Configura la propagación de atributos de SAML

En esta página, se describe cómo habilitar y usar la propagación de atributos del lenguaje de marcado para confirmaciones de seguridad (SAML). Puedes usar esta función para propagar atributos de SAML desde un proveedor de identidad a aplicaciones protegidas por Identity-Aware Proxy (IAP). Cuando propagas atributos de SAML, puedes especificar qué atributos propagar y cómo entregarlos.

Antes de comenzar

Debes tener conocimientos sobre la especificación de aserciones y protocolos de SAML V2.0 (PDF).

Comprende cómo se manejan los datos

Antes de habilitar la propagación de atributos de SAML, asegúrate de comprender cómo Google Cloud maneja los datos y qué tipo de información debes y no debes pasar por este canal.

Puedes configurar IAP para incluir uno o más atributos en la información que proporciona a tus aplicaciones protegidas. Si configuras el SSO a través de un proveedor de identidad externo y este incluye un <AttributeStatement> en la aserción de SAML, Google Cloud almacena temporalmente los atributos asociados con la sesión de la Cuenta de Google de un usuario. Cuando vence una sesión de la Cuenta de Google, un proceso asíncrono quita la información de forma permanente en el plazo de una semana. Puedes configurar la fecha de vencimiento.

No uses la propagación de atributos de SAML para información sensible de identificación personal (PII), como credenciales de cuentas, números de identificación gubernamentales, datos de titulares de tarjetas, datos de cuentas financieras, información de atención médica o información sensible de antecedentes.

Habilita la propagación de atributos de SAML

Para habilitar la propagación de atributos de SAML, crea un perfil de SSO en Google Workspace y, luego, actualiza la configuración de IAP con Google Cloud CLI o la API de REST.

Console

  1. En la Google Cloud consola, dirígete a la página IAP.
    Ir a IAP
  2. Abre la configuración de un recurso y, luego, desplázate hasta Propagación de atributos.
  3. Selecciona Habilitar la propagación de atributos y, luego, haz clic en Guardar.

  4. En la pestaña Atributos de SAML, ingresa los atributos que deseas propagar con el siguiente formato: attribute1, attribute2, attribute3

    También puedes ingresar los atributos con una expresión personalizada.Los atributos de tu expresión personalizada se muestran en la pestaña Atributos de SAML. Debes usar el siguiente formato de expresión para que tus atributos se muestren en la pestaña Atributos de SAML:
    attributes.saml_attributes.filter(attribute, attribute.name in ['attribute', 'attribute2', 'attribute1'])

  5. En Tipos de credenciales para pasar, selecciona al menos un formato de atributo proveniente del IdP para pasarlo a las aplicaciones.

gcloud

Ejecuta los siguientes comandos de IAP gcloud CLI para actualizar la configuración de propagación de atributos de SAML:

gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=PROJECT> --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION] [GCLOUD_WIDE_FLAG …]

Reemplaza lo siguiente:

  • FOLDER: La carpeta en la que reside tu aplicación.
  • ORGANIZATION: La organización en la que reside tu aplicación.
  • PROJECT: El proyecto en el que reside tu aplicación.
  • RESOURCE_TYPE: El tipo de recurso
  • SERVICE: El servicio
  • VERSION: El número de versión

YAML: 

applicationSettings:
 attributePropagationSettings:
  expression: CEL_EXPRESSION
  outputCredentials: ARRAY[OUTPUT_CREDENTIALS]
  enable: BOOLEAN

JSON: 

{
   "application_settings":{
      "attribute_propagation_settings": {
        "expression": CEL_EXPRESSION,
        "output_credentials": ARRAY[OUTPUT_CREDENTIALS]
        "enable": BOOLEAN
      }
   }
}

API de REST

Puedes configurar los atributos de SAML para propagar con el ApplicationSettings objeto en IapSettings, como se muestra en los siguientes ejemplos:

{
 "csmSettings": {
    object (CsmSettings)
  },
  "accessDeniedPageSettings": {
    object (AccessDeniedPageSettings)
  },
 "attributePropagationSettings": {
    object (AttributePropagationSettings)
  },
  "cookieDomain": string,
}

AttributePropagationSettings

{
 "expression": string,
 "output_credentials": array
 "enable": boolean
}

Configura las credenciales de salida

Cuando usas la propagación de atributos de SAML, puedes enviar atributos a través de varios medios, incluidos el token web JSON (JWT) y los encabezados, mediante la configuración de credenciales de salida. Para configurar las credenciales en la API, puedes especificar una lista de cadenas separadas por comas, como se muestra en el siguiente ejemplo:

"output_credentials": ["HEADER", "JWT", "RCTOKEN"]

Filtra atributos de SAML con Common Expression Language

Puedes usar funciones de Common Expression Language (CEL) para filtrar atributos de SAML.

El uso de expresiones CEL con la propagación de atributos de SAML tiene las siguientes limitaciones:

  • Una expresión debe mostrar una lista de atributos.
  • Una expresión puede seleccionar un máximo de 45 atributos.
  • Una cadena de expresión no puede superar los 1,000 caracteres.

A continuación, se muestran las funciones de CEL compatibles cuando se usa la función de propagación de atributos de SAML de IAP.

Ten en cuenta que las funciones distinguen mayúsculas de minúsculas y deben usarse exactamente como se escriben. El orden de las funciones strict y emitAs no importa cuando se encadenan llamadas a funciones.

Función Ejemplo Descripción
Selección de campos a.b Selecciona el campo b del proto a. El carácter b puede ser otro proto, una lista o un tipo de valor simple, como una cadena.
Filtrar listas list.Filter(iter_var, condition) Muestra un subconjunto de list en el que los elementos cumplen con condition.
Membresía de la lista a en b Muestra true si el valor a es miembro de la lista b.
selectByName list.selectByName("name") De la lista, selecciona el atributo en el que name = "name".
append list.append(attribute) Anexa el atributo determinado a la lista determinada.
strict attribute.strict() Emite el atributo sin el prefijo x-goog-iap-attr- cuando se usa HEADERS como credencial de salida.
emitAs attribute.emitAs("new_name") Envía el atributo determinado con el nombre "new_name" a todas las credenciales de salida seleccionadas.

Ejemplo de expresión CEL

Supongamos una aserción de SAML: 

<saml2:AttributeStatement xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <saml2:Attribute Name="my_saml_attr_1">
    <saml2:AttributeValue xsi:type="xsd:string">value_1</saml2:AttributeValue>
    <saml2:AttributeValue xsi:type="xsd:string">value_2</saml2:AttributeValue>
  </saml2:Attribute>
 <saml2:Attribute Name="my_saml_attr_2">
    <saml2:AttributeValue xsi:type="xsd:string">value_3</saml2:AttributeValue>
    <saml2:AttributeValue xsi:type="xsd:string">value_4</saml2:AttributeValue>
  </saml2:Attribute>
 <saml2:Attribute Name="my_saml_attr_3">
    <saml2:AttributeValue xsi:type="xsd:string">value_5</saml2:AttributeValue>
    <saml2:AttributeValue xsi:type="xsd:string">value_6</saml2:AttributeValue>
  </saml2:Attribute>
</saml2:AttributeStatement>

Para seleccionar my_saml_attr_1, usa la siguiente expresión CEL:

attributes.saml_attributes.filter(attribute, attribute.name in ["my_saml_attr_1"])

Para seleccionar my_saml_attr_1 y my_saml_attr_2, usa la siguiente expresión CEL:

attributes.saml_attributes.filter(attribute, attribute.name in ["my_saml_attr_1", "my_saml_attr_2"])

Formato de atributo

Todos los atributos seleccionados se duplican por completo en todas las credenciales de salida seleccionadas.

Ejemplo: Supongamos una aserción de SAML 

<saml2:AttributeStatement xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <saml2:Attribute Name="my_saml_attr_1">
    <saml2:AttributeValue xsi:type="xsd:string">value_1</saml2:AttributeValue>
    <saml2:AttributeValue xsi:type="xsd:string">value_2</saml2:AttributeValue>
  </saml2:Attribute>
</saml2:AttributeStatement>

Token de JWT y RC

El token de JWT proporciona los atributos a través del campo additional_claims. El campo es un objeto y contiene una asignación de los nombres de los atributos a una lista de los valores de los atributos. Los nombres de los atributos no se modifican de las aserciones de SAML proporcionadas.

Para el ejemplo de aserción de SAML, el JWT de IAP contiene lo siguiente:

{
  "additional_claims": {
    "my_saml_attr_1": ["value_1", "value_2"]
  }
}

Encabezados en una aserción de SAML

En los encabezados, los valores de los atributos, las claves y los nombres se escapan de la URL según RFC 3986 y se unen con comas. Por ejemplo, header&name: header$value se convierte en x-goog-iap-attr-header%26name: header%24value.

Para identificar de forma única los encabezados de IAP, cada encabezado contiene el prefijo de IAP x-goog-iap-attr-. Por motivos de seguridad, el balanceador de cargas quita cualquier encabezado de solicitud con el prefijo x-goog-iap-attr. Esto garantiza que los encabezados que recibe la app sean generados por IAP.

Para el ejemplo de aserción de SAML, el encabezado se ve de la siguiente manera:

"x-goog-iap-attr-my_saml_attr_1": "value_1,value_2"

En el siguiente ejemplo, se muestra cómo IAP escapa los caracteres especiales cuando propaga atributos en encabezados, como value&1, value$2, y value,3:

"x-goog-iap-attr-my_saml_attr_1": "value%261,value%242,value%2C3"

A continuación, se muestra un ejemplo de cómo se escapa un nombre de encabezado.

Nombre del encabezado:

"iap,test,3": "iap_test3_value1,iap_test3_value2"

Nombre del encabezado escapado:

"X-Goog-IAP-Attr-iap%2Ctest%2C3": "iap_test3_value1,iap_test3_value2"

Personaliza atributos

Puedes usar las funciones selectByName, append, strict y emitas para modificar los nombres de los atributos propagados, especificar si se debe usar o no el prefijo del encabezado para algunos atributos y seleccionar nuevos atributos proporcionados por IAP.

Si no necesitas la propagación de atributos de SAML, pero necesitas la dirección de correo electrónico, el ID del dispositivo o la marca de tiempo en un campo SM_USER, puedes seleccionar esos atributos de la iap_attributes list: attributes.iap_attributes

IAP proporciona los siguientes atributos: user_email, device_id y timestamp.

Ejemplos

En los siguientes ejemplos, se muestra cómo personalizar atributos con las funciones selectByName, append, strict y emitas.

Supongamos el ejemplo de aserción de SAML.

selectByName

Usa la función selectByName para seleccionar un solo atributo de una lista determinada por nombre. Por ejemplo, para seleccionar my_saml_attr_1, usa la siguiente expresión:

attributes.saml_attributes.selectByName("my_saml_attr_1")

append

Usa la función append para anexar un atributo a una lista de atributos. Debes seleccionar este atributo de una de las listas de atributos de IAP compatibles. Por ejemplo, para anexar my_saml_attr_2 a una lista que contiene my_saml_attr_1, usa la siguiente expresión:

attributes.saml_attributes.filter(x, x.name in ["my_saml_attr_1"]).append(attributes.saml_attributes.selectByName("my_saml_attr_2"))

Puedes agregar "my_saml_attr_2" a la lista de filtros. También puedes agregar varios atributos y anexarlos a una lista encadenando las anexiones, como se muestra a continuación:

attributes.saml_attributes.filter(x, x.name in ["my_saml_attr_1"]).append(
attributes.saml_attributes.selectByName("my_saml_attr_2")).append(
attributes.saml_attributes.selectByName("my_saml_attr_3"))

La anexión de atributos únicos es más útil cuando se combina con la funcionalidad strict y emitAs.

strict

Usa la función strict para marcar un atributo de modo que IAP no anteponga el nombre con x-goog-iap-attr-. Esto es útil cuando un nombre de atributo debe ser exacto para la aplicación de backend. Ejemplo:

attributes.saml_attributes.selectByName("my_saml_attr_1").strict()

emitAs

Usa la función emitAs para especificar un nombre nuevo para el atributo. El nombre que especifiques se enviará a todas las credenciales. Por ejemplo, para cambiar el nombre de my_saml_attr_1 a custom_name, usa la siguiente expresión:

attributes.saml_attributes.selectByName("my_saml_attr_1").emitAs("custom_name")

Puedes usar las distintas funciones para personalizar atributos para casos de uso específicos. Por ejemplo, puedes usar la siguiente expresión para propagar el correo electrónico de un usuario desde los atributos de IAP como "SM_USER" junto con otros atributos de SAML:

attributes.saml_attributes.filter(x, x.name in ["my_saml_attr_1"]).append(
attributes.iap_attributes.selectByName("user_email").emitAs("SM_USER").strict())

Los encabezados de salida se ven de la siguiente manera:

"x-goog-iap-attr-my_saml_attr_1": "value_1,value_2"
"SM_USER": "email@domain.com"

Restricciones cuando se usa la propagación de atributos de SAML

Al acceder, los atributos entrantes del proveedor de identidad tienen un límite de 2 KB de datos de atributos de SAML. Se rechazan las aserciones que superan el máximo de 2 KB y falla el acceso.

La mayoría de los servidores web tienen un límite de tamaño de solicitud de 8 KB. Esto limita el tamaño de los atributos personalizados salientes, incluida la duplicación de atributos en los encabezados. Si el tamaño de los atributos (nombre más valores) supera los 5,000 bytes cuando se duplica y codifica, IAP rechaza la solicitud y muestra el código de error 401 de IAP.

Caracteres Unicode en la propagación de atributos de SAML

Esta función no admite caracteres Unicode ni UTF-8, por lo que los valores de los atributos deben ser cadenas ASCII bajas. Si una aserción no es ASCII baja, falla el acceso.