TOA onayı gereksinimleri

Yönetici olarak, kimlik sağlayıcının (IdP) son kullanıcı kimliğini doğrulamasının ardından Google Onay Tüketici Hizmeti'ne (ACS) döndürülen SAML 2.0 TOA onayları için aşağıdaki tablolarda listelenen öğeler ve özelliklere ihtiyacınız vardır.

Onay Tüketici Hizmeti hakkında

Onay Tüketici Hizmeti veya ACS URL'si, kimliği doğrulanmış bir kullanıcının oturum açtıktan sonra nereye yönlendirileceğini IdP'ye bildirir. ACS URL'si aşağıdaki biçimde sunulur:

https://www.google.com/a/alan.com/acs

Not: Kuruluşunuz www.google.com adresine erişimi kısıtlarsa alternatif bir ACS URL'si için lütfen kuruluşunuzun destek ekibiyle iletişime geçin ve TOA profili oluşturma başlıklı bölümü inceleyin.

Özelliklerle ilgili rehberlik

Google, TOA ayarlarını üçüncü taraf bir kimlik sağlayıcı aracılığıyla yaptıysanız ve IdP'nizin SAML onayında <AttributeStatement> değeri varsa bu özellikleri kullanıcının Google Hesabı oturumunun süresi sona erene kadar saklar. (Oturum uzunluğu değişiklik gösterir ve yönetici tarafından yapılandırılabilir.) Hesap oturumu sona erdikten sonra özellik bilgileri bir hafta içinde kalıcı olarak silinir.

Dizin'deki özel özelliklerde olduğu gibi, onay özellikleri hesap kimlik bilgileri, resmi kimlik numaraları, kart sahibi verileri, finansal hesap verileri, sağlık bilgileri veya hassas geçmiş bilgileri gibi hassas kimliği tanımlayabilecek bilgiler (PII) içermemelidir.

Onay özellikleri için önerilen kullanımlar arasında şunlar bulunur:

Dahili BT sistemleri için kullanıcı kimlikleri
Oturuma özgü roller

Onaylarınızda en fazla 2 kB özellik verisi iletebilirsiniz. Özellik değerleri küçük ASCII dizeleri olmalıdır (Unicode/UTF-8 karakterleri desteklenmez). Küçük ASCII olmayan onay değerleri ve izin verilen maksimum boyutu aşan onaylar tamamen reddedilir ve oturum açma işleminin başarısız olmasına neden olur.

Onayları ACS'ye döndürme

Sorun giderme

Bu onaylarla ilgili sorunları gidermek için ağ denetleme aracını kullanın. Talimatlar için Google Yönetici Araç Kutusu HAR Analiz Aracı sayfasına göz atın.

HTTP Arşivi (HAR) yakalama biçiminde, kullanıcı adı ve şifre açık metin olarak tutulur. Bu yüzden, destek ekibine başvurmanız gerekiyorsa tek kullanımlık bir test hesabı kullanın. Kullanıcı ile IdP arasındaki hassas etkileşimleri gösterecek verileri silmeyi de tercih edebilirsiniz. Google Workspace destek ekibiyle iletişime geçin.

IdP'nize gönderilen SAMLRequest, ilgili AssertionConsumerServiceURL'i içerir. SAMLResponse, başka bir URL'ye gönderildiyse IdP'nizle ilgili bir yapılandırma sorunu olabilir.

Öğeleri ve özellikleri kullanma

Not: SAML onayı yalnızca standart ASCII karakterlerini içerebilir.

Name ID öğesi

Alan	Subject öğesindeki NameID öğesi.
Açıklama	NameID, kullanıcının birincil e-posta adresi olan subject'i tanımlar. Büyük/küçük harfe duyarlıdır.
Zorunlu Değer	kullanici@example.com
Örnek	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >kullanici@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

Recipient özelliği

Alan	SubjectConfirmationData öğesinin Recipient özelliği
Açıklama	Recipient, konu için gerekli olan ek verileri belirtir. Büyük/küçük harfe duyarlıdır. example.com büyük ihtimalle Google Workspace veya Cloud Identity hesabınızın birincil alanıdır (kimlik doğrulaması yapılan kullanıcı aynı Google Workspace veya Cloud Identity hesabında bir ikincil alan kullanıyor olsa bile).
Zorunlu Değer	https://www.google.com/a/example.com/acs veya https://accounts.google.com/a/example.com/acs
Örnek	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >kullanici@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

Auidence öğesi

Alan	AudienceRestriction üst öğesindeki Auidence öğesi
Açıklama	Audience, Hedeflenen kitleyi tanımlayan tekdüzen kaynak tanımlayıcısıdır (URI) ve ACS URI değerini gerektirir. example.com büyük ihtimalle Google Workspace veya Cloud Identity hesabınızın birincil alanıdır (kimlik doğrulaması yapılan kullanıcı aynı Google Workspace veya Cloud Identity hesabında bir ikincil alan kullanıyor olsa bile). Bu öğe değeri boş bırakılamaz.
Zorunlu Değer	https://www.google.com/a/example.com/acs veya https://accounts.google.com/a/example.com/acs
Örnek	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://www.google.com/a/example.com/acs </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

Destination özelliği

Alan	Response öğesinin Destination özelliği
Açıklama	Destination, SAML onayının gönderilmekte olduğu konumun URI'sidir. Bu, isteğe bağlı bir özellik olmakla beraber, belirtilmesi durumunda ACS URI'si değeri gerektirecektir. example.com büyük ihtimalle Google Workspace veya Cloud Identity hesabınızın birincil alanıdır (kimlik doğrulaması yapılan kullanıcı aynı Google Workspace veya Cloud Identity hesabında bir ikincil alan kullanıyor olsa bile).
Zorunlu Değer	https://www.google.com/a/example.com/acs veya https://accounts.google.com/a/example.com/acs
Örnek	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?