ข้อกำหนดในการยืนยันสิทธิ์ SSO

ในฐานะผู้ดูแลระบบ คุณต้องมีองค์ประกอบและแอททริบิวที่ปรากฏในตารางต่อไปนี้สำหรับการยืนยันสิทธิ์ SAML 2.0 SSO ที่ส่งไปยัง Google Assertion Consumer Service (ACS) หลังจากที่ผู้ให้บริการข้อมูลประจำตัว (IdP) ได้ตรวจสอบสิทธิ์ของผู้ใช้แล้ว

คำแนะนำสำหรับแอตทริบิวต์

หากคุณตั้งค่า SSO ผ่านผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม และการยืนยัน SAML ของ IdP มี <AttributeStatement> อยู่ด้วย Google จะจัดเก็บแอตทริบิวต์เหล่านี้ไว้จนกว่าเซสชันบัญชี Google ของผู้ใช้จะหมดอายุ (ความยาวเซสชันจะแตกต่างกันไปและผู้ดูแลระบบจะกำหนดค่าความยาวได้) หลังจากที่เซสชันบัญชีหมดอายุ ระบบจะลบข้อมูลแอตทริบิวต์อย่างถาวรภายใน 1 สัปดาห์

เช่นเดียวกับแอตทริบิวต์ที่กำหนดเองในไดเรกทอรี แอตทริบิวต์การยืนยันไม่ควรมีข้อมูลส่วนบุคคลที่ละเอียดอ่อนและระบุตัวบุคคลนั้นได้ (SPII) เช่น ข้อมูลเข้าสู่ระบบของบัญชี หมายเลขประจำตัวประชาชน ข้อมูลผู้ถือบัตร ข้อมูลบัญชีการเงิน ข้อมูลสุขภาพ หรือข้อมูลภูมิหลังที่มีความละเอียดอ่อน

การใช้งานที่แนะนำสำหรับแอตทริบิวต์การยืนยันมีดังนี้

  • รหัสผู้ใช้สำหรับระบบไอทีภายใน
  • บทบาทเฉพาะเซสชัน

คุณสามารถส่งข้อมูลแอตทริบิวต์ได้สูงสุด 2 KB ในการยืนยันเท่านั้น ระบบจะปฏิเสธการยืนยันที่เกินขนาดสูงสุดที่อนุญาตทั้งหมด ซึ่งทำให้การลงชื่อเข้าใช้ล้มเหลว

การเข้ารหัสข้อความที่รองรับ

การเข้ารหัสข้อความที่รองรับจะขึ้นอยู่กับว่าคุณใช้โปรไฟล์ SSO หรือโปรไฟล์ SSO เดิม

  • โปรไฟล์ SSO เดิม - ค่าแอตทริบิวต์ต้องเป็นสตริง ASCII ต่ำ (ไม่รองรับอักขระ Unicode/UTF-8 ซึ่งจะทำให้การลงชื่อเข้าใช้ล้มเหลว)
  • โปรไฟล์ SSO - รองรับอักขระ Unicode/UTF-8

ส่งการยืนยันสิทธิ์ไปยัง ACS

แก้ปัญหา

หากต้องการแก้ปัญหาการยืนยันสิทธิ์เหล่านี้ ให้ใช้เครื่องมือตรวจสอบเครือข่าย โปรดดูวิธีการในหน้าเครื่องมือวิเคราะห์ HAR ของกล่องเครื่องมือของ Google Admin 

หากต้องการติดต่อทีมสนับสนุน ให้ใช้บัญชีทดสอบแบบใช้ครั้งเดียวเนื่องจากการบันทึก HTTP Archive (HAR) มีชื่อผู้ใช้และรหัสผ่านในรูปแบบข้อความธรรมดา หรือแก้ไขไฟล์เพื่อลบการโต้ตอบที่ละเอียดอ่อนระหว่างผู้ใช้และ IdP ติดต่อทีมสนับสนุนของ Google Workspace

SAMLRequest ที่ส่งไปยัง IdP จะมี AssertionConsumerServiceURL ที่เกี่ยวข้อง หากระบบส่ง SAMLResponse ไปยัง URL อื่น อาจเกิดปัญหาในการกำหนดค่ากับ IdP ของคุณ
ใช้องค์ประกอบและแอตทริบิวต์ - โปรไฟล์ SSO

องค์ประกอบรหัสชื่อ

ช่อง องค์ประกอบ NameID ในองค์ประกอบ Subject
คำอธิบาย

NameID จะระบุหัวเรื่อง ซึ่งเป็นอีเมลหลักของผู้ใช้ 

คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่

จำเป็น

ค่า

 [email protected]
 
ตัวอย่าง <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected]
</saml:NameID>

แอตทริบิวต์ผู้รับ

ช่อง แอตทริบิวต์ Recipient ในองค์ประกอบ SubjectConfirmationData
 
คำอธิบาย

Recipient จะระบุ URL ของ Assertion Consumer Service ของผู้ให้บริการที่เป็นผู้รับการระบุ 

จำเป็น

ค่า

ค่า ACS URL จากส่วนรายละเอียดผู้ให้บริการ (SP) ของโปรไฟล์ SSO
ตัวอย่าง <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
 <saml:SubjectConfirmationData
   NotOnOrAfter="2014-11-05T17:37:07Z"
   Recipient="https://accounts.google.com/samlrp/0abc123/acs"
   InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
 </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

