pab*_*ndo 10 saml google-apps single-sign-on
我确实设置了我的Google Apps for Work Unlimited帐户以充当SAML2身份提供商并将我的Web应用程序注册为服务提供商(如下面的链接中所述).它工作得很好,我可以在用户登录谷歌后登录我的应用程序.我现在的问题是,我需要授予该用户基于其Google角色或组成员资格的资源访问权限,并且无法弄清楚如何将该成员资格信息发送回服务提供商.似乎我不能使用Attribute Mapping功能来映射"groups"用户字段.任何人都知道这是否是Google Apps for Work无限制>我是否可以用其他方式发送群组成员资格?怎么样?.我知道角色和团队成员是完全不同的事情.我只需要一种区分用户权限的方法.也许你可以想出另一种方法来区分它们?例如,我需要知道他们是管理员还是仅仅是Google Apps中的用户.我怎样才能做到这一点?
https://support.google.com/a/answer/6087519?hl=en
https://robinpowered.com/blog/how-to-set-up-saml-with-google-apps/
我也已经搜索了几天了,我找到的所有参考文献(即:与 Google Apps SAML 集成用于 SSO 的产品的文档)都表明 Google 目前不支持,每个人都感到困惑并对此感到沮丧。
我发现的最接近但不理想但有效的方法是在用户定义中使用其他一些字段,即:部门作为在 Google Apps 中的 SAML 配置上启用的角色/组规范字段。另一种替代方案似乎更接近 SAML 断言中组的实际实现,它实际上被称为“Google 推荐”的解决方案(无论这意味着什么),即创建一个自定义架构和一个自定义属性,您可以为 Google Apps 目录中的所有用户填充该目录,您可以将其控制为他们在面向外部的系统中所属的“外部”角色/组的多值列表(所以不完全是您所要求的以及什么)我需要其中一个,以防您严格想要用户所在的 Google 网上论坛的名称)。
无论如何,由于您在此线程或论坛上没有回复,我认为值得指出所有将人们带到这里以及引用此问题的其他页面的搜索,不幸的是没有比这更好的解决方案。
编辑:看起来是另一种选择,也许配置与上述相同的更简单的方法是使用“自定义类别”和关联的“自定义属性”。
| 归档时间: |
|
| 查看次数: |
512 次 |
| 最近记录: |