Als Administrator müssen Sie sicherstellen, dass die in den folgenden Tabellen aufgeführten Elemente und Attribute für SAML 2.0 SSO-Assertions an den Google Assertion Consumer Service (ACS) gesendet werden, nachdem der Nutzer vom Identitätsanbieter authentifiziert wurde.
Assertion Consumer Service
Durch den Assertion Consumer Service (ACS-URL) wird dem IdP mitgeteilt, wohin ein authentifizierter Nutzer nach der Anmeldung weitergeleitet wird. Eine ACS-URL hat das folgende Format:
https://www.google.com/a/domain.com/acs
Hinweis: Wenn Ihre Organisation den Zugriff auf www.google.com einschränkt, wenden Sie sich bitte an das Supportteam Ihrer Organisation, um eine alternative ACS-URL zu erhalten, und gehen Sie zu SSO-Profil erstellen
Hinweise zu Attributen
Wenn Sie die Einmalanmeldung (SSO) über einen externen Identitätsanbieter eingerichtet haben und die SAML-Assertion Ihres IdP ein <AttributeStatement> enthält, speichert Google diese Attribute, bis die Google Account-Sitzung des Nutzers abläuft. Die Sitzungslänge variiert und kann vom Administrator konfiguriert werden. Nach Ablauf der Kontositzung werden die Attributinformationen innerhalb einer Woche endgültig gelöscht.
Wie bei benutzerdefinierten Attributen im Verzeichnis sollten Assertion-Attribute keine vertraulichen personenidentifizierbaren Informationen enthalten, z. B. Anmeldedaten für Konten, behördliche Identifikationsnummern, Karteninhaberdaten, Finanzdaten, Gesundheitsdaten oder vertrauliche Hintergrundinformationen.
Empfohlene Anwendungsfälle für Assertion-Attribute:
- Nutzer-IDs für interne IT-Systeme
- Sitzungsspezifische Rollen
Sie können maximal 2 KB Attributdaten in Ihren Assertions übergeben. Die Attributwerte müssen niedrige ASCII-Strings sein. Unicode-/UTF-8-Zeichen werden nicht unterstützt. Assertion-Werte, die nicht im niedrigen ASCII-Format vorliegen, und Assertions, die die maximal zulässige Größe überschreiten, werden vollständig abgelehnt. Dadurch kann die Anmeldung fehlschlagen.
Assertions an den ACS senden
Fehlerbehebung
Wenn Sie sich an den Support wenden müssen, sollten Sie ein temporäres Testkonto nutzen, da die HTTP-Archivdatei (HAR) den Nutzernamen und das Passwort im Klartext enthält. Alternativ können Sie auch die sensiblen Interaktionen zwischen dem Nutzer und dem Identitätsanbieter aus der Datei löschen. Wenden Sie sich an den Google Workspace-Support.
Die an Ihren Identitätsanbieter gesendete SAML-Anfrage enthält die relevante AssertionConsumerServiceURL. Wenn Ihre SAML-Antwort an eine andere URL gesendet wird, liegt möglicherweise ein Konfigurationsproblem bei Ihrem Identitätsanbieter vor.
Hinweis: Die SAML-Assertion darf nur standardmäßige ASCII-Zeichen enthalten.
Element „NameID“
| Feld | Element NameID im Element Subject |
|---|---|
| Beschreibung |
NameID steht für die primäre E-Mail-Adresse des Nutzers. Es wird zwischen Groß- und Kleinschreibung unterschieden. |
|
Erforderlich Wert |
nutzer@IhrUnternehmen.de |
| Beispiel | <saml:Subject> |
Attribut "Recipient"
| Feld | Attribut Recipient im Element SubjectConfirmationData |
|---|---|
| Beschreibung |
Recipient gibt zusätzliche Daten an, die für "Subject" erforderlich sind. Es wird zwischen Groß- und Kleinschreibung unterschieden. example.com ist wahrscheinlich die primäre Domain Ihres Google Workspace- oder Cloud Identity-Kontos, auch wenn der zu authentifizierende Nutzer eine sekundäre Domain im selben Google Workspace- oder Cloud Identity-Konto verwendet. |
|
Erforderlich Wert |
https://www.google.com/a/example.com/acs oder https://accounts.google.com/a/example.com/acs |
| Beispiel | <saml:Subject> |
Element "Audience"
| Feld | Element Audience im übergeordneten Element AudienceRestriction |
|---|---|
| Beschreibung |
Audience ist der Uniform Resource Identifier (URI), mit dem die Zielgruppe identifiziert wird, die den Wert des ACS-URI erfordert. example.com ist wahrscheinlich die primäre Domain Ihres Google Workspace- oder Cloud Identity-Kontos, auch wenn der zu authentifizierende Nutzer eine sekundäre Domain im selben Google Workspace- oder Cloud Identity-Konto verwendet. Dieser Elementwert muss angegeben werden. |
|
Erforderlich Wert |
https://www.google.com/a/example.com/acs oder https://accounts.google.com/a/example.com/acs |
| Beispiel |
|
Attribut „Destination“
| Feld | Attribut Destination des Elements Response |
|---|---|
| Beschreibung |
Destination ist der URI, an den die SAML-Assertion gesendet werden soll. Das Attribut ist optional. Wenn es angegeben wird, ist dafür der Wert des ACS-URI erforderlich. example.com ist wahrscheinlich die primäre Domain Ihres Google Workspace- oder Cloud Identity-Kontos, auch wenn der zu authentifizierende Nutzer eine sekundäre Domain im selben Google Workspace- oder Cloud Identity-Konto verwendet. |
|
Erforderlich Wert |
https://www.google.com/a/example.com/acs oder https://accounts.google.com/a/example.com/acs |
| Beispiel | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |