在身份提供商 (IdP) 对用户进行身份验证后,管理员必须提供下表所列的元素和属性,才能将 SAML 2.0 SSO 断言返回到 Google 断言消费者服务 (ACS)。
关于断言消费者服务
断言消费者服务(或 ACS 网址)会告知身份提供商 (IdP) 在已通过身份验证的用户登录后应将其重定向至何处。ACS 网址采用以下格式:
https://www.google.com/a/domain.com/acs
注意:如果贵组织限制对 www.google.com 的访问,请与贵单位的支持团队联系以获取备用 ACS 网址,然后参阅创建单点登录配置文件。
属性指南
如果您已通过第三方身份提供方设置单点登录,但 IdP 的 SAML 断言包含 <AttributeStatement>
,Google 将会存储这些属性,直至用户的 Google 帐号会话过期。(会话时长各不相同,可由管理员配置。)帐号会话失效后,属性信息会在一周内永久删除。
与名录中的自定义属性一样,断言属性不应包含敏感的个人身份信息 (PII),例如帐号凭据、政府身份证号码、持卡人数据、财务账户数据、医疗保健信息或敏感背景信息。
断言属性的推荐用途包括:
- 内部 IT 系统的用户 ID
- 会话专属角色
您最多只能在断言中传递 2kB 属性数据。属性值必须是低 ASCII 字符串(不支持 Unicode/UTF-8 字符)。非低 ASCII 的断言值以及超出允许的最大大小的断言将被拒绝,并会导致登录失败。
将断言返回到 ACS
排查问题
如需与支持团队联系,请使用临时的测试帐号,因为捕获的 HTTP 归档 (HAR) 文件包含明文显示的用户名和密码。您也可以编辑文件,删除用户和 IdP 之间的敏感性互动内容。与 Google Workspace 支持团队联系。
发送给 IdP 的 SAMLRequest 包含相关的 AssertionConsumerServiceURL。如果您的 SAMLResponse 是发送到其他网址的,那么 IdP 可能会出现配置问题。
注意:SAML 断言只能包含标准 ASCII 字符。
名称 ID 元素
字段 | Subject 元素中的 NameID 元素。 |
---|---|
说明 |
NameID 可识别主题,即用户的主电子邮件地址。 区分大小写。 |
必填 值 |
user@example.com |
示例 | <saml:Subject> |
收件人属性
字段 | SubjectConfirmationData 元素中的 Recipient 属性 |
---|---|
说明 |
Recipient 可指定主题所需的其他数据。 区分大小写。 example.com 可能是您的 Google Workspace 或 Cloud Identity 帐号的主域名,即使要验证身份的用户使用相同 Google Workspace 或 Cloud Identity 帐号的辅助域名也一样。 |
必填 值 |
https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs |
示例 | <saml:Subject> |
受众群体元素
字段 | AudienceRestriction 上级元素中的 Audience 元素 |
---|---|
说明 |
Audience 是统一资源标识符 (URI),用于识别需要 ACS URI 值的目标受众群体。 example.com 可能是您的 Google Workspace 或 Cloud Identity 帐号的主域名,即使要验证身份的用户使用相同 Google Workspace 或 Cloud Identity 帐号的辅助域名也一样。 此元素值不得为空。 |
必填 值 |
https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs |
示例 |
|
目的地属性
字段 | Response 元素的 Destination 属性 |
---|---|
说明 |
Destination 是 SAML 断言发送目的地的 URI。 这是可选属性,但如果被断言,就需要 ACS URI 值。 example.com 可能是您的 Google Workspace 或 Cloud Identity 帐号的主域名,即使要验证身份的用户使用相同 Google Workspace 或 Cloud Identity 帐号的辅助域名也一样。 |
必填 值 |
https://www.google.com/a/example.com/acs 或 https://accounts.google.com/a/example.com/acs |
示例 | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |