單一登入 (SSO) 宣告需求

管理員需要使用下表所列的元素與屬性,才能在識別資訊提供者 (IdP) 驗證使用者後,將 SAML 2.0 SSO 宣告傳回 Google 宣告客戶服務 (ACS)。

將宣告傳回 ACS

排解問題

您可以透過網路檢查工具,排解宣告相關問題。如需操作說明,請造訪 G Suite 工具箱 HAR 分析工具頁面

如需與支援小組聯絡,請使用一次性的測試帳戶,因為 HTTP 封存 (HAR) 擷取資料含有以純文字顯示的使用者名稱和密碼。或者,您也可以編輯檔案,刪除使用者和 IdP 間的機密互動資料。與 G Suite 支援小組聯絡

傳送給您 IdP 的 SAMLRequest 含有相關的 AssertionConsumerServiceURL。如果您的 SAMLResponse 傳送到其他網址,代表您的 IdP 設定可能出現問題。

使用元素與屬性

名稱 ID 元素

欄位 <Subject> 元素中的 <NameID> 元素
 
說明

<NameID> 可辨識使用者主要電子郵件地址的主旨。

須區分大小寫。

必要

<使用者>@<您的網域>.com
 
範例 <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/<您的網域>.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
><使用者>@<您的網域>.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/<您的網域>.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

收件者屬性

欄位 <SubjectConfirmationData> 元素中的 <Recipient> 屬性
 
說明

<Recipient> 可指定主旨需要的額外資料。

須區分大小寫。

<您的網域>.com 可能是您 G Suite 或 Cloud Identity 帳戶的主要網域,即使要驗證的使用者使用相同 G Suite 或 Cloud Identity 帳戶中的次要網域也不會有影響。

必要

https://www.google.com/a/<您的網域>.com/acs

https://accounts.google.com/a/<您的網域>.com/acs

範例 <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/<您的網域>.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
><使用者>@<您的網域>.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/<您的網域>.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

目標對象元素

欄位 <AudienceRestriction> 上層元素中的 <Audience> 元素
說明

<Audience> 是用於辨識指定目標對象的統一資源 ID (URI),該對象需要 ACS URI 的值。

<您的網域>.com 可能是您 G Suite 或 Cloud Identity 帳戶的主要網域,即使要驗證的使用者使用相同 G Suite 或 Cloud Identity 帳戶中的次要網域也不會有影響。

此元素值不可留空。

必要

https://www.google.com/a/<您的網域>.com/acs

https://accounts.google.com/a/<您的網域>.com/acs

範例

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://wwww.google.com/a/<您的網域>.com/acs</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

目的地屬性

欄位 <Response> 元素的 <Destination> 屬性
 
說明

<Destination> 是傳送 SAML 宣告的目的地 URI。

這是選用屬性,但如果經過宣告,就需要 ACS URI 的值。

<您的網域>.com 可能是您 G Suite 或 Cloud Identity 帳戶的主要網域,即使要驗證的使用者使用相同 G Suite 或 Cloud Identity 帳戶中的次要網域也不會有影響。

必要

https://www.google.com/a/<您的網域>.com/acs

https://accounts.google.com/a/<您的網域>.com/acs

範例 <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/<您的網域.com>/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
這對您有幫助嗎?
我們應如何改進呢?