Krav för SSO-kontroll

Som administratör behöver du element och attribut i följande tabeller för SAML 2.0 SSO-kontroller som returneras till Google Consumer Service (ACS) efter att identitetsleverantören har autentiserat slutanvändaren.

Returnera kontroller till ACS

Felsöka problem

Använd nätverksinspektören när du vill felsöka problem med dessa kontroller. Anvisningar finns på Sidan HAR Analyzer för G Suite Toolbox

Om du behöver kontakta support använder du ett engångstestkonto eftersom HTTP-arkivet (HAR) innehåller användarnamnet och lösenordet i klartext. Du kan även redigera filen för att ta bort känsliga interaktioner mellan användaren och IdP. Kontakta G Suites support.

SAMLRequest som skickats till din IdP innehåller relevant AssertionConsumerServiceURL. Om ditt SAMLResponse skickas till en annan webbadress kan det finnas ett konfigurationsproblem med din IdP.

Använda element och attribut

Elementet NameID

Fält NameID-element i elementet Subject.
 
Beskrivning

NameID identifierar ämnet som är användarens primära e-postadress. 

Det är skiftlägeskänsligt.

Obligatoriskt

Värde

användare@dindomän.com
 
Exempel <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/dindomän.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>användare@dindomän.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/dindomän.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Attributet Recipient

Fält Recipient-attribut i SubjectConfirmationData-elementet
 
Beskrivning

Recipient anger ytterligare data som behövs för ämnet. 

Det är skiftlägeskänsligt.

Dindomän.com är förmodligen den primära domänen i ditt G Suite- eller Cloud Identity-konto, även om användaren som autentiseras använder en sekundärdomän i samma G Suite- eller Cloud Identity-konto.

Obligatoriskt

Värde

https://www.google.com/a/yourdomain.com/acs

eller

https://accounts.google.com/a/yourdomain.com/acs

Exempel <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/dindomän.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>användare@dindomän.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/dindomän.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Elementet Audience

Fält Audience-elementet i det överordnade AudienceRestriction-elementet
Beskrivning

Audience är den URI som identifierar den tänkta målgruppen som kräver värdet från ACS URI.

Dindomän.com är förmodligen den primära domänen i ditt G Suite- eller Cloud Identity-konto, även om användaren som autentiseras använder en sekundärdomän i samma G Suite- eller Cloud Identity-konto.

Detta elementvärde kan inte vara tomt.

Obligatoriskt

Värde

https://www.google.com/a/yourdomain.com/acs

eller

https://accounts.google.com/a/yourdomain.com/acs

Exempel

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://wwww.google.com/a/dindomän.com/acs</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Attributet Destination

Fält Destination-attribut för Response-element
 
Beskrivning

Destination är URI dit SAML-kontrollen skickas.

Detta är ett valfritt attribut, men om det deklareras behöver det ett värde i ACS-URI.

Dindomän.com är förmodligen den primära domänen i ditt G Suite- eller Cloud Identity-konto, även om användaren som autentiseras använder en sekundärdomän i samma G Suite- eller Cloud Identity-konto.

Obligatoriskt

Värde

https://www.google.com/a/yourdomain.com/acs 

eller

https://accounts.google.com/a/yourdomain.com/acs

Exempel <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/dindomän.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
Var det här till hjälp?
Hur kan vi förbättra den?