單一登入 (SSO) 宣告需求

管理員需要使用下表所列的元素與屬性,才能在識別資訊提供者 (IdP) 驗證使用者後,將 SAML 2.0 SSO 宣告傳回 Google 宣告客戶服務 (ACS)。

屬性指南

如果您透過第三方識別資訊提供者設定單一登入 (SSO),而 IdP 的 SAML 宣告含有 <AttributeStatement>,Google 會儲存這些屬性,直到使用者的 Google 帳戶工作階段過期 (工作階段長度可能因管理員而異,管理員可以設定工作階段長度)。帳戶工作階段到期後,屬性資訊會在一週內永久刪除。

與目錄中的自訂屬性一樣,宣告屬性不得包含具敏感性的個人識別資訊 (PII),例如帳戶憑證、身分證字號、持卡人資料、金融帳戶資料、醫療照護資訊或機密背景資訊。

宣告屬性的建議用途包括:

  • 內部 IT 系統的使用者 ID
  • 特定工作階段的角色

您最多只能在宣告中傳遞 2 KB 的屬性資料。超過許可大小上限的宣告將遭到拒絕,並導致登入失敗。

支援的字元集

視您使用的 SSO 設定檔是否為舊版,支援的字元集會有所不同:

  • 舊版 SSO 設定檔:屬性值必須是低 ASCII 字串 (系統不支援 Unicode/UTF-8 字元,這會導致登入失敗)。
  • SSO 設定檔:支援 Unicode/UTF-8 字元。

將宣告傳回 ACS

排解問題

您可以透過網路檢查工具,排解宣告相關問題。如需操作說明,請參閱 Google Admin Toolbox HAR 分析工具頁面

如需與支援團隊聯絡,請使用一次性測試帳戶,因為 HTTP 封存格式 (HAR) 擷取資料含有以純文字顯示的使用者名稱和密碼。此外,您也可以透過編輯檔案來刪除使用者和 IdP 之間的機密互動資料。與 Google Workspace 支援團隊聯絡。

傳送給您 IdP 的 SAMLRequest 含有相關的 AssertionConsumerServiceURL。如果您的 SAMLResponse 傳送到了其他網址,代表您的 IdP 設定可能有問題。
使用元素與屬性:SSO 設定檔

名稱 ID 元素

欄位 <Subject> 元素中的 <NameID> 元素。
 
說明

<NameID>NameID 可辨識使用者主要電子郵件地址的主旨。

須區分大小寫。

必要

user@example.com
 
範例 <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

收件者屬性

欄位 <SubjectConfirmationData> 元素中的 <Recipient> 屬性
 
說明

Recipient 會指定要將宣告傳送給哪個服務供應商的宣告客戶服務網址。

必要

SSO 設定檔「服務供應商 (SP) 詳細資料」部分的 ACS 網址值。

範例 <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
 <saml:SubjectConfirmationData
   NotOnOrAfter="2014-11-05T17:37:07Z"
   Recipient="https://accounts.google.com/samlrp/0abc123/acs"
   InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
 </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

目標對象元素

欄位 <AudienceRestriction> 上層元素中的 <Audience> 元素
說明

Audience 是 URI 參照,用於識別宣告指定的目標對象。

必要

SSO 設定檔「服務供應商 (SP) 詳細資料」部分的實體 ID 值。

範例

<saml:Conditions
  NotBefore="2014-11-05T17:31:37Z"
  NotOnOrAfter="2014-11-05T17:37:07Z">
 <saml:AudienceRestriction>
  <saml:Audience>https://accounts.google.com/samlrp/0abc123
  </saml:Audience>
 </saml:AudienceRestriction>
</saml:Conditions>

目的地屬性

欄位 <Response> 元素的 <Destination> 屬性
 
說明

Destination 是 URI 參照,可指出此回應已傳送到哪個地址。

必要

這是選用屬性,如要設定此屬性,應設為 SSO 設定檔「服務供應商 (SP) 詳細資料」部分的 ACS 網址值。
範例 <saml:Response 
  Destination="https://accounts.google.com/samlrp/0abc123/acs"
  ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
  InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
  IssueInstant="2024-10-04T20:17:38.726Z"
  Version="2.0">
 ...
</saml:Response>
使用元素與屬性:舊版 SSO 設定檔

注意:SAML 宣告只能包含標準 ASCII 字元。

名稱 ID 元素

欄位 <Subject> 元素中的 <NameID> 元素。
 
說明

<NameID>NameID 可辨識使用者主要電子郵件地址的主旨。

須區分大小寫。

必要

user@example.com
 
範例 <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

收件者屬性

欄位 <SubjectConfirmationData> 元素中的 <Recipient> 屬性
 
說明

<Recipient> 可指定主旨需要的額外資料。

「example.com」可能是您的 Google Workspace 或 Cloud Identity 帳戶的主網域,即使要驗證的使用者所採用的是相同 Google Workspace 或 Cloud Identity 帳戶的次要網域也一樣。

必要

https://www.google.com/a/example.com/acs

https://accounts.google.com/a/example.com/acs

範例 <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
  <saml:SubjectConfirmationData
      NotOnOrAfter="2014-11-05T17:37:07Z"
      Recipient="https://www.google.com/a/example.com/acs"
      InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
  </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

目標對象元素

欄位 <AudienceRestriction> 上層元素中的 <Audience> 元素
說明

<Audience> 為統一資源 ID (URI),用於辨識需要 ACS URI 值的指定目標對象。

「example.com」example.com可能是您的 Google Workspace 或 Cloud Identity 帳戶的主網域,即使要驗證的使用者所採用的是相同 Google Workspace 或 Cloud Identity 帳戶的次要網域也一樣。

此元素值不可留空。

必要

可以是以下任一項:

  • google.com
  • google.com/a/<您的網域> (如果您在舊版 SSO 設定檔設定中勾選「使用網域特定發行者」的話)。
範例

<saml:Conditions
    NotBefore="2014-11-05T17:31:37Z"
    NotOnOrAfter="2014-11-05T17:37:07Z">
  <saml:AudienceRestriction>
    <saml:Audience>google.com/a/example.com</saml:Audience>
  </saml:AudienceRestriction>
</saml:Conditions>

目的地屬性

欄位 <Response> 元素的 <Destination> 屬性
 
說明

<Destination> 是傳送 SAML 宣告的目的地 URI。

這是選用屬性,但如果經過宣告,就需要 ACS URI 的值。

「example.com」example.com可能是您的 Google Workspace 或 Cloud Identity 帳戶的主網域,即使要驗證的使用者所採用的是相同 Google Workspace 或 Cloud Identity 帳戶的次要網域也一樣。

必要

https://www.google.com/a/example.com/acs 

https://accounts.google.com/a/example.com/acs

範例 <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

這對您有幫助嗎?

我們應如何改進呢?
搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單
13591454664746121079
true
搜尋說明中心
true
true
true
true
true
73010
false
false
false
false