ID プロバイダ(IdP)でのユーザー認証が成功すると、Google Assertion Consumer Service(ACS)に SAML 2.0 の SSO アサーションが返されます。アサーションに必要な要素や属性については、下記の表をご覧ください。
属性に関するガイダンス
サードパーティの ID プロバイダを使用して SSO を設定済みで、IdP の SAML アサーションに <AttributeStatement> が含まれている場合、Google はユーザーの Google アカウント セッションの有効期限が切れるまでこれらの属性を保存します。(セッションの長さはさまざまで、管理者が設定できます)。アカウント セッションの有効期限が切れると、属性情報は 1 週間以内に完全に削除されます。
ディレクトリのカスタム属性と同様に、アサーション属性には、アカウントの認証情報、政府発行の身分証明書番号、カード所有者データ、金融口座データ、医療情報、機密性の高い背景情報など、個人を特定できる機密情報を含めないでください。
アサーション属性の推奨される用途は次のとおりです。
- 社内 IT システムのユーザー ID
- セッション固有のロール
アサーションで渡せるデータは、最大 2 KB です。最大許容サイズを超えるアサーションは完全に拒否され、ログインが失敗します。
サポートされている文字セット
サポートされる文字セットは、SSO プロファイルと以前の SSO プロファイルのどちらを使用しているかによって異なります。
- 以前の SSO プロファイル - 属性値は小文字の ASCII 文字列にする必要があります(Unicode/UTF-8 文字はサポートされておらず、ログインに失敗します)。
- SSO プロファイル - Unicode/UTF-8 文字がサポートされています。
ACS にアサーションを返す
問題を解決する
HTTP アーカイブ(HAR)キャプチャにはユーザー名とパスワードがクリアテキストとして含まれるため、サポートへのお問い合わせには使い捨てのテスト アカウントを使用するか、ユーザーと IdP の間でやり取りされた機密データをファイルから削除してください。詳しくは、Google Workspace サポートまでお問い合わせください。
IdP に送信される SAMLRequest には、関連する AssertionConsumerServiceURL が含まれます。SAMLResponse が別の URL に送信される場合は、IdP の設定が正しくない可能性があります。
NameID 要素
| 項目 | Subject 要素内の NameID 要素 |
|---|---|
| 説明 |
NameIDNameID で、対象(ユーザーのメインのメールアドレス)を指定します。 大文字と小文字が区別されます。 |
|
必須 値 |
user@example.com |
| 例 | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Recipient 属性
| 項目 | SubjectConfirmationData 要素内の Recipient 属性 |
|---|---|
| 説明 |
Recipient には、アサーションを対象とするサービス プロバイダの Assertion Consumer Service URL を指定します。 |
|
必須 値 |
SSO プロファイルのサービス プロバイダ(SP)の詳細セクションの ACS の URL の値。 |
| 例 | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Audience 要素
| 項目 | AudienceRestriction 親要素内の Audience 要素 |
|---|---|
| 説明 |
Audience は、アサーションの対象となるオーディエンスを識別する URI 参照です。 |
|
必須 値 |
SSO プロファイルの [サービス プロバイダ(SP)の詳細] セクションにあるエンティティ ID の値。 |
| 例 |
|
Destination 属性
| 項目 | Response 要素の Destination 属性 |
|---|---|
| 説明 |
Destination は、このレスポンスが送信されたアドレスを示す URI 参照です。 |
|
必須 値 |
これは省略可能な属性です。設定する場合は、SSO プロファイルのサービス プロバイダ(SP)の詳細セクションの ACS の URL 値にする必要があります。 |
| 例 | <saml:Response |
注: SAML アサーションに使用できるのは、標準の ASCII 文字のみです。
NameID 要素
| 項目 | Subject 要素内の NameID 要素 |
|---|---|
| 説明 |
NameIDNameID で、対象(ユーザーのメインのメールアドレス)を指定します。 大文字と小文字が区別されます。 |
|
必須 値 |
user@example.com |
| 例 | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com |
Recipient 属性
| 項目 | SubjectConfirmationData 要素内の Recipient 属性 |
|---|---|
| 説明 |
Recipient で、対象に必須の追加データを指定します。 通常、example.com の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。 |
|
必須 値 |
https://www.google.com/a/example.com/acs または https://accounts.google.com/a/example.com/acs |
| 例 | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
Audience 要素
| 項目 | AudienceRestriction 親要素内の Audience 要素 |
|---|---|
| 説明 |
Audience は、ACS URI の値を必要とする、目的のオーディエンスを指定する URI(Uniform Resource Identifier)です。 通常、example.com の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。 この要素の値は必須項目です。 |
|
必須 値 |
次のいずれかになります。
|
| 例 |
|
Destination 属性
| 項目 | Response 要素の Destination 属性 |
|---|---|
| 説明 |
Destination は、SAML アサーションの送信先 URI です。 省略可能ですが、宣言する場合は ACS URI の値が必要です。 通常、example.com の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。 |
|
必須 値 |
https://www.google.com/a/example.com/acs または https://accounts.google.com/a/example.com/acs |
| 例 | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |