ID プロバイダ(IdP)でのユーザー認証が成功すると、Google Assertion Consumer Service(ACS)に SAML 2.0 の SSO アサーションが返されます。アサーションに必要な要素や属性については、下記の表をご覧ください。
アサーション コンシューマ サービスについて
アサーション コンシューマ サービス(ACS)の URL は、認証済みユーザーのログイン後のリダイレクト先を IdP に伝えるものです。ACS の URL の形式は次のとおりです。
https://www.google.com/a/[ドメイン名].com/acs
注: 組織で www.google.com へのアクセスが制限されている場合は、組織のサポートチームに別の ACS の URL をお問い合わせのうえ、SSO プロファイルの作成をご参照ください。
属性のガイダンス
サードパーティの ID プロバイダを使用して SSO を設定済みで、IdP の SAML アサーションに <AttributeStatement>
が含まれている場合、Google はユーザーの Google アカウント セッションの有効期限が切れるまでこれらの属性を保存します。(セッションの長さはさまざまで、管理者が設定できます)。アカウント セッションの有効期限が切れると、属性情報は 1 週間以内に完全に削除されます。
ディレクトリのカスタム属性と同様に、アサーション属性には、アカウントの認証情報、政府発行の身分証明書番号、カード所有者データ、金融口座データ、医療情報、機密性の高い背景情報など、個人を特定できる機密情報を含めないでください。
アサーション属性の推奨用途は次のとおりです。
- 内部 IT システムのユーザー ID
- セッション固有のロール
アサーションで渡せるデータは、最大 2 KB です。属性値は、小文字の ASCII 文字列にする必要があります(Unicode/UTF-8 文字はサポートされていません)。小文字の ASCII 以外のアサーション値と最大許容サイズを超えるアサーションは完全に拒否され、ログインが失敗します。
ACS にアサーションを返す
問題を解決する
HTTP アーカイブ(HAR)キャプチャにはユーザー名とパスワードがクリアテキストとして含まれるため、サポートへのお問い合わせには使い捨てのテスト アカウントを使用するか、ユーザーと IdP の間でやり取りされた機密データをファイルから削除してください。詳しくは、Google Workspace サポートまでお問い合わせください。
IdP に送信される SAMLRequest には、関連する AssertionConsumerServiceURL が含まれます。SAMLResponse が別の URL に送信される場合は、IdP の設定が正しくない可能性があります。
注: SAML アサーションに使用できるのは、標準の ASCII 文字のみです。
NameID 要素
項目 | Subject 要素内の NameID 要素 |
---|---|
説明 |
NameID で、対象(ユーザーのメインのメールアドレス)を指定します。 大文字と小文字が区別されます。 |
必須 価値 |
user@example.com |
例 | <saml:Subject> |
Recipient 属性
項目 | SubjectConfirmationData 要素内の Recipient 属性 |
---|---|
説明 |
Recipient で、対象に必須の追加データを指定します。 大文字と小文字が区別されます。 通常、[ドメイン名] の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。 |
必須 値 |
https://www.google.com/a/[ドメイン名]/acs または https://accounts.google.com/a/[ドメイン名]/acs |
例 | <saml:Subject> |
Audience 要素
項目 | AudienceRestriction 親要素内の Audience 要素 |
---|---|
説明 |
Audience は、ACS URI の値を必要とする、目的のオーディエンスを指定する URI(Uniform Resource Identifier)です。 通常、[ドメイン名] の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。 この要素の値は必須項目です。 |
必須 値 |
https://www.google.com/a/[ドメイン名]/acs または https://accounts.google.com/a/[ドメイン名]/acs |
例 |
|
Destination 属性
項目 | Response 要素の Destination 属性 |
---|---|
説明 |
Destination は、SAML アサーションの送信先 URI です。 省略可能ですが、宣言する場合は ACS URI の値が必要です。 通常、[ドメイン名] の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。 |
必須 値 |
https://www.google.com/a/[ドメイン名]/acs または https://accounts.google.com/a/[ドメイン名]/acs |
例 | <saml:Response xmlns:saml:urur:oasis:names:tc:SAML:2.0:protocol" |