관리자에게는 ID 공급업체(IdP)가 사용자를 인증한 후 Google 어설션 소비자 서비스(ACS)로 반환하는 SAML 2.0 SSO 어설션을 위한 요소 및 속성(다음 표에 나열되어 있음)이 필요합니다.
속성 관련 안내
서드 파티 ID 공급업체를 통해 SSO를 설정했고 IdP의 SAML 어설션에 <AttributeStatement>가 포함된 경우, Google은 사용자의 Google 계정 세션이 만료될 때까지 이러한 속성을 저장합니다. 세션 길이는 다양하며 관리자가 구성할 수 있습니다. 계정 세션이 만료된 후 속성 정보는 일주일 내에 영구적으로 삭제됩니다.
디렉터리의 맞춤 속성과 마찬가지로 어설션 속성에는 계정 사용자 인증 정보, 주민등록번호, 카드 소지자 데이터, 금융 계좌 데이터, 건강 정보 또는 민감한 신변 정보 등 민감한 개인 식별 정보(PII)를 포함해서는 안 됩니다.
어설션 속성의 권장 용도는 다음과 같습니다.
- 내부 IT 시스템의 사용자 ID
- 세션별 역할
어설션에 최대 2KB의 속성 데이터만 전달할 수 있습니다. 최대 허용 크기를 초과하는 어설션은 모두 거부되며 로그인에 실패하게 됩니다.
지원되는 문자 집합
지원되는 문자 집합은 SSO 프로필을 사용하는지 또는 기존 SSO 프로필을 사용하는지에 따라 다릅니다.
- 기존 SSO 프로필: 속성 값은 하위 ASCII 문자열이어야 합니다(유니코드/UTF-8 문자는 지원되지 않으며 로그인이 실패함).
- SSO 프로필: 유니코드/UTF-8 문자가 지원됩니다.
ACS에 어설션 반환하기
문제해결
지원팀에 문의해야 하는 경우 일회용 테스트 계정을 사용하세요. HTTP Archive(HAR) 캡처에는 사용자 이름과 비밀번호가 텍스트로 분명하게 표시됩니다. 또는 파일을 편집하여 사용자와 IdP 간의 민감한 상호작용을 삭제하고 Google Workspace 지원팀에 문의하세요.
사용자 IdP에 전송된 SAMLRequest에는 관련 AssertionConsumerServiceURL이 포함되어 있습니다. 사용자의 SAMLResponse가 다른 URL로 전송된 경우 사용자의 IdP와 관련된 구성 문제가 있을 수 있습니다.
이름 ID 요소
| 필드 | NameID 요소에 있는 NameID 요소 |
|---|---|
| 설명 |
NameID로 사용자의 기본 이메일 주소인 제목을 식별합니다. 대소문자를 구분합니다. |
|
필수 값 |
[email protected] |
| 예 | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected] |
수신자 속성
| 필드 | SubjectConfirmationData 요소에 있는 Recipient 속성 |
|---|---|
| 설명 |
Recipient는 어설션이 적용될 서비스 제공업체의 어설션 소비자 서비스 URL을 지정합니다. |
|
필수 값 |
SSO 프로필의 서비스 제공업체(SP) 세부정보 섹션에 있는 ACS URL 값입니다. |
| 예 | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
대상 요소
| 필드 | AudienceRestriction 상위 요소에 있는 Audience 요소 |
|---|---|
| 설명 |
Audience는 어설션의 대상을 식별하는 URI 참조입니다. |
|
필수 값 |
SSO 프로필의 서비스 제공업체(SP) 세부정보 섹션에 있는 엔티티 ID 값입니다. |
| 예 |
|
목적지 속성
| 필드 | Response 요소의 Destination 속성 |
|---|---|
| 설명 |
Destination은 이 응답이 전송된 주소를 나타내는 URI 참조입니다. |
|
필수 값 |
이 속성은 선택사항입니다. 설정된 경우 SSO 프로필의 서비스 제공업체(SP) 세부정보 섹션에 있는 ACS URL 값이어야 합니다. |
| 예 | <saml:Response |
참고: SAML 어설션에는 표준 ASCII 문자만 포함할 수 있습니다.
이름 ID 요소
| 필드 | NameID 요소에 있는 NameID 요소 |
|---|---|
| 설명 |
NameID로 사용자의 기본 이메일 주소인 제목을 식별합니다. 대소문자를 구분합니다. |
|
필수 값 |
[email protected] |
| 예 | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected] |
수신자 속성
| 필드 | SubjectConfirmationData 요소에 있는 Recipient 속성 |
|---|---|
| 설명 |
Recipient는 제목에 필요한 추가 데이터를 지정합니다. 인증 중인 사용자가 동일한 Google Workspace 또는 Cloud ID 계정에서 보조 도메인을 사용하고 있더라도 example.com은 Google Workspace 또는 Cloud ID 계정의 기본 도메인일 가능성이 높습니다. |
|
필수 값 |
https://google.com/a/example.com/acs 또는 https://accounts.google.com/a/example.com/acs |
| 예 | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
대상 요소
| 필드 | AudienceRestriction 상위 요소에 있는 Audience 요소 |
|---|---|
| 설명 |
Audience는 ACS URI 값이 필요한 해당 대상을 식별하는 URI(uniform resource identifier)입니다. 인증 중인 사용자가 동일한 Google Workspace 또는 Cloud ID 계정에서 보조 도메인을 사용하고 있더라도 example.com은 Google Workspace 또는 Cloud ID 계정의 기본 도메인일 가능성이 높습니다. 이 요소 값은 비워둘 수 없습니다. |
|
필수 값 |
다음 중 하나입니다.
|
| 예 |
|
목적지 속성
| 필드 | Response 요소의 Destination 속성 |
|---|---|
| 설명 |
Destination은 SAML Assertion이 전송되고 있는 위치의 URI입니다. 선택적인 속성이지만 선언된 경우 ACS URI의 값이 필요합니다. 인증 중인 사용자가 동일한 Google Workspace 또는 Cloud ID 계정에서 보조 도메인을 사용하고 있더라도 example.com은 Google Workspace 또는 Cloud ID 계정의 기본 도메인일 가능성이 높습니다. |
|
필수 값 |
https://google.com/a/example.com/acs 또는 https://accounts.google.com/a/example.com/acs |
| 예 | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |