我正在尝试设置 SAML SSO,其中 G Suite 是 Office 365(服务提供商)的身份提供者。
Google 的指令是有限的:https://support.google.com/a/answer/6363817?hl=en
但我在这里找到了一些很有帮助的东西:http://www.viewds.com/blog/making-office-365-work-with-an-external-saml-identity-provider.html
我现在相信我的 SAML 请求已经正确传输,但我遇到了一个问题。来自 Google 说明:
默认名称 ID 必须符合 ImmutableID 设置的要求。使用 Active Directory 同步来配置此项。不支持多值输入。
这看起来很简单,但 Google 将电子邮件地址作为默认名称 ID,而 AzureAD 使用明显的 UUID 作为 ImmutableID。
这里有谁有经验,可以指导如何让两个系统正确地相互通信吗?我必须在 AzureAD 上更改 ImmutableID 吗?在 Google 端设置某种自定义字段?
谢谢!
答案1
我编写了一个脚本,将 AzureAD 上的所有 ImmutableID 更改为与 GSuite 上的主要电子邮件匹配。
我认为它并不优雅,但 GSuite 的 SAML 配置仅允许发送主要电子邮件、名字或姓氏作为 NameID 字段。
只要 NameID == ImmutableID 一切正常。
答案2
由于该问题从未得到可接受的答案并且许多事情都发生了变化,因此这里是 Microsoft 的当前文档,他们原生支持 Google 作为 IdP:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/google-federation