ข้อกำหนดในการยืนยันสิทธิ์ SSO

ในฐานะผู้ดูแลระบบ คุณต้องมีองค์ประกอบและแอททริบิวที่ปรากฏในตารางต่อไปนี้สำหรับการยืนยันสิทธิ์ SAML 2.0 SSO ที่ส่งไปยัง Google Assertion Consumer Service (ACS) หลังจากที่ผู้ให้บริการข้อมูลประจำตัว (IdP) ได้ตรวจสอบสิทธิ์ของผู้ใช้แล้ว

เกี่ยวกับ Assertion Consumer Service

Assertion Consumer Service หรือ ACS URL จะแจ้งให้ IdP ทราบว่าควรเปลี่ยนเส้นทางผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์หลังจากลงชื่อเข้าใช้ไปที่ใด โดย ACS URL จะมีรูปแบบดังนี้

https://www.google.com/a/domain.com/acs

หมายเหตุ: หากองค์กรจำกัดการเข้าถึง www.google.com โปรดติดต่อทีมสนับสนุนขององค์กรเพื่อขอ ACS URL สำรอง แล้วไปที่สร้างโปรไฟล์ SSO

คำแนะนำสำหรับแอตทริบิวต์

หากคุณตั้งค่า SSO ผ่านผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม และการยืนยัน SAML ของ IdP มี <AttributeStatement> อยู่ด้วย Google จะจัดเก็บแอตทริบิวต์เหล่านี้ไว้จนกว่าเซสชันบัญชี Google ของผู้ใช้จะหมดอายุ (ความยาวเซสชันจะแตกต่างกันไปและผู้ดูแลระบบจะกำหนดค่าความยาวได้) หลังจากที่เซสชันบัญชีหมดอายุ ระบบจะลบข้อมูลแอตทริบิวต์อย่างถาวรภายใน 1 สัปดาห์

เช่นเดียวกับแอตทริบิวต์ที่กำหนดเองในไดเรกทอรี แอตทริบิวต์การยืนยันไม่ควรมีข้อมูลส่วนบุคคลที่ละเอียดอ่อนและระบุตัวบุคคลนั้นได้ (SPII) เช่น ข้อมูลเข้าสู่ระบบของบัญชี หมายเลขประจำตัวประชาชน ข้อมูลผู้ถือบัตร ข้อมูลบัญชีการเงิน ข้อมูลสุขภาพ หรือข้อมูลภูมิหลังที่มีความละเอียดอ่อน

การใช้งานที่แนะนำสำหรับแอตทริบิวต์การยืนยันมีดังนี้

  • รหัสผู้ใช้สำหรับระบบไอทีภายใน
  • บทบาทเฉพาะเซสชัน

คุณสามารถส่งข้อมูลแอตทริบิวต์ได้สูงสุด 2 KB ในการยืนยันเท่านั้น ค่าแอตทริบิวต์ต้องเป็นสตริงที่มี ASCII ต่ำ (ไม่รองรับอักขระ Unicode/UTF-8) ระบบจะปฏิเสธค่าการยืนยันที่ไม่ใช่ ASCII ต่ำและการยืนยันที่เกินขนาดสูงสุดที่อนุญาตปฏิเสธทั้งหมด ซึ่งทำให้การลงชื่อเข้าใช้ล้มเหลว
 

ส่งการยืนยันสิทธิ์ไปยัง ACS

แก้ปัญหา

หากต้องการแก้ปัญหาการยืนยันสิทธิ์เหล่านี้ ให้ใช้เครื่องมือตรวจสอบเครือข่าย โปรดดูวิธีการในหน้าเครื่องมือวิเคราะห์ HAR ของกล่องเครื่องมือของ Google Admin 

หากต้องการติดต่อทีมสนับสนุน ให้ใช้บัญชีทดสอบแบบใช้ครั้งเดียวเนื่องจากการบันทึก HTTP Archive (HAR) มีชื่อผู้ใช้และรหัสผ่านในรูปแบบข้อความธรรมดา หรือแก้ไขไฟล์เพื่อลบการโต้ตอบที่ละเอียดอ่อนระหว่างผู้ใช้และ IdP ติดต่อทีมสนับสนุนของ Google Workspace

SAMLRequest ที่ส่งไปยัง IdP จะมี AssertionConsumerServiceURL ที่เกี่ยวข้อง หากระบบส่ง SAMLResponse ไปยัง URL อื่น อาจเกิดปัญหาในการกำหนดค่ากับ IdP ของคุณ
ใช้องค์ประกอบและแอตทริบิวต์

หมายเหตุ: การยืนยัน SAML ต้องประกอบด้วยเฉพาะอักขระ ASCII มาตรฐานเท่านั้น

องค์ประกอบรหัสชื่อ

ช่อง องค์ประกอบ NameID ในองค์ประกอบ Subject
 
คำอธิบาย

NameID จะระบุหัวเรื่อง ซึ่งเป็นอีเมลหลักของผู้ใช้ 

ต้องใช้ตัวพิมพ์เล็กและใหญ่ตรงกันทุกประการ

ค่า

คุณค่า

user@example.com
 
ตัวอย่าง <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

แอตทริบิวต์ผู้รับ

ช่อง แอตทริบิวต์ Recipient ในองค์ประกอบ SubjectConfirmationData
 
คำอธิบาย

Recipient จะระบุข้อมูลเพิ่มเติมที่จำเป็นสำหรับหัวเรื่อง 

ต้องใช้ตัวพิมพ์เล็กและใหญ่ตรงกันทุกประการ

example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม

ค่า

ที่ต้องระบุ

https://www.google.com/a/example.com/acs

หรือ

https://accounts.google.com/a/example.com/acs

ตัวอย่าง <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

องค์ประกอบกลุ่มเป้าหมาย

ช่อง องค์ประกอบ Audience ในองค์ประกอบระดับบนสุด AudienceRestriction
คำอธิบาย

Audience คือ Uniform Resource Identifier (URI) ที่ระบุกลุ่มเป้าหมายที่ต้องการ ซึ่งต้องใช้ค่าของ ACS URI

example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม

ค่าองค์ประกอบนี้จะเว้นว่างไม่ได้

ค่า

ที่ต้องระบุ

https://www.google.com/a/example.com/acs

หรือ

https://accounts.google.com/a/example.com/acs

ตัวอย่าง

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

แอตทริบิวต์ปลายทาง

ช่อง แอตทริบิวต์ Destination ขององค์ประกอบ Response
 
คำอธิบาย

ปลายทาง คือ URI ของปลายทางที่ระบบจะส่งการยืนยันสิทธิ์ SAML ให้

แอตทริบิวต์นี้จะเลือกระบุหรือไม่ก็ได้ แต่ถ้ามีการระบุ ก็จะต้องมีค่าของ ACS URI

example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม

ค่า

ที่ต้องระบุ

https://www.google.com/a/example.com/acs 

หรือ

https://accounts.google.com/a/example.com/acs

ตัวอย่าง <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร
true
เริ่มต้นการทดลองใช้งานฟรี 14 วันได้เลย

อีเมลระดับมืออาชีพ พื้นที่เก็บข้อมูลออนไลน์ การแชร์ปฏิทิน การประชุมวิดีโอ และอื่นๆ เริ่มต้นการทดลองใช้งาน G Suite ฟรีวันนี้

ค้นหา
ล้างการค้นหา
ปิดการค้นหา
เมนูหลัก
13601817377167948250
true
ค้นหาศูนย์ช่วยเหลือ
true
true
true
true
true
73010
false
false