我正在尝试设置SAML SSO,其中G Suite是Office 365(服务提供商)的身份提供商。
Google的说明有限: https : //support.google.com/a/answer/6363817?hl = zh_CN
但是我在这里find了一些很好的帮助: http : //www.viewds.com/blog/making-office-365-work-with-an-external-saml-identity-provider.html
我现在相信我有SAML请求正确地来回,但我遇到了一个障碍。 来自Google的说明:
默认的名称ID必须与由ImmutableID设置的要求匹配。 使用Active Directory同步来configuration它。 多值input不受支持。
这似乎很简单,但Google发送电子邮件地址作为默认的名称ID和AzureAD使用明显的UUID作为ImmutableID。
任何人都有经验可以指导如何让两个系统正确对话吗? 我必须更改AzureAD上的ImmutableIDs吗? 在Google端设置某种自定义字段?
谢谢!
我编写了一个脚本,将AzureAD上的所有ImmutableIDs更改为与GSuite中的主要电子邮件相匹配。
我不认为它是优雅的,但GSuite的SAMLconfiguration只允许发送主电子邮件,名字或姓氏作为NameID字段。
只要NameID == ImmutableID一切正常。