Als beheerder heeft u de volgende elementen en kenmerken nodig voor SAML 2.0 SSO-verklaringen die worden teruggestuurd naar de Google Assertion Consumer Service (ACS) nadat de eindgebruiker is geverifieerd door de identiteitsprovider (IDP).
Hulp bij kenmerken
Als u SSO heeft ingesteld met een identiteitsprovider van derden en de SAML-assertie van uw IdP een <AttributeStatement> bevat, slaat Google deze kenmerken op totdat de Google-accountsessie van de gebruiker verloopt. (De sessieduur varieert en kan worden ingesteld door de beheerder.) Nadat de accountsessie is verlopen, worden kenmerkgegevens binnen 1 week definitief verwijderd.
Net als aangepaste kenmerken in Directory mogen assertiekenmerken geen gevoelige persoonlijk identificeerbare informatie (PII) bevatten, zoals accountgegevens, ID-nummers die door de overheid worden uitgegeven, gegevens van kaarthouders, bankrekeninggegevens, medische gegevens of gevoelige achtergrondinformatie.
Aanbevolen toepassingen voor assertiekenmerken zijn onder andere:
- Gebruikers-ID's voor interne IT-systemen
- Sessiespecifieke rollen
U kunt maximaal 2 KB aan kenmerkgegevens opgeven in uw asserties. Asserties die de maximumgrootte overschrijden, worden geweigerd en inloggen zal niet lukken.
Ondersteunde tekensets
De ondersteunde tekenset hangt af van of u SSO-profielen of het verouderde SSO-profiel gebruikt:
- Verouderd SSO-profiel: Kenmerkwaarden moeten bestaan uit low-ASCII-tekenreeksen (Unicode-/UTF-8-tekens worden niet ondersteund en zorgen ervoor dat inloggen mislukt).
- SSO-profielen: Unicode-/UTF-8-tekens worden ondersteund.
Verklaringen terugsturen naar de ACS
Problemen oplossen
Als u contact wilt opnemen met support, moet u een eenmalig testaccount gebruiken, omdat in de opname van het HTTP-archief (HAR) de gebruikersnaam en het wachtwoord zichtbaar zijn. U kunt het bestand ook bewerken om gevoelige interacties tussen de gebruiker en de IdP te verwijderen. Neem contact op met Google Workspace-support.
Het SAML-verzoek dat naar de IdP wordt gestuurd, bevat de relevante AssertionConsumerServiceURL Als de SAML-reactie naar een andere URL wordt gestuurd, kan er een configuratieprobleem zijn met de IDP.
Element NameID
| Veld | Element NameID (Naam-ID) in het element Subject (Onderwerp). |
|---|---|
| Beschrijving |
Met de NameID wordt het onderwerp geïdentificeerd. Dit is het primaire e-mailadres van de gebruiker. Dit element is hoofdlettergevoelig. |
|
Vereist Waarde |
[email protected] |
| Voorbeeld | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected] |
Kenmerk 'Recipient'
| Veld | Het kenmerk Recipient (Ontvanger) in het element SubjectConfirmationData (Bevestigingsgegevens onderwerp). |
|---|---|
| Beschrijving |
Recipient geeft de Assertion Consumer Service-URL op van de serviceprovider waarvoor de verificatie is bedoeld. |
|
Vereist Waarde |
De ACS-URL-waarde uit het gedeelte met gegevens van de serviceprovider (SP) van het SSO-profiel. |
| Voorbeeld | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Element 'Audience'
| Veld | Het element Audience (Doelgroep) in het bovenliggende element AudienceRestriction (Doelgroepbeperking). |
|---|---|
| Beschrijving |
Audience is een URI-referentie die de beoogde doelgroep van de assertie aangeeft. |
|
Vereist Waarde |
De waarde van de entiteits-ID in het gedeelte met gegevens van de serviceprovider (SP) van het SSO-profiel. |
| Voorbeeld |
|
Kenmerk 'Destination'
| Veld | Het kenmerk Destination (Bestemming) van het element Response (Reactie). |
|---|---|
| Beschrijving |
Destination is een URI-verwijzing die aangeeft naar welk adres deze reactie is gestuurd. |
|
Vereist Waarde |
Dit is een optioneel kenmerk. Als het is ingesteld, moet het de ACS-URL-waarde zijn uit het gedeelte met gegevens van de serviceprovider (SP) van het SSO-profiel. |
| Voorbeeld | <saml:Response |
Opmerking: De SAML-assertie kan alleen standaard ASCII-tekens bevatten.
Element NameID
| Veld | Element NameID (Naam-ID) in het element Subject (Onderwerp). |
|---|---|
| Beschrijving |
Met de NameID wordt het onderwerp geïdentificeerd. Dit is het primaire e-mailadres van de gebruiker. Dit element is hoofdlettergevoelig. |
|
Vereist Waarde |
[email protected] |
| Voorbeeld | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected] |
Kenmerk 'Recipient'
| Veld | Het kenmerk Recipient (Ontvanger) in het element SubjectConfirmationData (Bevestigingsgegevens onderwerp). |
|---|---|
| Beschrijving |
Het kenmerk Recipient bevat aanvullende gegevens die vereist zijn voor het onderwerp. example.com is waarschijnlijk het hoofddomein van uw Google Workspace- of Cloud Identity-account, zelfs als de gebruiker die wordt geverifieerd een secundair domein gebruikt in hetzelfde Google Workspace- of Cloud Identity-account. |
|
Vereist Waarde |
https://google.com/a/example.com/acs of https://accounts.google.com/a/example.com/acs |
| Voorbeeld | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Element 'Audience'
| Veld | Het element Audience (Doelgroep) in het bovenliggende element AudienceRestriction (Doelgroepbeperking). |
|---|---|
| Beschrijving |
Audience is de Uniform Resource Identifier (URI) waarmee de bedoelde doelgroep wordt aangegeven waarvoor de waarde van de ACS-URI is vereist. example.com is waarschijnlijk het hoofddomein van uw Google Workspace- of Cloud Identity-account, zelfs als de gebruiker die wordt geverifieerd een secundair domein gebruikt in hetzelfde Google Workspace- of Cloud Identity-account. De waarde van dit element mag niet leeg zijn. |
|
Vereist Waarde |
Een van de volgende:
|
| Voorbeeld |
|
Kenmerk 'Destination'
| Veld | Het kenmerk Destination (Bestemming) van het element Response (Reactie). |
|---|---|
| Beschrijving |
Destination is de URI vanaf waar de SAML-verklaring wordt verzonden. Dit is een optioneel kenmerk, maar als het wordt opgegeven, moet het de waarde van de ACS-URI bevatten. example.com is waarschijnlijk het hoofddomein van uw Google Workspace- of Cloud Identity-account, zelfs als de gebruiker die wordt geverifieerd een secundair domein gebruikt in hetzelfde Google Workspace- of Cloud Identity-account. |
|
Vereist Waarde |
https://google.com/a/example.com/acs of https://accounts.google.com/a/example.com/acs |
| Voorbeeld | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |
