В таблице ниже указаны элементы и атрибуты утверждений SAML 2.0 системы единого входа, которые администратору нужно настроить так, чтобы утверждения возвращались в Google Assertion Consumer Service (ACS) после аутентификации пользователя поставщиком идентификационной информации.
Assertion Consumer Service
Assertion Consumer Service (или URL ACS) определяет, куда поставщик идентификационной информации должен перенаправить прошедшего аутентификацию пользователя после входа. URL ACS выглядит следующим образом:
https://google.com/a/domen.com/acs
Примечание. Если в вашей организации ограничен доступ к google.com, обратитесь в свою службу поддержки, чтобы получить альтернативный URL ACS, и перейдите к разделу Как создать профиль системы единого входа.
Рекомендации по использованию атрибутов
Если вы настроили систему единого входа со сторонним поставщиком идентификационной информации и утверждение SAML поставщика включает <AttributeStatement>
, Google будет хранить эти атрибуты, пока не истечет срок действия для сеанса аккаунта Google пользователя. Продолжительность сеанса зависит от настроек, заданных администратором. После того как сеанс аккаунта завершится, информация об атрибуте будет окончательно удалена в течение недели.
Как и настраиваемые атрибуты в каталоге, атрибуты утверждений не должны включать конфиденциальную информацию, позволяющую идентифицировать личность, например учетные данные аккаунтов, номера удостоверений личности, данные платежных карт, банковские реквизиты, медицинские или конфиденциальные биографические сведения.
Атрибуты утверждений рекомендуется использовать:
- для идентификаторов пользователей во внутренних информационных системах;
- для ролей, назначаемых для сеансов.
В утверждениях можно передавать максимум 2 КБ данных атрибута. Значение атрибута должно быть строкой символов из нижней части таблицы ASCII (кодировки Unicode и UTF-8 не поддерживаются). Если значение утверждения не является строкой символов из нижней части таблицы ASCII или утверждение превышает допустимый размер, оно будет отклонено и выполнить вход не удастся.
Как настроить возврат утверждений в ACS
Устранение неполадок
Если вам нужно обратиться в службу поддержки, используйте одноразовый тестовый аккаунт, поскольку HAR-файл содержит имя пользователя и пароль в виде обычного текста. Вы также можете удалить из рабочего файла конфиденциальные данные о взаимодействии с поставщиком идентификационной информации. Информация о том, как обратиться в службу поддержки Google Workspace, приведена здесь.
Запрос SAML, отправленный вашему поставщику идентификационной информации, содержит URL сервиса обработки утверждений (AssertionConsumerServiceURL). Если ответ SAML отправляется на другой URL, возможно, существует проблема с конфигурацией поставщика идентификационной информации.
Примечание. Утверждение SAML может содержать только стандартные символы ASCII.
Элемент NameID
Поле | Элемент NameID в элементе Subject. |
---|---|
Описание |
NameID указывает на субъект, то есть основной адрес электронной почты пользователя. Регистр символов учитывается. |
Требуемое Значение |
[email protected] |
Пример | <saml:Subject> |
Атрибут Recipient
Поле | Атрибут Recipient элемента SubjectConfirmationData |
---|---|
Описание |
Атрибут Recipient содержит дополнительные данные, необходимые для этого субъекта. Регистр символов учитывается. Как правило, example.com – это основной домен вашего аккаунта Google Workspace или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте Google Workspace или Cloud Identity. |
Требуемое значение |
https://google.com/a/example.com/acs или https://accounts.google.com/a/example.com/acs |
Пример | <saml:Subject> |
Элемент Audience
Поле | Элемент Audience в родительском элементе AudienceRestriction. |
---|---|
Описание |
Audience – это универсальный идентификатор ресурса (URI), определяющий целевую аудиторию. Для этого элемента требуется значение URI ACS. Как правило, example.com – это основной домен вашего аккаунта Google Workspace или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте Google Workspace или Cloud Identity. Это поле не должно быть пустым. |
Требуемое значение |
https://google.com/a/example.com/acs или https://accounts.google.com/a/example.com/acs |
Пример |
|
Атрибут Destination
Поле | Атрибут Destination элемента Response . |
---|---|
Описание |
Destination – это URI того ресурса, куда отправляется утверждение SAML. Это необязательный атрибут. Если он есть, то должен содержать значение URI ACS. Как правило, example.com – это основной домен вашего аккаунта Google Workspace или Cloud Identity, даже если проходящий аутентификацию пользователь использует дополнительный домен в том же аккаунте Google Workspace или Cloud Identity. |
Требуемое значение |
https://google.com/a/example.com/acs или https://accounts.google.com/a/example.com/acs |
Пример | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |