В таблице ниже указаны элементы и атрибуты утверждений SAML 2.0 системы единого входа, которые администратору нужно настроить так, чтобы утверждения возвращались в Google Assertion Consumer Service (ACS) после аутентификации пользователя поставщиком идентификационной информации.
Рекомендации по использованию атрибутов
Если вы настроили систему единого входа со сторонним поставщиком идентификационной информации и утверждение SAML поставщика включает <AttributeStatement>, Google будет хранить эти атрибуты, пока не истечет срок действия для сеанса аккаунта Google пользователя. Продолжительность сеанса зависит от настроек, заданных администратором. После того как сеанс аккаунта завершится, информация об атрибуте будет окончательно удалена в течение недели.
Как и настраиваемые атрибуты в каталоге, атрибуты утверждений не должны включать конфиденциальную информацию, позволяющую идентифицировать личность, например учетные данные аккаунтов, номера удостоверений личности, данные платежных карт, банковские реквизиты, медицинские или конфиденциальные биографические сведения.
Атрибуты утверждений рекомендуется использовать:
- для идентификаторов пользователей во внутренних информационных системах;
- для ролей, назначаемых для сеансов.
В утверждениях можно передавать максимум 2 КБ данных атрибута. Если размер утверждения больше допустимого, оно будет отклонено и выполнить вход не удастся.
Поддерживаемые наборы символов
Поддерживаемый набор символов зависит от того, используете ли вы профили SSO или устаревший профиль SSO:
- Устаревший профиль SSO. Значение атрибута должно быть строкой символов из нижней части таблицы ASCII. Символы Unicode/UTF-8 не поддерживаются – при их использовании войти не получится.
- Профили SSO. Символы Unicode/UTF-8 поддерживаются.
Как настроить возврат утверждений в ACS
Устранение неполадок
Если вам нужно обратиться в службу поддержки, используйте одноразовый тестовый аккаунт, поскольку HAR-файл содержит имя пользователя и пароль в виде обычного текста. Вы также можете удалить из рабочего файла конфиденциальные данные о взаимодействии с поставщиком идентификационной информации. Информация о том, как обратиться в службу поддержки Google Workspace, приведена здесь.
Запрос SAML, отправленный вашему поставщику идентификационной информации, содержит URL сервиса обработки утверждений (AssertionConsumerServiceURL). Если ответ SAML отправляется на другой URL, возможно, существует проблема с конфигурацией поставщика идентификационной информации.
Элемент NameID
| Поле | Элемент NameID в элементе Subject. |
|---|---|
| Описание |
NameID указывает на субъект, то есть основной адрес электронной почты пользователя. Регистр символов учитывается. |
|
Требуемое значение |
[email protected] |
| Пример | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected] |
Атрибут Recipient
| Поле | Атрибут Recipient элемента SubjectConfirmationData |
|---|---|
| Описание |
Получатель указывает URL сервиса обработки утверждений поставщика услуг, для которого предназначено утверждение. |
|
Требуемое значение |
Значение URL ACS из раздела сведений о поставщике услуг в профиле SSO. |
| Пример | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Элемент Audience
| Поле | Элемент Audience в родительском элементе AudienceRestriction. |
|---|---|
| Описание |
Audience – это URI, указывающий аудиторию, для которой предназначено утверждение. |
|
Требуемое значение |
Значение Entity ID из раздела сведений о поставщике услуг в профиле SSO. |
| Пример |
|
Атрибут Destination
| Поле | Атрибут Destination элемента Response . |
|---|---|
| Описание |
Destination – это URI, указывающий адрес, на который был отправлен этот ответ. |
|
Требуемое значение |
Это необязательный атрибут. Если он задан, он должен быть равен значению URL ACS из раздела сведений о поставщике услуг в профиле SSO. |
| Пример | <saml:Response |
Примечание. Утверждение SAML может содержать только стандартные символы ASCII.
Элемент NameID
| Поле | Элемент NameID в элементе Subject. |
|---|---|
| Описание |
NameID указывает на субъект, то есть основной адрес электронной почты пользователя. Регистр символов учитывается. |
|
Требуемое значение |
[email protected] |
| Пример | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected] |
Атрибут Recipient
| Поле | Атрибут Recipient элемента SubjectConfirmationData |
|---|---|
| Описание |
Атрибут Recipient содержит дополнительные данные, необходимые для этого субъекта. Как правило, example.com – это основной домен вашего аккаунта Google Workspace или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте Google Workspace или Cloud Identity. |
|
Требуемое значение |
https://google.com/a/example.com/acs или https://accounts.google.com/a/example.com/acs |
| Пример | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Элемент Audience
| Поле | Элемент Audience в родительском элементе AudienceRestriction. |
|---|---|
| Описание |
Audience – это универсальный идентификатор ресурса (URI), определяющий целевую аудиторию. Для этого элемента требуется значение URI ACS. Как правило, example.com – это основной домен вашего аккаунта Google Workspace или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте Google Workspace или Cloud Identity. Это поле не должно быть пустым. |
|
Требуемое значение |
Один из следующих вариантов:
|
| Пример |
|
Атрибут Destination
| Поле | Атрибут Destination элемента Response . |
|---|---|
| Описание |
Destination – это URI того ресурса, куда отправляется утверждение SAML. Это необязательный атрибут. Если он есть, то должен содержать значение URI ACS. Как правило, example.com – это основной домен вашего аккаунта Google Workspace или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте Google Workspace или Cloud Identity. |
|
Требуемое значение |
https://google.com/a/example.com/acs или https://accounts.google.com/a/example.com/acs |
| Пример | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |
