ID プロバイダ(IdP)でのユーザー認証が成功すると、Google Assertion Consumer Service(ACS)に SAML 2.0 の SSO アサーションが返されます。アサーションに必要な要素や属性については、下の表をご覧ください。
ACS にアサーションを返す
問題を解決する
HTTP アーカイブ(HAR)キャプチャにはユーザー名とパスワードがクリアテキストとして含まれるため、サポートへのお問い合わせには使い捨てのテスト アカウントを使用するか、ユーザーと IdP の間でやり取りされた機密データをファイルから削除してください。詳しくは、Google Workspace サポートまでお問い合わせください。
IdP に送信される SAMLRequest には、関連する AssertionConsumerServiceURL が含まれます。SAMLResponse が別の URL に送信される場合は、IdP の設定が正しくない可能性があります。
注: SAML アサーションに使用できるのは、標準の ASCII 文字のみです。
NameID 要素
項目 | Subject 要素内の NameID 要素 |
---|---|
説明 |
NameID で、対象(ユーザーのメインのメールアドレス)を指定します。 大文字と小文字が区別されます。 |
必須 値 |
[ユーザー名]@[ドメイン名] |
例 | <saml:Subject> |
Recipient 属性
項目 | SubjectConfirmationData 要素内の Recipient 属性 |
---|---|
説明 |
Recipient で、対象に必須の追加データを指定します。 大文字と小文字が区別されます。 通常、[ドメイン名] の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。 |
必須 値 |
https://www.google.com/a/[ドメイン名]/acs または https://accounts.google.com/a/[ドメイン名]/acs |
例 | <saml:Subject> |
Audience 要素
項目 | AudienceRestriction 親要素内の Audience 要素 |
---|---|
説明 |
Audience は、ACS URI の値を必要とする、目的のオーディエンスを指定する URI(Uniform Resource Identifier)です。 通常、[ドメイン名] の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。 この要素の値は必須項目です。 |
必須 値 |
https://www.google.com/a/[ドメイン名]/acs または https://accounts.google.com/a/[ドメイン名]/acs |
例 |
|
Destination 属性
項目 | Response 要素の Destination 属性 |
---|---|
説明 |
Destination は、SAML アサーションの送信先 URI です。 省略可能ですが、宣言する場合は ACS URI の値が必要です。 通常、[ドメイン名] の部分に入るのは、Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです。認証対象のユーザーがその Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合も同様です。 |
必須 値 |
https://www.google.com/a/[ドメイン名]/acs または https://accounts.google.com/a/[ドメイン名]/acs |
例 | <saml:Response xmlns:saml:urur:oasis:names:tc:SAML:2.0:protocol" |