目次
- SSO API ではどのバージョンの SAML をサポートしていますか?
- SAML SSO は POP3 や IMAP と連携できますか?
- SAML SSO は Gmail Atom フィードと連携できますか?
- SAML SSO は AuthSub と連携できますか?
- シングル サインオンの実装で、DSA の代わりに RSA を使用できますか?
- SSO に必要な認証証明書を生成するにはどうすればよいですか?
- ドメインに SSO を実装しても Google に直接ログインできますか?
- ブラウザ セッション中にユーザーを識別する永続的ではないセッション Cookie を(ログアウト時などに)削除するにはどうすればよいですか?
- [パスワード変更 URL] が機能しないのはなぜですか?
- SAMLResponse HTML フォームが Firefox では動作して Internet Explorer では動作しないのはなぜですか?
- パートナーのスタートページを、認証なしでユーザーが表示できるようにするにはどうすればよいですか?
- SAML レスポンスに必要な Recipient 属性とは何ですか?
- サードパーティの ID プロバイダが正しい Recipient 属性を指定しているかどうか確認するにはどうすればよいですか?
- SSO を使用すると、ユーザーは管理コントロール パネルのログイン URL を使用して自身を認証できますか?
- 「ログイン リクエストに無効な宛先情報が含まれていたため、このサービスにはアクセスできません」というエラー メッセージが表示されるのはなぜですか?
- 「ログイン リクエストに宛先情報が含まれていなかったため、このサービスにはアクセスできません」というエラー メッセージが表示されるのはなぜですか?
- 「ログイン資格情報を確認できないため、このアカウントにはアクセスできません」というエラー メッセージが表示されるのはなぜですか?
- SSO API ではどのバージョンの SAML をサポートしていますか?
-
現在のところ、SAML v2.0 をサポートしています。SAML v2.0 標準について詳しくは、http://www.oasis-open.org/specs/index.php#samlv2.0 をご覧ください。
- SAML SSO は POP3 や IMAP と連携できますか?
-
いいえ。SAML は Google Workspace ウェブ アプリケーションとのみ連携します。
- SAML SSO は Gmail Atom フィードと連携できますか?
-
いいえ。Gmail Atom フィードでは HTTP 基本認証が使用されます。
- SAML SSO は AuthSub と連携できますか?
-
はい。SAML は AuthSub と連携できます。
- シングル サインオンの実装で、DSA の代わりに RSA を使用できますか?
-
はい。暗号化アルゴリズムとして RSA または DSA を使用するよう選択でき、Google ではどちらも承認します。
- SSO に必要な認証証明書を生成するにはどうすればよいですか?
-
openssl
コマンドを使用すると、X509 証明書を生成できます。詳しくは、SSO に使用する鍵と証明書を生成するをご覧ください。 - ドメインに SSO を実装しても Google に直接ログインできますか?
-
いいえ。SSO を実装した場合、ドメインのエンドユーザーは Google に直接ログインできません。特権管理者であれば、Google のコントロール パネル(http://www.google.com/a/[ドメイン名].com)にログインすることは可能です。
-
SAML 経由の認証に成功すると、ユーザーのセッションを識別するためにセッション Cookie が設定されます。ユーザーが明示的にログアウトする(ログアウト ボタンをクリックするなど)ときに、この Cookie を破棄する必要があります。永続的なセッション管理([次回から入力を省略] 機能)を使用する場合は、この Cookie を破棄する方法とタイミングを制御する必要があります。ログアウトすると、ログアウト サーブレットにリダイレクトされます。ログアウト サーブレットで、セッション Cookie を削除するかどうかをユーザーが選択できるオプションを表示することができます。
- [パスワード変更 URL] が機能しないのはなぜですか?
-
SSO 設定で [パスワード変更 URL] を変更した場合、変更が有効になるまでに 1 時間ほどかかります。
- SAMLResponse HTML フォームが Firefox では動作して Internet Explorer では動作しないのはなぜですか?
-
Internet Explorer による RelayState の解釈に誤りがあることが原因だと考えられます。Internet Explorer では「<mpl」は「<mpl」と解釈されます。これを防ぐために、RelayState では XML の特殊文字をエスケープする必要があります。{ &、<、>、'、" } は { &、<、>、'、" } に変更してください。
- パートナーのスタートページを、認証なしでユーザーが表示できるようにするにはどうすればよいですか?
-
ヘルプグループのこちらのトピックで SAMLResponse のサンプルをご覧ください。
- SAML レスポンスに必要な Recipient 属性とは何ですか?
-
SAML 2.0 プロファイル仕様の第 4.1.4.2 項によると、Recipient 属性は ACS(Assertion Consumer Service)URL と同じである必要があります。これは次の記述の中にあります。
<samlp:Response ...> <saml:Assertion ...> <saml:Subject> <saml:NameID ...>user@domain.com</saml:NameID> <saml:SubjectConfirmation ...> <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../> </saml:SubjectConfirmation> </saml:Subject> </saml:Assertion> </samlp:Response>
SAML レスポンスに Recipient を追加する方法については、以下の質問をご覧ください。
- サードパーティの ID プロバイダが正しい Recipient 属性を指定しているかどうか確認するにはどうすればよいですか?
-
ご利用の商用またはオープンソースの ID プロバイダが SAML 2.0 に対応している場合、正しい Recipient 属性が既に指定されているものと考えられます。上記のエラー メッセージのいずれかが表示される場合は、Recipient 属性が正しくないことを意味します。これに該当する場合は、ソフトウェアのベンダーか管理者に連絡してこのページへのリンクを送信してください。
- SSO を使用すると、ユーザーは管理コントロール パネルのログイン URL を使用して自身を認証できますか?
-
はい。SAML ベースのシングル サインオン(SSO)では、ご利用の ID プロバイダ ソフトウェア(既存のログイン ポータルなど)に Google Workspace のログイン認証を移行し、ご利用のソフトウェアでユーザー アカウントの認証を制御、管理することができます。ログインが試みられると、Google Workspace によって SSO ポータルにリダイレクトされます。ただし、管理者はこれまでどおり Google 管理コンソール(https://www.google.com/a/[ドメイン名].com)にログインしてこれらのサービスを管理できます。管理コンソールで管理できることにより、SSO ポータルで問題が発生した場合、あるいは更新が必要な場合にも、柔軟に対応できます。
- 「ログイン リクエストに宛先情報が含まれていなかったため、このサービスにはアクセスできません」というエラー メッセージが表示されるのはなぜですか?
-
これは、SAML レスポンスに必須の Recipient 属性がないことを意味します。
- 「ログイン リクエストに無効な宛先情報が含まれていたため、このサービスにはアクセスできません」というエラー メッセージが表示されるのはなぜですか?
-
これは、SAML レスポンスの Recipient 属性が、ACS(Assertion Consumer Service)URL と一致しないことを意味します。
- 「ログイン資格情報を確認できないため、このアカウントにはアクセスできません」というエラー メッセージが表示されるのはなぜですか?
-
これは通常、SAMLResponse の署名に使用される秘密鍵が、Google Workspace がファイルに保持している公開鍵証明書と一致しないことを意味します。コントロール パネルの SSO 設定で証明書をアップロードしてから、もう一度お試しください。