Como administrador, cuando un proveedor de identidades autentica un usuario, necesitas que los elementos y los atributos que figuran en las tablas de confirmaciones de SSO de SAML 2.0 de este artículo se devuelvan al servicio de consumidor de confirmaciones (ACS) de Google.
Acerca del servicio de consumidor de aserciones
La URL del servicio de consumidor de aserciones, o URL ACS, indica al proveedor de identidades dónde redirigir a un usuario autenticado después de iniciar sesión. Una URL ACS tiene el siguiente formato:
https://google.com/a/dominio.com/acs
Nota: Si tu organización restringe el acceso a google.com, ponte en contacto con el equipo de asistencia de tu organización para obtener una URL ACS alternativa y consulta el artículo Crear un perfil de SSO.
Directrices para atributos
Si has configurado el inicio de sesión único (SSO) usando un proveedor de identidades externo y la aserción de SAML de tu IdP incluye una <AttributeStatement>, Google almacenará estos atributos hasta que la sesión de la cuenta de Google del usuario caduque.La duración de la sesión varía y el administrador puede configurarla.Cuando la sesión de la cuenta caduca, la información de los atributos se elimina definitivamente en el plazo de una semana.
Al igual que ocurre con los atributos personalizados de Directorio, los atributos de aserción no deben incluir información personal identificable sensible, como credenciales de cuentas, números de identificación oficiales, datos de titulares de tarjetas, datos de cuentas financieras, información sanitaria o datos sensibles.
Usos recomendados para los atributos de aserción:
- IDs de usuario para sistemas de TI internos
- Roles específicos de sesiones
En tus aserciones, solo puedes transferir un máximo de 2 kB de datos de atributos. Los valores de los atributos deben ser cadenas de ASCII bajo (no se admiten caracteres Unicode/UTF-8). Los valores de aserción que no sean bajos de ASCII y las aserciones que superen el tamaño máximo permitido se rechazarán por completo y provocarán un error de inicio de sesión.
Devolver confirmaciones al ACS
Solucionar problemas
Si quieres ponerte en contacto con el equipo de Asistencia, utiliza una cuenta de prueba que puedas eliminar, ya que en las capturas de archivo HTTP (HAR) se incluyen el nombre de usuario y la contraseña usados en texto sin cifrar. También tienes la opción de editar el archivo para eliminar las interacciones sensibles entre el usuario y el proveedor de identidades. Ponte en contacto con el equipo de Asistencia de Google Workspace.
Los elementos SAMLRequest que se envían al proveedor de identidades contienen la URL AssertionConsumerServiceURL correspondiente. Si tu elemento SAMLResponse se envía a otra URL, es posible que haya algún problema con la configuración de tu proveedor de identidades.
Nota: La aserción de SAML solo puede contener caracteres ASCII.
Elemento NameID
| Campo | Elemento NameID del elemento Subject. |
|---|---|
| Descripción |
En el elemento NameID se identifica el asunto que es la dirección de correo electrónico principal del usuario. Distingue entre mayúsculas y minúsculas. |
|
Valor Valor |
[email protected] |
| Ejemplo | <saml:Subject> |
Atributo Recipient
| Campo | Atributo Recipient del elemento SubjectConfirmationData |
|---|---|
| Descripción |
En el atributo Recipient se indican datos adicionales que se requieren en el asunto. Distingue entre mayúsculas y minúsculas. Probablemente example.com sea el dominio principal de tu cuenta de Google Workspace o de Cloud Identity, aunque el usuario que se esté autenticando utilice un dominio secundario de esa misma cuenta de Google Workspace o de Cloud Identity. |
|
Valor requerido |
https://google.com/a/example.com/acs o https://accounts.google.com/a/example.com/acs |
| Ejemplo | <saml:Subject> |
Elemento Audience
| Campo | El elemento Audience del elemento principal AudienceRestriction |
|---|---|
| Descripción |
El elemento Audience es el identificador uniforme de recursos (URI) que detecta la audiencia de destino que requiere el valor de URI de ACS. Probablemente example.com sea el dominio principal de tu cuenta de Google Workspace o de Cloud Identity, aunque el usuario que se esté autenticando utilice un dominio secundario de esa misma cuenta de Google Workspace o de Cloud Identity. Este elemento debe tener un valor. |
|
Valor requerido |
https://google.com/a/example.com/acs o https://accounts.google.com/a/example.com/acs |
| Ejemplo |
|
Atributo Destination
| Campo | Atributo Destination del elemento Response |
|---|---|
| Descripción |
El atributo Destino es el URI de la ubicación a la que se envía la confirmación de SAML. Se trata de un atributo opcional, pero si se declara, necesitará un valor de URI ACS. Probablemente example.com sea el dominio principal de tu cuenta de Google Workspace o de Cloud Identity, aunque el usuario que se esté autenticando utilice un dominio secundario de esa misma cuenta de Google Workspace o de Cloud Identity. |
|
Valor requerido |
https://google.com/a/example.com/acs o https://accounts.google.com/a/example.com/acs |
| Ejemplo | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |
