Jako administrator potrzebujesz elementów i atrybutów wymienionych w poniższych tabelach do obsługi potwierdzeń logowania jednokrotnego opartego na protokole SAML 2.0, które są zwracane do usługi Google ACS po uwierzytelnieniu użytkownika przez dostawcę tożsamości.
Informacje o usłudze ACS (Assertion Consumer Service – usługa konsumenta potwierdzenia)
Usługa ACS (lub adres URL usługi ACS) informuje dostawcę tożsamości o tym, gdzie przekierować uwierzytelnionego użytkownika po zalogowaniu. Adres URL usługi ACS ma format:
https://www.google.com/a/domain.com/acs
Uwaga: jeśli Twoja organizacja ogranicza dostęp do www.google.com, skontaktuj się z zespołem pomocy technicznej organizacji i poproś o alternatywny adres URL usługi ACS. Następnie otwórz stronę Tworzenie profilu SSO.
Wskazówki dotyczące atrybutów
Jeśli masz skonfigurowane logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości, a potwierdzenie dostawcy tożsamości SAML obejmuje <AttributeStatement>
, Google będzie przechowywać te atrybuty do momentu, aż sesja konta użytkownika Google wygaśnie. Długość sesji może być różna i może ją skonfigurować administrator. Po wygaśnięciu sesji konta informacje o atrybutach zostaną trwale usunięte w ciągu tygodnia.
Tak jak w przypadku atrybutów niestandardowych w katalogu, atrybuty potwierdzenia nie powinny zawierać informacji poufnych umożliwiających identyfikację, takich jak dane logowania do kont, numery dokumentów tożsamości, dane posiadacza karty płatniczej, dane rachunków bankowych, informacje o stanie zdrowia czy inne poufne informacje o danej osobie.
Zalecane zastosowania atrybutów potwierdzenia to:
- identyfikatory użytkowników w przypadku wewnętrznych systemów informatycznych,
- role związane z sesją.
W przypadku potwierdzeń możesz przesłać maksymalnie 2 KB danych atrybutów. Wartości atrybutów muszą być ciągami znaków w standardzie ASCII o niskiej wartości (znaki w standardzie Unicode/UTF-8 nie są obsługiwane). Wartości potwierdzeń, które nie są w standardzie ASCII o niskiej wartości, oraz potwierdzenia, które przekraczają maksymalny dozwolony rozmiar, będą całkowicie odrzucane. Proces logowania się nie powiedzie.
Zwracanie potwierdzeń do ACS
Rozwiązywanie problemów
Jeśli chcesz skontaktować się z zespołem pomocy, użyj jednorazowego konta testowego, ponieważ przechwytywanie w formacie HAR (archiwum HTTP) obejmuje nazwę użytkownika i hasło w postaci zwykłego tekstu. Możesz też edytować plik, aby usunąć poufne interakcje między użytkownikiem a dostawcą tożsamości. Skontaktuj się z zespołem pomocy Google Workspace.
Parametr SAMLRequest wysłany do dostawcy tożsamości zawiera odpowiednią wartość AssertionConsumerServiceURL. Jeśli parametr SAMLRequest jest wysyłany na inny adres URL, może to oznaczać, że konfiguracja dostawcy tożsamości jest nieprawidłowa.
Uwaga: potwierdzenie SAML może zawierać tylko standardowe znaki ASCII.
Element NameID
Pole | Element NameID elementu Subject. |
---|---|
Opis |
Element NameID określa podmiot, którym jest podstawowy adres e-mail użytkownika. Wielkość liter jest rozróżniana. |
Wymagana Wartość |
uzytkownik@example.com |
Przykład | <saml:Subject> |
Atrybut Recipient
Pole | Atrybut Recipient elementu SubjectConfirmationData |
---|---|
Opis |
Atrybut Recipient określa dodatkowe dane, których wymaga podmiot. Wielkość liter jest rozróżniana. example.com to prawdopodobnie domena podstawowa Twojego konta Google Workspace lub Cloud Identity, nawet jeśli uwierzytelniany użytkownik korzysta z domeny dodatkowej na tym samym koncie Google Workspace lub Cloud Identity. |
Wymagana wartość |
https://www.google.com/a/example.com/acs lub https://accounts.google.com/a/example.com/acs |
Przykład | <saml:Subject> |
Element Audience
Pole | Element Audience elementu nadrzędnego AudienceRestriction |
---|---|
Opis |
Element Audience to identyfikator URI określający odbiorców docelowych, u których jest wymagana wartość identyfikatora URI ACS. example.com to prawdopodobnie domena podstawowa Twojego konta Google Workspace lub Cloud Identity, nawet jeśli uwierzytelniany użytkownik korzysta z domeny dodatkowej na tym samym koncie Google Workspace lub Cloud Identity. Wartość tego elementu nie może być pusta. |
Wymagana wartość |
https://www.google.com/a/example.com/acs lub https://accounts.google.com/a/example.com/acs |
Przykład |
|
Atrybut Destination
Pole | Atrybut Destination elementu Response |
---|---|
Opis |
Atrybut Destination to identyfikator URI wskazujący, dokąd jest wysyłane potwierdzenie SAML. Jest to atrybut opcjonalny, ale w przypadku jego określenia wymagana jest wartość identyfikatora URI ACS. example.com to prawdopodobnie domena podstawowa Twojego konta Google Workspace lub Cloud Identity, nawet jeśli uwierzytelniany użytkownik korzysta z domeny dodatkowej na tym samym koncie Google Workspace lub Cloud Identity. |
Wymagana wartość |
https://www.google.com/a/example.com/acs lub https://accounts.google.com/a/example.com/acs |
Przykład | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |