Krav för SSO-kontroll

Som administratör behöver du element och attribut i följande tabeller för SAML 2.0 SSO-kontroller som returneras till Google Consumer Service (ACS) efter att identitetsleverantören har autentiserat slutanvändaren.

Vägledning för attribut

Om du har konfigurerat SSO via en extern identitetsleverantör och IdP:s SAML-kontroll innehåller ett <AttributeStatement> lagrar Google dessa attribut tills användarens Google-kontosession löper ut. (Sessionens längd varierar och kan konfigureras av administratören.) När kontosessionen har löpt ut raderas attributinformationen permanent inom en vecka.

Precis som med anpassade attribut i katalogen ska kontrollattribut inte innehålla känsliga uppgifter som kan kopplas till en specifik person, till exempel kontouppgifter, nationella id-nummer, kortuppgifter, bankkontouppgifter, hälsovårdsinformation eller känslig bakgrundsinformation.

Rekommenderade användningsområden för kontrollattribut är:

  • Användar-id:n för interna IT-system
  • Sessionsspecifika roller

Du kan bara överföra maximalt 2 kB attributdata i dina kontroller. Kontroller som överskrider den högsta tillåtna storleken avvisas helt och hållet och gör att inloggningen misslyckas.

Teckenuppsättningar som stöds

Vilken teckenuppsättning som stöds beror på om du använder SSO-profiler eller den äldre SSO-profilen:

  • Äldre SSO-profil – attributvärden måste vara låga ASCII-strängar (Unicode-/UTF-8-tecken stöds inte och gör att inloggningen misslyckas).
  • SSO-profiler – Unicode-/UTF-8-tecken stöds.

Returnera kontroller till ACS

Felsöka problem

Använd nätverksinspektören när du vill felsöka problem med dessa kontroller. Anvisningar finns på HAR Analyzer-sidan i Google Admin Toolbox

Om du behöver kontakta support använder du ett engångstestkonto eftersom HTTP-arkivet (HAR) innehåller användarnamnet och lösenordet i klartext. Du kan även redigera filen och ta bort känsliga interaktioner mellan användaren och IdP. Kontakta support för Google Workspace.

SAMLRequest som skickats till din IdP innehåller relevant AssertionConsumerServiceURL. Om ditt SAMLResponse skickas till en annan webbadress kan det finnas ett konfigurationsproblem med din IdP.
Använda element och attribut – SSO-profiler

Elementet NameID

Fält NameID-element i elementet Subject.
Beskrivning

NameID identifierar ämnet som är användarens primära e-postadress. 

Det är skiftlägeskänsligt.

Obligatoriskt

Värde

user@example.com
 
Exempel <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">användare@example.com
</saml:NameID>

Attributet Recipient

Fält Recipient-attribut i SubjectConfirmationData-elementet
 
Beskrivning

Recipient anger webbadressen till konsumenttjänsten för den tjänsteleverantör som påståendet är avsett för. 

Obligatoriskt

Värde

Värdet för ACS-webbadressen från avsnittet med information om tjänstleverantör (SP) i SSO-profilen.

Exempel <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
 <saml:SubjectConfirmationData
   NotOnOrAfter="2014-11-05T17:37:07Z"
   Recipient="https://accounts.google.com/samlrp/0abc123/acs"
   InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
 </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

Elementet Audience

Fält Audience-elementet i det överordnade AudienceRestriction-elementet
Beskrivning

Audience är en URI-referens som identifierar den avsedda målgruppen för kontrollen.

Obligatoriskt

Värde

Värdet för Enhets-id från avsnittet med information om tjänstleverantör (SP) i SSO-profilen.

Exempel

<saml:Conditions
  NotBefore="2014-11-05T17:31:37Z"
  NotOnOrAfter="2014-11-05T17:37:07Z">
 <saml:AudienceRestriction>
  <saml:Audience>https://accounts.google.com/samlrp/0abc123
  </saml:Audience>
 </saml:AudienceRestriction>
</saml:Conditions>

Attributet Destination

Fält Destination-attribut för Response-elementet
 
Beskrivning

Destination är en URI-referens som anger adressen som svaret har skickats till.

Obligatoriskt

Värde

Detta är ett valfritt attribut. Om det har angetts ska det vara ACS-webbadressen från avsnittet med information om tjänstleverantören (SP) i SSO-profilen.
Exempel <saml:Response 
  Destination="https://accounts.google.com/samlrp/0abc123/acs"
  ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
  InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
  IssueInstant="2024-10-04T20:17:38.726Z"
  Version="2.0">
 ...
</saml:Response>
Använda element och attribut – äldre SSO-profil

Obs! SAML-kontrollen får endast innehålla standardmässiga ASCII-tecken.

Elementet NameID

Fält NameID-element i elementet Subject.
Beskrivning

NameID identifierar ämnet som är användarens primära e-postadress. 

Det är skiftlägeskänsligt.

Obligatoriskt

Värde

user@example.com
 
Exempel <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">användare@example.com
</saml:NameID>

Attributet Recipient

Fält Recipient-attribut i SubjectConfirmationData-elementet
 
Beskrivning

Recipient anger ytterligare data som behövs för ämnet. 

exempel.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto.

Obligatoriskt

Värde

https://www.google.com/a/example.com/acs

eller

https://accounts.google.com/a/example.com/acs

Exempel <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
  <saml:SubjectConfirmationData
      NotOnOrAfter="2014-11-05T17:37:07Z"
      Recipient="https://www.google.com/a/example.com/acs"
      InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
  </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

Elementet Audience

Fält Audience-elementet i det överordnade AudienceRestriction-elementet
Beskrivning

Audience är den URI som identifierar den tänkta målgruppen som kräver värdet från ACS URI.

example.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto.

Detta elementvärde får inte vara tomt.

Obligatoriskt

Värde

Något av följande:

  • google.com
  • google.com/a/<din domän>  (om du har markerat Använd en domänspecifik utfärdare i konfigurationen av den äldre SSO-profilen.)
Exempel

<saml:Conditions
    NotBefore="2014-11-05T17:31:37Z"
    NotOnOrAfter="2014-11-05T17:37:07Z">
  <saml:AudienceRestriction>
    <saml:Audience>google.com/a/example.com</saml:Audience>
  </saml:AudienceRestriction>
</saml:Conditions>

Attributet Destination

Fält Destination-attribut för Response-elementet
 
Beskrivning

Destination är URI dit SAML-kontrollen skickas.

Detta är ett valfritt attribut, men om det deklareras behöver det ett värde i ACS-URI.

example.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto.

Obligatoriskt

Värde

https://www.google.com/a/example.com/acs 

eller

https://accounts.google.com/a/example.com/acs

Exempel <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

Var det här till hjälp?

Hur kan vi förbättra den?
Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
11260002382064165994
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false