องค์ประกอบกลุ่มเป้าหมาย

ช่อง องค์ประกอบ Audience ในองค์ประกอบระดับบนสุด AudienceRestriction
คำอธิบาย

Audience คือข้อมูลอ้างอิง URI ที่ระบุกลุ่มเป้าหมายที่ต้องการของการยืนยัน

จำเป็น

ค่า

ค่ารหัสเอนทิตีจากส่วนรายละเอียดของผู้ให้บริการ (SP) ของโปรไฟล์ SSO
ตัวอย่าง

<saml:Conditions
  NotBefore="2014-11-05T17:31:37Z"
  NotOnOrAfter="2014-11-05T17:37:07Z">
 <saml:AudienceRestriction>
  <saml:Audience>https://accounts.google.com/samlrp/0abc123
  </saml:Audience>
 </saml:AudienceRestriction>
</saml:Conditions>

แอตทริบิวต์ปลายทาง

ช่อง แอตทริบิวต์ Destination ขององค์ประกอบ Response
 
คำอธิบาย

Destination คือข้อมูลอ้างอิง URI ที่ระบุที่อยู่ซึ่งได้รับคำตอบนี้

จำเป็น

ค่า

 แอตทริบิวต์นี้เป็นแอตทริบิวต์ที่ไม่บังคับ หากตั้งค่าไว้ ค่าควรเป็นค่า ACS URL จากส่วนรายละเอียดของผู้ให้บริการ (SP) ของโปรไฟล์ SSO
ตัวอย่าง <saml:Response 
  Destination="https://accounts.google.com/samlrp/0abc123/acs"
  ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
  InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
  IssueInstant="2024-10-04T20:17:38.726Z"
  Version="2.0">
 ...
</saml:Response>
ใช้องค์ประกอบและแอตทริบิวต์ - โปรไฟล์ SSO เดิม

หมายเหตุ: การยืนยัน SAML ต้องประกอบด้วยเฉพาะอักขระ ASCII มาตรฐานเท่านั้น

องค์ประกอบรหัสชื่อ

ช่อง องค์ประกอบ NameID ในองค์ประกอบ Subject
คำอธิบาย

NameID จะระบุหัวเรื่อง ซึ่งเป็นอีเมลหลักของผู้ใช้ 

คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่

จำเป็น

ค่า

 [email protected]
 
ตัวอย่าง <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected]
</saml:NameID>

แอตทริบิวต์ผู้รับ

ช่อง แอตทริบิวต์ Recipient ในองค์ประกอบ SubjectConfirmationData
 
คำอธิบาย

Recipient จะระบุข้อมูลเพิ่มเติมที่จำเป็นสำหรับหัวเรื่อง 

example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม

จำเป็น

ค่า

https://google.com/a/example.com/acs

หรือ

https://accounts.google.com/a/example.com/acs
ตัวอย่าง <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
  <saml:SubjectConfirmationData
      NotOnOrAfter="2014-11-05T17:37:07Z"
      Recipient="https://google.com/a/example.com/acs"
      InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
  </saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

องค์ประกอบกลุ่มเป้าหมาย

ช่อง องค์ประกอบ Audience ในองค์ประกอบระดับบนสุด AudienceRestriction
คำอธิบาย

Audience คือ Uniform Resource Identifier (URI) ที่ระบุกลุ่มเป้าหมายที่ต้องการ ซึ่งต้องใช้ค่าของ ACS URI

example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม

ค่าองค์ประกอบนี้จะเว้นว่างไม่ได้

จำเป็น

ค่า

อย่างใดอย่างหนึ่งต่อไปนี้

  • google.com
  • google.com/a/<your domain>  (หากคุณเลือก "ใช้ผู้ออกใบรับรองเฉพาะโดเมน" ในการกำหนดค่าโปรไฟล์ SSO เดิม)
ตัวอย่าง

<saml:Conditions
    NotBefore="2014-11-05T17:31:37Z"
    NotOnOrAfter="2014-11-05T17:37:07Z">
  <saml:AudienceRestriction>
    <saml:Audience>google.com/a/example.com</saml:Audience>
  </saml:AudienceRestriction>
</saml:Conditions>

แอตทริบิวต์ปลายทาง

ช่อง แอตทริบิวต์ Destination ขององค์ประกอบ Response
 
คำอธิบาย

ปลายทาง คือ URI ของปลายทางที่ระบบจะส่งการยืนยันสิทธิ์ SAML ให้

แอตทริบิวต์นี้จะเลือกระบุหรือไม่ก็ได้ แต่ถ้ามีการระบุ ก็จะต้องมีค่าของ ACS URI

example.com อาจเป็นโดเมนหลักของบัญชี Google Workspace หรือ Cloud Identity แม้ว่าผู้ใช้ที่ตรวจสอบสิทธิ์จะใช้โดเมนรองในบัญชี Google Workspace หรือ Cloud Identity เดียวกันก็ตาม

จำเป็น

ค่า

https://google.com/a/example.com/acs 

หรือ

https://accounts.google.com/a/example.com/acs
ตัวอย่าง <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร

หากต้องการความช่วยเหลือเพิ่มเติม

ลองทำตามขั้นตอนต่อไปนี้

โพสต์ในชุมชนความช่วยเหลือ ดูคําตอบจากสมาชิกในชุมชน
ติดต่อเรา บอกเราเพิ่มเติมและเราจะช่วยเหลือคุณ
true
เริ่มต้นการทดลองใช้งานฟรี 14 วันได้เลย

อีเมลระดับมืออาชีพ พื้นที่เก็บข้อมูลออนไลน์ การแชร์ปฏิทิน การประชุมวิดีโอ และอื่นๆ เริ่มต้นการทดลองใช้งาน G Suite ฟรีวันนี้

ค้นหา
ล้างการค้นหา
ปิดการค้นหา
เมนูหลัก
13208813034556379827
true
ค้นหาศูนย์ช่วยเหลือ
true
true
true
true
true
73010
false
false
false
false