SSO アサーションの要件

ID プロバイダ(IdP)でのユーザー認証が成功すると、Google Assertion Consumer Service(ACS)に SAML 2.0 の SSO アサーションが返されます。アサーションに必要な要素や属性については、下記の表をご覧ください。

アサーション コンシューマ サービスについて

アサーション コンシューマ サービス(ACS)の URL は、認証済みユーザーのログイン後のリダイレクト先を IdP に伝えるものです。ACS の URL の形式は次のとおりです。

https://www.google.com/a/[ドメイン名].com/acs

注: 組織で www.google.com へのアクセスが制限されている場合は、組織のサポートチームに別の ACS の URL をお問い合わせのうえ、SSO プロファイルの作成をご参照ください。

属性のガイダンス

サードパーティの ID プロバイダを使用して SSO を設定済みで、IdP の SAML アサーションに <AttributeStatement> が含まれている場合、Google はユーザーの Google アカウント セッションの有効期限が切れるまでこれらの属性を保存します。(セッションの長さはさまざまで、管理者が設定できます)。アカウント セッションの有効期限が切れると、属性情報は 1 週間以内に完全に削除されます。

ディレクトリのカスタム属性と同様に、アサーション属性には、アカウントの認証情報、政府発行の身分証明書番号、カード所有者データ、金融口座データ、医療情報、機密性の高い背景情報など、個人を特定できる機密情報を含めないでください。

アサーション属性の推奨用途は次のとおりです。

  • 内部 IT システムのユーザー ID
  • セッション固有のロール

アサーションで渡せるデータは、最大 2 KB です。属性値は、小文字の ASCII 文字列にする必要があります(Unicode/UTF-8 文字はサポートされていません)。小文字の ASCII 以外のアサーション値と最大許容サイズを超えるアサーションは完全に拒否され、ログインが失敗します。
 

ACS にアサーションを返す

問題を解決する

このようなアサーションに関する問題を解決するには、ネットワーク インスペクタを使用します。手順については、Google 管理者ツールボックスの HAR Analyzer ページをご覧ください。 

HTTP アーカイブ(HAR)キャプチャにはユーザー名とパスワードがクリアテキストとして含まれるため、サポートへのお問い合わせには使い捨てのテスト アカウントを使用するか、ユーザーと IdP の間でやり取りされた機密データをファイルから削除してください。詳しくは、Google Workspace サポートまでお問い合わせください。

IdP に送信される SAMLRequest には、関連する AssertionConsumerServiceURL が含まれます。SAMLResponse が別の URL に送信される場合は、IdP の設定が正しくない可能性があります。
要素と属性を使用する

注: SAML アサーションに使用できるのは、標準の ASCII 文字のみです。

NameID 要素

項目 Subject 要素内の NameID 要素
 
説明

NameID で、対象(ユーザーのメインのメールアドレス)を指定します。

大文字と小文字が区別されます。

必須

価値

user@example.com
 
<saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/[ドメイン名]"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>[ユーザー名]@[ドメイン名]</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/[ドメイン名]/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Recipient 属性

項目 SubjectConfirmationData 要素内の Recipient 属性
説明

Recipient で、対象に必須の追加データを指定します。

大文字と小文字が区別されます。

通常、[ドメイン名] の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。

必須

https://www.google.com/a/[ドメイン名]/acs

または

https://accounts.google.com/a/[ドメイン名]/acs

<saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/[ドメイン名]"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
>[ユーザー名]@[ドメイン名]</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/[ドメイン名]/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Audience 要素

項目 AudienceRestriction 親要素内の Audience 要素
説明

Audience は、ACS URI の値を必要とする、目的のオーディエンスを指定する URI(Uniform Resource Identifier)です。

通常、[ドメイン名] の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。

この要素の値は必須項目です。

必須

https://www.google.com/a/[ドメイン名]/acs

または

https://accounts.google.com/a/[ドメイン名]/acs

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/[ドメイン名]/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Destination 属性

項目 Response 要素の Destination 属性
 
説明

Destination は、SAML アサーションの送信先 URI です。

省略可能ですが、宣言する場合は ACS URI の値が必要です。

通常、[ドメイン名] の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。

必須

https://www.google.com/a/[ドメイン名]/acs 

または

https://accounts.google.com/a/[ドメイン名]/acs

<saml:Response xmlns:saml:urur:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_784062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/[ドメイン名]/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
検索
検索をクリア
検索を終了
Google アプリ
メインメニュー