Yönetici olarak, kimlik sağlayıcının (IdP) son kullanıcı kimliğini doğrulamasının ardından Google Onay Tüketici Hizmeti'ne (ACS) döndürülen SAML 2.0 TOA onayları için aşağıdaki tablolarda listelenen öğeler ve özelliklere ihtiyacınız vardır.
Onay Tüketici Hizmeti hakkında
Onay Tüketici Hizmeti veya ACS URL'si, kimliği doğrulanmış bir kullanıcının oturum açtıktan sonra nereye yönlendirileceğini IdP'ye bildirir. ACS URL'si aşağıdaki biçimde sunulur:
https://www.google.com/a/alan.com/acs
Not: Kuruluşunuz www.google.com adresine erişimi kısıtlarsa alternatif bir ACS URL'si için lütfen kuruluşunuzun destek ekibiyle iletişime geçin ve TOA profili oluşturma başlıklı bölümü inceleyin.
Özelliklerle ilgili rehberlik
Google, TOA ayarlarını üçüncü taraf bir kimlik sağlayıcı aracılığıyla yaptıysanız ve IdP'nizin SAML onayında <AttributeStatement>
değeri varsa bu özellikleri kullanıcının Google Hesabı oturumunun süresi sona erene kadar saklar. (Oturum uzunluğu değişiklik gösterir ve yönetici tarafından yapılandırılabilir.) Hesap oturumu sona erdikten sonra özellik bilgileri bir hafta içinde kalıcı olarak silinir.
Dizin'deki özel özelliklerde olduğu gibi, onay özellikleri hesap kimlik bilgileri, resmi kimlik numaraları, kart sahibi verileri, finansal hesap verileri, sağlık bilgileri veya hassas geçmiş bilgileri gibi hassas kimliği tanımlayabilecek bilgiler (PII) içermemelidir.
Onay özellikleri için önerilen kullanımlar arasında şunlar bulunur:
- Dahili BT sistemleri için kullanıcı kimlikleri
- Oturuma özgü roller
Onaylarınızda en fazla 2 kB özellik verisi iletebilirsiniz. Özellik değerleri küçük ASCII dizeleri olmalıdır (Unicode/UTF-8 karakterleri desteklenmez). Küçük ASCII olmayan onay değerleri ve izin verilen maksimum boyutu aşan onaylar tamamen reddedilir ve oturum açma işleminin başarısız olmasına neden olur.
Onayları ACS'ye döndürme
Sorun giderme
HTTP Arşivi (HAR) yakalama biçiminde, kullanıcı adı ve şifre açık metin olarak tutulur. Bu yüzden, destek ekibine başvurmanız gerekiyorsa tek kullanımlık bir test hesabı kullanın. Kullanıcı ile IdP arasındaki hassas etkileşimleri gösterecek verileri silmeyi de tercih edebilirsiniz. Google Workspace destek ekibiyle iletişime geçin.
IdP'nize gönderilen SAMLRequest, ilgili AssertionConsumerServiceURL'i içerir. SAMLResponse, başka bir URL'ye gönderildiyse IdP'nizle ilgili bir yapılandırma sorunu olabilir.
Not: SAML onayı yalnızca standart ASCII karakterlerini içerebilir.
Name ID öğesi
Alan | Subject öğesindeki NameID öğesi. |
---|---|
Açıklama |
NameID, kullanıcının birincil e-posta adresi olan subject'i tanımlar. Büyük/küçük harfe duyarlıdır. |
Zorunlu Değer |
kullanici@example.com |
Örnek | <saml:Subject> |
Recipient özelliği
Alan | SubjectConfirmationData öğesinin Recipient özelliği |
---|---|
Açıklama |
Recipient, konu için gerekli olan ek verileri belirtir. Büyük/küçük harfe duyarlıdır. example.com büyük ihtimalle Google Workspace veya Cloud Identity hesabınızın birincil alanıdır (kimlik doğrulaması yapılan kullanıcı aynı Google Workspace veya Cloud Identity hesabında bir ikincil alan kullanıyor olsa bile). |
Zorunlu Değer |
https://www.google.com/a/example.com/acs veya https://accounts.google.com/a/example.com/acs |
Örnek | <saml:Subject> |
Auidence öğesi
Alan | AudienceRestriction üst öğesindeki Auidence öğesi |
---|---|
Açıklama |
Audience, Hedeflenen kitleyi tanımlayan tekdüzen kaynak tanımlayıcısıdır (URI) ve ACS URI değerini gerektirir. example.com büyük ihtimalle Google Workspace veya Cloud Identity hesabınızın birincil alanıdır (kimlik doğrulaması yapılan kullanıcı aynı Google Workspace veya Cloud Identity hesabında bir ikincil alan kullanıyor olsa bile). Bu öğe değeri boş bırakılamaz. |
Zorunlu Değer |
https://www.google.com/a/example.com/acs veya https://accounts.google.com/a/example.com/acs |
Örnek |
|
Destination özelliği
Alan | Response öğesinin Destination özelliği |
---|---|
Açıklama |
Destination, SAML onayının gönderilmekte olduğu konumun URI'sidir. Bu, isteğe bağlı bir özellik olmakla beraber, belirtilmesi durumunda ACS URI'si değeri gerektirecektir. example.com büyük ihtimalle Google Workspace veya Cloud Identity hesabınızın birincil alanıdır (kimlik doğrulaması yapılan kullanıcı aynı Google Workspace veya Cloud Identity hesabında bir ikincil alan kullanıyor olsa bile). |
Zorunlu Değer |
https://www.google.com/a/example.com/acs veya https://accounts.google.com/a/example.com/acs |
Örnek | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |