Krav för SSO-kontroll

Som administratör behöver du element och attribut i följande tabeller för SAML 2.0 SSO-kontroller som returneras till Google Consumer Service (ACS) efter att identitetsleverantören har autentiserat slutanvändaren.

Om konsumenttjänsten för kontroll

Konsumenttjänsten för kontroll, eller webbadressen för ACS, informerar IdP om vart en autentiserad användare ska omdirigeras efter inloggning. En webbadress för ACS har följande format:

https://www.google.com/a/domän.com/acs

Obs! Om organisationen begränsar åtkomsten till www.google.com kontaktar du organisationens support för en alternativ webbadress för ACS och går till Skapa en SSO-profil.

Vägledning för attribut

Om du har konfigurerat SSO via en extern identitetsleverantör och IdP:s SAML-kontroll innehåller ett <AttributeStatement> lagrar Google dessa attribut tills användarens Google-kontosession löper ut. (Sessionens längd varierar och kan konfigureras av administratören.)När kontosessionen löper ut raderas attributinformationen permanent inom en vecka.

Precis som med anpassade attribut i katalogen ska kontrollattribut inte innehålla känsliga uppgifter som kan kopplas till en specifik person, till exempel kontouppgifter, nationella id-nummer, kortuppgifter, bankkontouppgifter, hälsovårdsinformation eller känslig bakgrundsinformation.

Rekommenderade användningsområden för kontrollattribut är:

Användar-id:n för interna IT-system
Sessionsspecifika roller

Du kan bara överföra maximalt 2 kB attributdata i dina kontroller. Attributvärdena måste vara strängar med låg ASCII-kod (Unicode-/UTF-8-tecken stöds inte). Kontrollvärden som inte är låga ASCII och kontroller som överskrider den högsta tillåtna storleken avvisas helt och hållet och gör att inloggningen misslyckas.

Returnera kontroller till ACS

Felsöka problem

Använd nätverksinspektören när du vill felsöka problem med dessa kontroller. Anvisningar finns på HAR Analyzer-sidan i Google Admin Toolbox.

Om du behöver kontakta support använder du ett engångstestkonto eftersom HTTP-arkivet (HAR) innehåller användarnamnet och lösenordet i klartext. Du kan även redigera filen och ta bort känsliga interaktioner mellan användaren och IdP. Kontakta support för Google Workspace.

SAMLRequest som skickats till din IdP innehåller relevant AssertionConsumerServiceURL. Om ditt SAMLResponse skickas till en annan webbadress kan det finnas ett konfigurationsproblem med din IdP.

Använda element och attribut

Obs! SAML-kontrollen får endast innehålla standardmässiga ASCII-tecken.

Elementet NameID

Fält	NameID-element i elementet Subject.
Beskrivning	NameID identifierar ämnet som är användarens primära e-postadress. Det är skiftlägeskänsligt.
Obligatoriskt Värde	user@example.com
Exempel	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/exempel.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >användare@exempel.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/exempel.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

Attributet Recipient

Fält	Recipient-attribut i SubjectConfirmationData-elementet
Beskrivning	Recipient anger ytterligare data som behövs för ämnet. Det är skiftlägeskänsligt. exempel.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto.
Obligatoriskt Värde	https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs
Exempel	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >användare@exempel.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/exempel.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

Elementet Audience

Fält	Audience-elementet i det överordnade AudienceRestriction-elementet
Beskrivning	Audience är den URI som identifierar den tänkta målgruppen som kräver värdet från ACS URI. exempel.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto. Detta elementvärde får inte vara tomt.
Obligatoriskt Värde	https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs
Exempel	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://www.google.com/a/exempel.com/acs </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

Attributet Destination

Fält	Destination-attribut för Response-elementet
Beskrivning	Destination är URI dit SAML-kontrollen skickas. Detta är ett valfritt attribut, men om det deklareras behöver det ett värde i ACS-URI. exempel.com är förmodligen den primära domänen för Google Workspace- eller Cloud Identity-kontot, även om användaren som autentiseras använder en sekundär domän i samma Google Workspace- eller Cloud Identity-konto.
Obligatoriskt Värde	https://www.google.com/a/example.com/acs eller https://accounts.google.com/a/example.com/acs
Exempel	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`

Var det här till hjälp?

Hur kan vi förbättra den?