Halaman ini menjelaskan cara mengaktifkan dan menggunakan penyebaran atribut Security Assertion Markup Language (SAML). Anda dapat menggunakan fitur ini untuk menyebarkan atribut SAML dari penyedia identitas ke aplikasi yang dilindungi oleh Identity-Aware Proxy (IAP). Saat menyebarkan atribut SAML, Anda dapat menentukan atribut mana yang akan disebarkan, dan cara mengirimkan atribut tersebut.
Sebelum memulai
Anda harus memahami spesifikasi Pernyataan dan Protokol SAML V2.0 (PDF).
Memahami cara penanganan data
Sebelum mengaktifkan penyebaran atribut SAML, pastikan Anda memahami cara Google Cloud mengelola data, dan jenis informasi yang harus dan tidak boleh Anda teruskan melalui saluran ini.
Anda dapat mengonfigurasi IAP untuk menyertakan satu atau beberapa atribut dalam
informasi yang diberikan ke aplikasi yang dilindungi. Jika Anda menyiapkan
SSO melalui Penyedia Identitas
pihak ketiga dan
penyedia identitas Anda menyertakan <AttributeStatement>
dalam pernyataan SAML,
Google Cloud akan menyimpan atribut yang terkait dengan sesi Akun Google
pengguna untuk sementara. Saat sesi Akun Google berakhir, proses asinkron
akan menghapus informasi tersebut secara permanen dalam waktu satu minggu. Anda dapat mengonfigurasi
tanggal habis masa berlaku.
Jangan gunakan penyebaran atribut SAML untuk informasi identitas pribadi (PII) yang bersifat sensitif, seperti kredensial akun, nomor tanda pengenal yang dikeluarkan pemerintah, data pemegang kartu, data rekening keuangan, informasi layanan kesehatan, atau informasi latar belakang pribadi yang sensitif.
Mengaktifkan propagasi atribut SAML
Aktifkan penyebaran atribut SAML dengan membuat profil SSO di Google Workspace, lalu perbarui setelan IAP menggunakan Google Cloud CLI atau REST API.
Konsol
- Di konsol Google Cloud , buka halaman IAP.
Buka IAP - Buka setelan untuk resource, lalu scroll ke Penyebaran atribut.
- Pilih Enable attribute propagation, lalu klik Save.
Di tab SAML Attributes, masukkan atribut yang ingin Anda propagasikan menggunakan format berikut:
attribute1, attribute2, attribute3
Anda juga dapat memasukkan atribut menggunakan ekspresi kustom.Atribut untuk ekspresi kustom Anda ditampilkan di tab Atribut SAML. Anda harus menggunakan format ekspresi berikut agar atribut ditampilkan di tab SAML Attributes:
attributes.saml_attributes.filter(attribute, attribute.name in ['attribute', 'attribute2', 'attribute1'])
Untuk Jenis kredensial yang akan diteruskan, pilih minimal satu format atribut yang berasal dari IdP untuk diteruskan ke aplikasi.
gcloud
Jalankan perintah gcloud CLI IAP berikut untuk memperbarui setelan penyebaran atribut SAML:
gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=PROJECT> --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION] [GCLOUD_WIDE_FLAG …]
Ganti kode berikut:
- FOLDER: Folder tempat aplikasi Anda berada.
- ORGANIZATION: Organisasi tempat aplikasi Anda berada.
- PROJECT: Project tempat aplikasi Anda berada.
- RESOURCE_TYPE: Jenis resource.
- SERVICE: Layanan.
- VERSION: Nomor versi.
YAML:
applicationSettings: attributePropagationSettings: expression: CEL_EXPRESSION outputCredentials: ARRAY[OUTPUT_CREDENTIALS] enable: BOOLEAN
JSON:
{ "application_settings":{ "attribute_propagation_settings": { "expression": CEL_EXPRESSION, "output_credentials": ARRAY[OUTPUT_CREDENTIALS] "enable": BOOLEAN } } }
REST API
Anda dapat mengonfigurasi atribut SAML untuk di-propagasi menggunakan objek ApplicationSettings
di IapSettings, seperti yang ditunjukkan dalam contoh berikut:
{ "csmSettings": { object (CsmSettings) }, "accessDeniedPageSettings": { object (AccessDeniedPageSettings) }, "attributePropagationSettings": { object (AttributePropagationSettings) }, "cookieDomain": string, }
AttributePropagationSettings
{ "expression": string, "output_credentials": array "enable": boolean }
Menetapkan kredensial output
Saat menggunakan penyebaran atribut SAML, Anda dapat mengirim atribut di beberapa media, termasuk Token Web JSON (JWT) dan header, dengan menetapkan kredensial output. Untuk menetapkan kredensial di API, Anda dapat menentukan daftar string yang dipisahkan koma, seperti yang ditunjukkan dalam contoh berikut:
"output_credentials": ["HEADER", "JWT", "RCTOKEN"]
Memfilter atribut SAML menggunakan Common Expression Language
Anda dapat menggunakan fungsi Common Expression Language (CEL) untuk memfilter atribut SAML.
Penggunaan ekspresi CEL dengan propagasi atribut SAML memiliki batasan berikut:
- Ekspresi harus menampilkan daftar atribut.
- Ekspresi dapat memilih maksimum 45 atribut.
- String ekspresi tidak boleh melebihi 1.000 karakter.
Berikut adalah fungsi CEL yang didukung saat menggunakan fitur propagasi atribut SAML IAP.
Perhatikan bahwa fungsi peka huruf besar/kecil dan harus digunakan persis seperti yang ditulis. Urutan fungsi strict
dan emitAs
tidak berpengaruh saat membuat rantai panggilan fungsi.
Fungsi | Contoh | Deskripsi |
---|---|---|
Pilihan Kolom | a.b |
Pilih kolom b dari proto a . Karakter b dapat berupa proto lain, daftar, atau jenis nilai sederhana seperti string. |
Memfilter Daftar | list.Filter(iter_var, condition) |
Menampilkan subset list tempat item memenuhi condition . |
Mencantumkan Keanggotaan | a di b |
Menampilkan true jika nilai a adalah anggota daftar b . |
selectByName | list.selectByName("name") |
Dari daftar, pilih atribut tempat name = "name" . |
append | list.append(attribute) |
Menambahkan atribut yang diberikan ke daftar yang diberikan. |
ketat | attribute.strict() |
Mengeluarkan atribut tanpa awalan x-goog-iap-attr- saat menggunakan HEADERS sebagai kredensial output. |
emitAs | attribute.emitAs("new_name") |
Menghasilkan atribut yang diberikan dengan nama "new_name" ke semua kredensial output yang dipilih. |
Contoh ekspresi CEL
Asumsikan pernyataan SAML:
<saml2:AttributeStatement xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<saml2:Attribute Name="my_saml_attr_1">
<saml2:AttributeValue xsi:type="xsd:string">value_1</saml2:AttributeValue>
<saml2:AttributeValue xsi:type="xsd:string">value_2</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="my_saml_attr_2">
<saml2:AttributeValue xsi:type="xsd:string">value_3</saml2:AttributeValue>
<saml2:AttributeValue xsi:type="xsd:string">value_4</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="my_saml_attr_3">
<saml2:AttributeValue xsi:type="xsd:string">value_5</saml2:AttributeValue>
<saml2:AttributeValue xsi:type="xsd:string">value_6</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
Untuk memilih my_saml_attr_1
, gunakan ekspresi CEL berikut:
attributes.saml_attributes.filter(attribute, attribute.name in ["my_saml_attr_1"])
Untuk memilih my_saml_attr_1
dan my_saml_attr_2
, gunakan ekspresi CEL berikut:
attributes.saml_attributes.filter(attribute, attribute.name in ["my_saml_attr_1", "my_saml_attr_2"])
Format atribut
Semua atribut yang dipilih akan diduplikasi sepenuhnya di semua kredensial output yang dipilih.
Contoh: Mengasumsikan pernyataan SAML
<saml2:AttributeStatement xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<saml2:Attribute Name="my_saml_attr_1">
<saml2:AttributeValue xsi:type="xsd:string">value_1</saml2:AttributeValue>
<saml2:AttributeValue xsi:type="xsd:string">value_2</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
Token JWT dan RC
Token JWT memberikan atribut melalui kolom additional_claims
. Kolom adalah objek dan berisi pemetaan nama atribut ke daftar nilai atribut. Nama atribut tidak berubah dari pernyataan SAML yang diberikan.
Untuk contoh pernyataan SAML, JWT IAP berisi hal berikut:
{
"additional_claims": {
"my_saml_attr_1": ["value_1", "value_2"]
}
}
Header dalam pernyataan SAML
Di header, nilai atribut, kunci, dan nama di-escape URL
sesuai dengan RFC 3986 dan digabungkan dengan
koma. Misalnya, header&name: header$value
menjadi x-goog-iap-attr-header%26name: header%24value
.
Untuk mengidentifikasi header IAP secara unik, setiap header berisi
awalan IAP x-goog-iap-attr-
. Untuk alasan keamanan, load
balancer akan menghapus header permintaan apa pun dengan awalan x-goog-iap-attr
. Tindakan ini
memastikan bahwa header yang diterima oleh aplikasi dihasilkan oleh IAP.
Untuk contoh pernyataan SAML, header-nya akan terlihat seperti berikut:
"x-goog-iap-attr-my_saml_attr_1": "value_1,value_2"
Contoh berikut menunjukkan cara IAP meng-escape karakter
khusus saat menyebarkan atribut di header, seperti value&1
, value$2
,
dan value,3
:
"x-goog-iap-attr-my_saml_attr_1": "value%261,value%242,value%2C3"
Berikut adalah contoh cara nama header di-escape.
Nama header:
"iap,test,3": "iap_test3_value1,iap_test3_value2"
Nama header yang di-escape:
"X-Goog-IAP-Attr-iap%2Ctest%2C3": "iap_test3_value1,iap_test3_value2"
Menyesuaikan atribut
Anda dapat menggunakan fungsi selectByName
, append
, strict
, dan emitas
untuk
mengubah nama atribut yang di-propagate, menentukan apakah akan menggunakan atau tidak menggunakan
awalan header untuk beberapa atribut, dan memilih atribut baru yang disediakan
IAP.
Jika Anda tidak memerlukan penyebaran atribut SAML, tetapi memerlukan alamat email,
ID perangkat, atau stempel waktu di kolom SM_USER, Anda dapat memilih atribut tersebut
dari iap_attributes list
: attributes.iap_attributes
…
IAP menyediakan atribut berikut: user_email
,
device_id
, dan timestamp
.
Contoh
Contoh berikut menunjukkan cara menyesuaikan atribut menggunakan
fungsi selectByName
, append
, strict
, dan emitas
.
Asumsikan contoh pernyataan SAML.
selectByName
Gunakan fungsi selectByName
untuk memilih satu atribut dari daftar tertentu berdasarkan nama. Misalnya, untuk memilih my_saml_attr_1
, gunakan ekspresi berikut:
attributes.saml_attributes.selectByName("my_saml_attr_1")
append
Gunakan fungsi append
untuk menambahkan atribut ke daftar atribut. Anda harus memilih atribut ini dari salah satu daftar atribut IAP yang didukung. Misalnya, untuk menambahkan my_saml_attr_2
ke daftar yang berisi my_saml_attr_1
, gunakan ekspresi berikut:
attributes.saml_attributes.filter(x, x.name in ["my_saml_attr_1"]).append(attributes.saml_attributes.selectByName("my_saml_attr_2"))
Anda dapat menambahkan "my_saml_attr_2"
ke daftar filter. Anda juga dapat menambahkan beberapa atribut dan menambahkannya ke daftar dengan mengaitkan penambahan, seperti berikut:
attributes.saml_attributes.filter(x, x.name in ["my_saml_attr_1"]).append(
attributes.saml_attributes.selectByName("my_saml_attr_2")).append(
attributes.saml_attributes.selectByName("my_saml_attr_3"))
Menambahkan satu atribut paling berguna jika digabungkan dengan fungsi strict
dan emitAs
.
strict
Gunakan fungsi strict
untuk menandai atribut sehingga IAP
tidak menambahkan awalan x-goog-iap-attr-
ke nama. Hal ini berguna saat nama atribut harus sama persis untuk aplikasi backend. Contoh:
attributes.saml_attributes.selectByName("my_saml_attr_1").strict()
emitAs
Gunakan fungsi emitAs
untuk menentukan nama baru untuk atribut. Nama yang Anda
tentukan akan menjadi output untuk semua kredensial. Misalnya, untuk mengganti nama
my_saml_attr_1
menjadi custom_name
, gunakan ekspresi berikut:
attributes.saml_attributes.selectByName("my_saml_attr_1").emitAs("custom_name")
Anda dapat menggunakan berbagai fungsi untuk menyesuaikan atribut untuk kasus penggunaan tertentu. Misalnya, Anda dapat menggunakan ekspresi berikut untuk menyebarkan email pengguna dari atribut IAP sebagai "SM_USER"
bersama dengan atribut SAML lainnya:
attributes.saml_attributes.filter(x, x.name in ["my_saml_attr_1"]).append(
attributes.iap_attributes.selectByName("user_email").emitAs("SM_USER").strict())
Header output terlihat seperti berikut:
"x-goog-iap-attr-my_saml_attr_1": "value_1,value_2"
"SM_USER": "email@domain.com"
Batasan saat menggunakan propagasi atribut SAML
Saat login, atribut masuk dari penyedia identitas memiliki batas data atribut SAML sebesar 2 KB. Pernyataan yang melebihi maksimum 2 KB akan ditolak dan proses login akan gagal.
Sebagian besar server web memiliki batas ukuran permintaan 8 KB. Hal ini membatasi ukuran atribut kustom keluar, termasuk atribut duplikat di header. Jika ukuran atribut (nama plus nilai) melebihi 5.000 byte saat diduplikasi dan dienkode, IAP akan menolak permintaan dan menampilkan kode error IAP 401.
Karakter Unicode dalam propagasi atribut SAML
Fitur ini tidak mendukung karakter Unicode dan UTF-8, sehingga nilai atribut harus berupa string ASCII rendah. Jika pernyataan bukan low-ASCII, login akan gagal.