Елементи й атрибути, перелічені в наведених нижче таблицях, потрібні адміністратору для тверджень SAML 2.0 SSO, які повертаються в Google Assertion Consumer Service (ACS) після того, як постачальник ідентифікаційної інформації (IdP) автентифікує користувача.
Про Assertion Consumer Service
Assertion Consumer Service (URL-адреса ACS) повідомляє постачальника ідентифікаційної інформації (IdP), куди переспрямувати автентифікованого користувача після входу. URL-адреса ACS має такий вигляд:
https://google.com/a/domain.com/acs
Примітка. Якщо ваша організація обмежує доступ до google.com, зв’яжіться зі службою підтримки вашої організації, щоб отримати альтернативну URL-адресу ACS, і перейдіть до розділу Create an SSO profile (Створити профіль SSO).
Інструкції щодо атрибутів
Якщо ви налаштували Систему єдиного входу через стороннього постачальника ідентифікаційної інформації, а твердження SAML вашого постачальника містить <AttributeStatement>, Google зберігатиме ці атрибути до моменту завершення сеансу облікового запису користувача Google. Тривалість сеансу змінюється й налаштовується адміністратором. Після завершення сеансу облікового запису інформація про атрибути остаточно видаляється протягом тижня.
Як і спеціальні атрибути в Каталозі, атрибути твердження не повинні містити чутливі дані, за якими можна ідентифікувати особу (ідентифікаційну інформацію), зокрема облікові дані для входу, державні ідентифікаційні номери, дані про власників карток, дані фінансових рахунків, медичну інформацію чи конфіденційну довідкову інформацію.
Зокрема, атрибути твердження рекомендовано використовувати:
- для ідентифікаторів користувачів у внутрішніх ІТ-системах;
- для ролей, призначених під час сеансів.
У твердженнях можна передати щонайбільше 2 КБ даних атрибутів. Значення атрибутів мають бути рядками символів із нижньої частини таблиці ASCII (символи Unicode/UTF-8 не підтримуються). Значення тверджень, які не є рядками символів із нижньої частини таблиці ASCII, а також твердження, що перевищують допустимий розмір, буде повністю відхилено. Це призведе до помилки входу.
Як повертати твердження в ACS
Вирішення проблем
Якщо вам потрібно зв’язатися зі службою підтримки, використовуйте одноразовий тестовий обліковий запис, оскільки архів HTTP (HAR) містить ім’я користувача й пароль у відкритому вигляді. Також можна відредагувати файл, видаливши конфіденційні дані про взаємодію між користувачем і постачальником конфіденційної інформації. Зверніться до служби підтримки партнерів Google Workspace.
Запит SAMLRequest, надісланий вашому постачальнику ідентифікаційної інформації, містить відповідну URL-адресу AssertionConsumerServiceURL. Якщо ваш запит SAMLResponse надсилається на іншу URL-адресу, можливо, виникла проблема конфігурації вашого постачальника.
Примітка. Твердження SAML може містити лише стандартні символи ASCII.
Елемент NameID
| Поле | Елемент NameID в елементі Subject. |
|---|---|
| Опис |
NameID визначає суб’єкта – основну електронну адресу користувача. Враховується регістр. |
|
Обов’язкове значення |
[email protected] |
| Приклад | <saml:Subject> |
Атрибут Recipient
| Поле | Атрибут Recipient в елементі SubjectConfirmationData |
|---|---|
| Опис |
Recipient указує додаткові дані, необхідні для суб’єкта. Враховується регістр. Зазвичай example.com – основний домен вашого облікового запису Google Workspace або Cloud Identity, навіть якщо користувач, який автентифікується, застосовує додатковий домен у тому самому обліковому записі Google Workspace чи Cloud Identity. |
|
Обов’язкове значення |
https://google.com/a/example.com/acs або https://accounts.google.com/a/example.com/acs |
| Приклад | <saml:Subject> |
Елемент Audience
| Поле | Елемент Audience у батьківському елементі AudienceRestriction |
|---|---|
| Опис |
Audience – це уніфікований ідентифікатор ресурсів (URI), який визначає цільову аудиторію, якій потрібне значення ACS URI. Зазвичай example.com – основний домен вашого облікового запису Google Workspace або Cloud Identity, навіть якщо користувач, який автентифікується, застосовує додатковий домен у тому самому обліковому записі Google Workspace чи Cloud Identity. Це значення елемента не може бути порожнім. |
|
Обов’язкове значення |
https://google.com/a/example.com/acs або https://accounts.google.com/a/example.com/acs |
| Приклад |
|
Атрибут Destination
| Поле | Атрибут Destination елемента Response |
|---|---|
| Опис |
Destination – це ідентифікатор URI, який указує, куди надсилається твердження SAML. Цей атрибут необов’язковий, але якщо його задано, потрібно вказати значення URI ACS. Зазвичай example.com – основний домен вашого облікового запису Google Workspace або Cloud Identity, навіть якщо користувач, який автентифікується, застосовує додатковий домен у тому самому обліковому записі Google Workspace чи Cloud Identity. |
|
Обов’язкове значення |
https://google.com/a/example.com/acs або https://accounts.google.com/a/example.com/acs |
| Приклад | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |
