SSO 断言要求

在身份提供商 (IdP) 对用户进行身份验证后，管理员必须提供下表所列的元素和属性，才能将 SAML 2.0 SSO 断言返回到 Google 断言消费者服务 (ACS)。

关于断言消费者服务

断言消费者服务（或 ACS 网址）会告知身份提供商 (IdP) 在已通过身份验证的用户登录后应将其重定向至何处。ACS 网址采用以下格式：

https://www.google.com/a/domain.com/acs

注意：如果贵组织限制对 www.google.com 的访问，请与贵单位的支持团队联系以获取备用 ACS 网址，然后参阅创建单点登录配置文件。

属性指南

如果您已通过第三方身份提供方设置单点登录，但 IdP 的 SAML 断言包含 <AttributeStatement>，Google 将会存储这些属性，直至用户的 Google 帐号会话过期。（会话时长各不相同，可由管理员配置。）帐号会话失效后，属性信息会在一周内永久删除。

与名录中的自定义属性一样，断言属性不应包含敏感的个人身份信息 (PII)，例如帐号凭据、政府身份证号码、持卡人数据、财务账户数据、医疗保健信息或敏感背景信息。

断言属性的推荐用途包括：

内部 IT 系统的用户 ID
会话专属角色

您最多只能在断言中传递 2kB 属性数据。属性值必须是低 ASCII 字符串（不支持 Unicode/UTF-8 字符）。非低 ASCII 的断言值以及超出允许的最大大小的断言将被拒绝，并会导致登录失败。

将断言返回到 ACS

排查问题

如要排查与断言有关的问题，请使用网络检查工具。有关说明，请参阅 Google 管理员工具箱 HAR 分析器页面。

如需与支持团队联系，请使用临时的测试帐号，因为捕获的 HTTP 归档 (HAR) 文件包含明文显示的用户名和密码。您也可以编辑文件，删除用户和 IdP 之间的敏感性互动内容。与 Google Workspace 支持团队联系。

发送给 IdP 的 SAMLRequest 包含相关的 AssertionConsumerServiceURL。如果您的 SAMLResponse 是发送到其他网址的，那么 IdP 可能会出现配置问题。

使用元素和属性

注意：SAML 断言只能包含标准 ASCII 字符。

名称 ID 元素

字段	Subject 元素中的 NameID 元素。
说明	NameID 可识别主题，即用户的主电子邮件地址。区分大小写。
必填值	user@example.com
示例	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

收件人属性

字段	SubjectConfirmationData 元素中的 Recipient 属性
说明	Recipient 可指定主题所需的其他数据。区分大小写。 example.com 可能是您的 Google Workspace 或 Cloud Identity 帐号的主域名，即使要验证身份的用户使用相同 Google Workspace 或 Cloud Identity 帐号的辅助域名也一样。
必填值	https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs
示例	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

受众群体元素

字段	AudienceRestriction 上级元素中的 Audience 元素
说明	Audience 是统一资源标识符 (URI)，用于识别需要 ACS URI 值的目标受众群体。 example.com 可能是您的 Google Workspace 或 Cloud Identity 帐号的主域名，即使要验证身份的用户使用相同 Google Workspace 或 Cloud Identity 帐号的辅助域名也一样。此元素值不得为空。
必填值	https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs
示例	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://www.google.com/a/example.com/acs </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

目的地属性

字段	Response 元素的 Destination 属性
说明	Destination 是 SAML 断言发送目的地的 URI。这是可选属性，但如果被断言，就需要 ACS URI 值。 example.com 可能是您的 Google Workspace 或 Cloud Identity 帐号的主域名，即使要验证身份的用户使用相同 Google Workspace 或 Cloud Identity 帐号的辅助域名也一样。
必填值	https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs
示例	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`

该内容对您有帮助吗？

您有什么改进建议？