värde |
user@example.com |
Exempel | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">användare@example.com |
Attributet Recipient
Fält | Recipient-attribut i SubjectConfirmationData-elementet |
---|---|
Beskrivning |
Recipient anger webbadressen till konsumenttjänsten för den tjänsteleverantör som påståendet är avsett för. |
Obligatoriskt Värde |
Värdet för ACS-webbadressen från avsnittet med information om tjänstleverantör (SP) i SSO-profilen. |
Exempel | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elementet Audience
Fält | Audience-elementet i det överordnade AudienceRestriction-elementet |
---|---|
Beskrivning |
Audience är en URI-referens som identifierar den avsedda målgruppen för kontrollen. |
Obligatoriskt Värde |
Värdet för Enhets-id från avsnittet med information om tjänstleverantör (SP) i SSO-profilen. |
Exempel |
|
Attributet Destination
Fält | Destination-attribut för Response-elementet |
---|---|
Beskrivning |
Destination är en URI-referens som anger adressen som svaret har skickats till. |
Obligatoriskt Värde |
Detta är ett valfritt attribut. Om det har angetts ska det vara ACS-webbadressen från avsnittet med information om tjänstleverantören (SP) i SSO-profilen. |
Exempel | <saml:Response |
Obs! SAML-kontrollen får endast innehålla standardmässiga ASCII-tecken.
Elementet NameID
Fält | NameID-element i elementet Subject. |
---|---|
Beskrivning |
NameID identifierar ämnet som är användarens primära e-postadress. Det är skiftlägeskänsligt. |
Obligatoriskt Värde |
user@example.com |
Exempel | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">användare@example.com |
Attributet Recipient
Fält | Recipient-attribut i SubjectConfirmationData-elementet |
---|---|
Beskrivning |
Recipient anger ytterligare data som behövs för ämnet. exempel.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. |
Obligatoriskt Värde |
https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs |
Exempel | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Elementet Audience
Fält | Audience-elementet i det överordnade AudienceRestriction-elementet |
---|---|
Beskrivning |
Audience är den URI som identifierar den tänkta målgruppen som kräver värdet från ACS URI. example.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. Detta elementvärde får inte vara tomt. |
Obligatoriskt Värde |
Något av följande:
|
Exempel |
|
Attributet Destination
Fält | Destination-attribut för Response-elementet |
---|---|
Beskrivning |
Destination är URI dit SAML-kontrollen skickas. Detta är ett valfritt attribut, men om det deklareras behöver det ett värde i ACS-URI. example.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. |
Obligatoriskt Värde |
https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs |
Exempel | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |