ข้อกำหนดในการยืนยันสิทธิ์ SSO

ในฐานะผู้ดูแลระบบ คุณต้องมีองค์ประกอบและแอททริบิวที่ปรากฏในตารางต่อไปนี้สำหรับการยืนยันสิทธิ์ SAML 2.0 SSO ที่ส่งไปยัง Google Assertion Consumer Service (ACS) หลังจากที่ผู้ให้บริการข้อมูลประจำตัว (IdP) ได้ตรวจสอบสิทธิ์ของผู้ใช้แล้ว

เกี่ยวกับ Assertion Consumer Service

Assertion Consumer Service หรือ ACS URL จะแจ้งให้ IdP ทราบว่าควรเปลี่ยนเส้นทางผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์หลังจากลงชื่อเข้าใช้ไปที่ใด โดย ACS URL จะมีรูปแบบดังนี้

https://www.google.com/a/domain.com/acs

หมายเหตุ: หากองค์กรจำกัดการเข้าถึง www.google.com โปรดติดต่อทีมสนับสนุนขององค์กรเพื่อขอ ACS URL สำรอง แล้วไปที่สร้างโปรไฟล์ SSO

คำแนะนำสำหรับแอตทริบิวต์

หากคุณตั้งค่า SSO ผ่านผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม และการยืนยัน SAML ของ IdP มี <AttributeStatement> อยู่ด้วย Google จะจัดเก็บแอตทริบิวต์เหล่านี้ไว้จนกว่าเซสชันบัญชี Google ของผู้ใช้จะหมดอายุ (ความยาวเซสชันจะแตกต่างกันไปและผู้ดูแลระบบจะกำหนดค่าความยาวได้) หลังจากที่เซสชันบัญชีหมดอายุ ระบบจะลบข้อมูลแอตทริบิวต์อย่างถาวรภายใน 1 สัปดาห์

เช่นเดียวกับแอตทริบิวต์ที่กำหนดเองในไดเรกทอรี แอตทริบิวต์การยืนยันไม่ควรมีข้อมูลส่วนบุคคลที่ละเอียดอ่อนและระบุตัวบุคคลนั้นได้ (SPII) เช่น ข้อมูลเข้าสู่ระบบของบัญชี หมายเลขประจำตัวประชาชน ข้อมูลผู้ถือบัตร ข้อมูลบัญชีการเงิน ข้อมูลสุขภาพ หรือข้อมูลภูมิหลังที่มีความละเอียดอ่อน

การใช้งานที่แนะนำสำหรับแอตทริบิวต์การยืนยันมีดังนี้

รหัสผู้ใช้สำหรับระบบไอทีภายใน
บทบาทเฉพาะเซสชัน

คุณสามารถส่งข้อมูลแอตทริบิวต์ได้สูงสุด 2 KB ในการยืนยันเท่านั้น ค่าแอตทริบิวต์ต้องเป็นสตริงที่มี ASCII ต่ำ (ไม่รองรับอักขระ Unicode/UTF-8) ระบบจะปฏิเสธค่าการยืนยันที่ไม่ใช่ ASCII ต่ำและการยืนยันที่เกินขนาดสูงสุดที่อนุญาตปฏิเสธทั้งหมด ซึ่งทำให้การลงชื่อเข้าใช้ล้มเหลว

ส่งการยืนยันสิทธิ์ไปยัง ACS

แก้ปัญหา

หากต้องการแก้ปัญหาการยืนยันสิทธิ์เหล่านี้ ให้ใช้เครื่องมือตรวจสอบเครือข่าย โปรดดูวิธีการในหน้าเครื่องมือวิเคราะห์ HAR ของกล่องเครื่องมือของ Google Admin

หากต้องการติดต่อทีมสนับสนุน ให้ใช้บัญชีทดสอบแบบใช้ครั้งเดียวเนื่องจากการบันทึก HTTP Archive (HAR) มีชื่อผู้ใช้และรหัสผ่านในรูปแบบข้อความธรรมดา หรือแก้ไขไฟล์เพื่อลบการโต้ตอบที่ละเอียดอ่อนระหว่างผู้ใช้และ IdP ติดต่อทีมสนับสนุนของ Google Workspace

SAMLRequest ที่ส่งไปยัง IdP จะมี AssertionConsumerServiceURL ที่เกี่ยวข้อง หากระบบส่ง SAMLResponse ไปยัง URL อื่น อาจเกิดปัญหาในการกำหนดค่ากับ IdP ของคุณ

ใช้องค์ประกอบและแอตทริบิวต์

หมายเหตุ: การยืนยัน SAML ต้องประกอบด้วยเฉพาะอักขระ ASCII มาตรฐานเท่านั้น

องค์ประกอบรหัสชื่อ

ช่อง	องค์ประกอบ NameID ในองค์ประกอบ Subject
คำอธิบาย	NameID จะระบุหัวเรื่อง ซึ่งเป็นอีเมลหลักของผู้ใช้ ต้องใช้ตัวพิมพ์เล็กและใหญ่ตรงกันทุกประการ
ค่า คุณค่า	user@example.com
ตัวอย่าง	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

แอตทริบิวต์ผู้รับ

ช่อง	แอตทริบิวต์ Recipient ในองค์ประกอบ SubjectConfirmationData
คำอธิบาย	Recipient จะระบุข้อมูลเพิ่มเติมที่จำเป็นสำหรับหัวเรื่อง ต้องใช้ตัวพิมพ์เล็กและใหญ่ตรงกันทุกประการ example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม
ค่า ที่ต้องระบุ	https://www.google.com/a/example.com/acs หรือ https://accounts.google.com/a/example.com/acs
ตัวอย่าง	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

องค์ประกอบกลุ่มเป้าหมาย

ช่อง	องค์ประกอบ Audience ในองค์ประกอบระดับบนสุด AudienceRestriction
คำอธิบาย	Audience คือ Uniform Resource Identifier (URI) ที่ระบุกลุ่มเป้าหมายที่ต้องการ ซึ่งต้องใช้ค่าของ ACS URI example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม ค่าองค์ประกอบนี้จะเว้นว่างไม่ได้
ค่า ที่ต้องระบุ	https://www.google.com/a/example.com/acs หรือ https://accounts.google.com/a/example.com/acs
ตัวอย่าง	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://www.google.com/a/example.com/acs </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

แอตทริบิวต์ปลายทาง

ช่อง	แอตทริบิวต์ Destination ขององค์ประกอบ Response
คำอธิบาย	ปลายทาง คือ URI ของปลายทางที่ระบบจะส่งการยืนยันสิทธิ์ SAML ให้ แอตทริบิวต์นี้จะเลือกระบุหรือไม่ก็ได้ แต่ถ้ามีการระบุ ก็จะต้องมีค่าของ ACS URI example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม
ค่า ที่ต้องระบุ	https://www.google.com/a/example.com/acs หรือ https://accounts.google.com/a/example.com/acs
ตัวอย่าง	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร