Наразі ця сторінка недоступна вашою мовою. Ви можете вибрати іншу мову внизу екрана або миттєво перекласти будь-яку веб-сторінку потрібною мовою за допомогою вбудованої функції перекладу Google Chrome.

Требования к утверждениям системы единого входа

В таблице ниже указаны элементы и атрибуты утверждений SAML 2.0 системы единого входа, которые администратору нужно настроить так, чтобы утверждения возвращались в Google Assertion Consumer Service (ACS) после аутентификации пользователя поставщиком идентификационной информации.

Assertion Consumer Service

Assertion Consumer Service (или URL ACS) определяет, куда поставщик идентификационной информации должен перенаправить прошедшего аутентификацию пользователя после входа. URL ACS выглядит следующим образом:

https://www.google.com/a/domen.com/acs

Примечание. Если в вашей организации ограничен доступ к www.google.com, обратитесь в свою службу поддержки, чтобы получить альтернативный URL ACS, и перейдите к разделу Как создать профиль системы единого входа.

Рекомендации по использованию атрибутов

Если вы настроили систему единого входа со сторонним поставщиком идентификационной информации и утверждение SAML поставщика включает <AttributeStatement>, Google будет хранить эти атрибуты, пока не истечет срок действия для сеанса аккаунта Google пользователя. Продолжительность сеанса зависит от настроек, заданных администратором. После того как сеанс аккаунта завершится, информация об атрибуте будет окончательно удалена в течение недели.

Как и настраиваемые атрибуты в каталоге, атрибуты утверждений не должны включать конфиденциальную информацию, позволяющую идентифицировать личность, например учетные данные аккаунтов, номера удостоверений личности, данные платежных карт, банковские реквизиты, медицинские или конфиденциальные биографические сведения.

Атрибуты утверждений рекомендуется использовать:

  • для идентификаторов пользователей во внутренних информационных системах;
  • для ролей, назначаемых для сеансов.

В утверждениях можно передавать максимум 2 КБ данных атрибута. Значение атрибута должно быть строкой символов из нижней части таблицы ASCII (кодировки Unicode и UTF-8 не поддерживаются). Если значение утверждения не является строкой символов из нижней части таблицы ASCII или утверждение превышает допустимый размер, оно будет отклонено и выполнить вход не удастся.
 

Как настроить возврат утверждений в ACS

Устранение неполадок

Чтобы устранить неполадки с утверждениями, воспользуйтесь инструментом проверки сети. Подробную информацию можно найти на странице Набор инструментов администратора Google: анализатор HAR

Если вам нужно обратиться в службу поддержки, используйте одноразовый тестовый аккаунт, поскольку HAR-файл содержит имя пользователя и пароль в виде обычного текста. Вы также можете удалить из рабочего файла конфиденциальные данные о взаимодействии с поставщиком идентификационной информации. Информация о том, как обратиться в службу поддержки Google Workspace, приведена здесь.

Запрос SAML, отправленный вашему поставщику идентификационной информации, содержит URL сервиса обработки утверждений (AssertionConsumerServiceURL). Если ответ SAML отправляется на другой URL, возможно, существует проблема с конфигурацией поставщика идентификационной информации.
Элементы и атрибуты

Примечание. Утверждение SAML может содержать только стандартные символы ASCII.

Элемент NameID

Поле Элемент NameID в элементе Subject.
Описание

NameID указывает на субъект, то есть основной адрес электронной почты пользователя.

Регистр символов учитывается.

Требуемое

Значение

user@example.com
 
Пример <saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Атрибут Recipient

Поле Атрибут Recipient элемента SubjectConfirmationData
 
Описание

Атрибут Recipient содержит дополнительные данные, необходимые для этого субъекта.

Регистр символов учитывается.

Как правило, example.com – это основной домен вашего аккаунта Google Workspace или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте Google Workspace или Cloud Identity.

Требуемое

значение

https://www.google.com/a/example.com/acs

или

https://accounts.google.com/a/example.com/acs

Пример <saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Элемент Audience

Поле Элемент Audience в родительском элементе AudienceRestriction.
Описание

Audience – это универсальный идентификатор ресурса (URI), определяющий целевую аудиторию. Для этого элемента требуется значение URI ACS.

Как правило, example.com – это основной домен вашего аккаунта Google Workspace или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте Google Workspace или Cloud Identity.

Это поле не должно быть пустым.

Требуемое

значение

https://www.google.com/a/example.com/acs

или

https://accounts.google.com/a/example.com/acs

Пример

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Атрибут Destination

Поле Атрибут Destination элемента Response
.  
Описание

Destination – это URI того ресурса, куда отправляется утверждение SAML.

Это необязательный атрибут. Если он есть, то должен содержать значение URI ACS.

Как правило, example.com – это основной домен вашего аккаунта Google Workspace или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте Google Workspace или Cloud Identity.

Требуемое

значение

https://www.google.com/a/example.com/acs 

или

https://accounts.google.com/a/example.com/acs

Пример <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

Эта информация оказалась полезной?

Как можно улучшить эту статью?
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню
12556582167767482243
true
Поиск по Справочному центру
true
true
true
false
false