Som administratör behöver du element och attribut i följande tabeller för SAML 2.0 SSO-kontroller som returneras till Google Consumer Service (ACS) efter att identitetsleverantören har autentiserat slutanvändaren.
Om konsumenttjänsten för kontroll
Konsumenttjänsten för kontroll, eller webbadressen för ACS, informerar IdP om vart en autentiserad användare ska omdirigeras efter inloggning. En webbadress för ACS har följande format:
https://www.google.com/a/domän.com/acs
Obs! Om organisationen begränsar åtkomsten till www.google.com kontaktar du organisationens support för en alternativ webbadress för ACS och går till Skapa en SSO-profil.
Vägledning för attribut
Om du har konfigurerat SSO via en extern identitetsleverantör och IdP:s SAML-kontroll innehåller ett <AttributeStatement>
lagrar Google dessa attribut tills användarens Google-kontosession löper ut. (Sessionens längd varierar och kan konfigureras av administratören.)När kontosessionen löper ut raderas attributinformationen permanent inom en vecka.
Precis som med anpassade attribut i katalogen ska kontrollattribut inte innehålla känsliga uppgifter som kan kopplas till en specifik person, till exempel kontouppgifter, nationella id-nummer, kortuppgifter, bankkontouppgifter, hälsovårdsinformation eller känslig bakgrundsinformation.
Rekommenderade användningsområden för kontrollattribut är:
- Användar-id:n för interna IT-system
- Sessionsspecifika roller
Du kan bara överföra maximalt 2 kB attributdata i dina kontroller. Attributvärdena måste vara strängar med låg ASCII-kod (Unicode-/UTF-8-tecken stöds inte). Kontrollvärden som inte är låga ASCII och kontroller som överskrider den högsta tillåtna storleken avvisas helt och hållet och gör att inloggningen misslyckas.
Returnera kontroller till ACS
Felsöka problem
Om du behöver kontakta support använder du ett engångstestkonto eftersom HTTP-arkivet (HAR) innehåller användarnamnet och lösenordet i klartext. Du kan även redigera filen och ta bort känsliga interaktioner mellan användaren och IdP. Kontakta support för Google Workspace.
SAMLRequest som skickats till din IdP innehåller relevant AssertionConsumerServiceURL. Om ditt SAMLResponse skickas till en annan webbadress kan det finnas ett konfigurationsproblem med din IdP.
Obs! SAML-kontrollen får endast innehålla standardmässiga ASCII-tecken.
Elementet NameID
Fält | NameID-element i elementet Subject. |
---|---|
Beskrivning |
NameID identifierar ämnet som är användarens primära e-postadress. Det är skiftlägeskänsligt. |
Obligatoriskt Värde |
user@example.com |
Exempel | <saml:Subject> |
Attributet Recipient
Fält | Recipient-attribut i SubjectConfirmationData-elementet |
---|---|
Beskrivning |
Recipient anger ytterligare data som behövs för ämnet. Det är skiftlägeskänsligt. exempel.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. |
Obligatoriskt Värde |
https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs |
Exempel | <saml:Subject> |
Elementet Audience
Fält | Audience-elementet i det överordnade AudienceRestriction-elementet |
---|---|
Beskrivning |
Audience är den URI som identifierar den tänkta målgruppen som kräver värdet från ACS URI. exempel.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. Detta elementvärde får inte vara tomt. |
Obligatoriskt Värde |
https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs |
Exempel |
|
Attributet Destination
Fält | Destination-attribut för Response-elementet |
---|---|
Beskrivning |
Destination är URI dit SAML-kontrollen skickas. Detta är ett valfritt attribut, men om det deklareras behöver det ett värde i ACS-URI. exempel.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. |
Obligatoriskt Värde |
https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs |
Exempel | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |