SAML 監査ログ

SAML アプリケーションへのログイン成功とログイン失敗を確認する

この機能は、G Suite Enterprise、G Suite Business、G Suite Basic、G Suite for Education および Drive Enterprise でご利用いただけます(各エディションの比較)。また、Cloud Identity Premium でもご利用いただけます。

組織の管理者は SAML 監査ログを使用して、ユーザーが SAML アプリケーションへのログインに成功したか失敗したかを確認できます。通常、ユーザーの操作は 1 時間以内にログに記録されます。

ステップ 1: SAML 監査ログを開く

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[レポート] にアクセスします。

    [レポート] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 左側にある [監査] で、[SAML] をクリックします。
  4. ツールバーにある、列を選択アイコン 列を選択 をクリックします。次に、ログに表示するデータを選択します。
  5. ログデータを確認、カスタマイズする方法については下記をご覧ください。

ステップ 2: SAML 監査ログデータを確認する

G Suite Business または G Suite Enterprise から G Suite Basic エディションに移行すると、新しいイベントに関するデータが監査ログに記録されなくなります。古いデータは引き続き閲覧できます。

データの種類 説明
イベントの名前 ログに記録される操作。
  • ログイン成功
ユーザーがログインに成功するたびに作成されるログエントリ。
  • ログイン失敗
ユーザーがログインを試みて失敗するたびに作成されるログエントリ。

失敗の種類

ユーザーがログインを試みて失敗した後にのみ表示される、[失敗の種類] の一連のエントリ。
  • アプリケーションが未設定です
ユーザーに対してアプリケーションが設定されていなかったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。このアプリケーションは、Google 管理コンソールで正しく設定されていません。管理者は、設定(アプリケーションのエンティティ ID を含む)が正しく指定されていることをご確認ください。
  • ユーザーのアプリケーションが有効になっていません
ユーザーに対してアプリケーションが有効になっていなかったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。管理者は、管理コンソールでこのアプリケーションを「オン」にする必要があります。
  • 名前 ID のマッピングが無効です
無効な名前 ID のマッピングがリクエストされたためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。SP アプリケーションと管理コンソールで NAMEID パラメータが一致していません。管理者は、スキーマが引き続き存在することを確認し、アプリケーションの名前 ID のマッピングを再設定してください。
  • 名前 ID のマッピングを利用できません
名前 ID のマッピングを利用できなかったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。名前 ID マッピングでマッピングされた属性が見つかりませんでした。管理者は、スキーマが引き続き存在することを確認し、アプリケーションの名前 ID のマッピングを再設定してください。
  • サービス プロバイダ ID が無効です
サービス プロバイダ ID が無効だったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。サービス プロバイダ側の設定が、管理コンソールで設定された [アプリケーション ID] 欄と一致するかご確認ください。リクエスト URL で渡される SP ID が [アプリケーション ID] と同じであることを確認します。
  • 不正なリクエスト
リクエストの形式が正しくなかった、またはリクエストの ACS URL が管理コンソールで設定されているものと一致しなかったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。サービス プロバイダ向けに設定されている ACS URL が正しいことをご確認ください。
  • パッシブ認証が失敗しました
システムでユーザーのパッシブ認証に失敗したためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。ユーザーは ID プロバイダにログインできませんでした。管理者のブラウザから ID プロバイダに再びログインしてください。
  • 認証されていないユーザーです
リクエストが拒否されたためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。ユーザーは認証されていません。ユーザーに対してアプリケーションが有効になっているかどうかご確認ください。
  • 不明
原因不明でユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。
イベントの説明 [イベント名] 欄に記載されているイベントの詳細。失敗したログインのエントリには、エラーの理由も記載されています。
ユーザー名 イベントをトリガーしたユーザーのメールアドレスまたは名前。
組織名 イベントをトリガーしたユーザーが属する組織の名前。
開始 イベントを開始したプロバイダ(ID プロバイダまたはサービス プロバイダ)。
アプリケーション名 イベントを開始した管理者が設定したアプリケーションの名前。
IP アドレス     ユーザーが SAML アプリケーションにログインするのに使用したインターネット プロトコル(IP)アドレス。ユーザーのいる物理的な場所を表していることもありますが、プロキシ サーバーや仮想プライベート ネットワーク(VPN)のアドレスを表す場合もあります。
期間 イベントが発生した日時(ブラウザのデフォルトのタイムゾーンで表示されます)。

ステップ 3: 監査ログデータのカスタマイズや書き出しを行う

ユーザーやアクティビティで監査ログデータをフィルタする

監査ログデータを絞り込んで特定のイベントやユーザーを表示することができます。たとえば、ユーザーに対してアプリケーションが設定されていなかったことによるログイン失敗のすべてのログイベントを検索できます。

  1. 上記の手順で SAML 監査ログを開きます
  2. [フィルタ] 欄が表示されない場合は、フィルタ アイコン フィルタ をクリックします。
  3. フィルタの条件を入力または選択します。ログに表示できるデータを自由に組み合わせてフィルタすることができます。
  4. [検索] をクリックします。

組織部門でフィルタリングする

組織部門でフィルタリングして、ドメイン内の下位組織と統計情報を比較することができます。

  1. 上記の手順でレポートを開きます
  2. 左側の [フィルタ] で、一覧から組織部門を選択します。

古いデータを検索する場合でも、フィルタできるのは現在の組織階層のみです。2018 年 12 月 20 日より前のデータは、結果に表示されません。

監査ログデータを書き出す

監査ログデータは、Google スプレッドシートに書き出したり CSV ファイル形式でダウンロードしたりできます。

  1. 上記の手順で監査ログを開きます
  2. (省略可)書き出すデータの項目を変更するには、次の操作を行います。
    1. ツールバーにある、列を選択アイコン 列を選択 をクリックします。
    2. 書き出すデータの横にあるチェックボックスをオンにして、[適用] をクリックします。
  3. ツールバーにある、ダウンロード アイコン ダウンロード をクリックします。

書き出しの最大セル数は 210,000 個です。最大の行数は、選択している列の数によって変わります。監査ログからスプレッドシートに書き出せる行は 10,000 行までですが、CSV には 500,000 行まで書き出すことができます。

表示されているデータはいつのものですか?

データを確認できるようになるまでの時間とデータの保持期間については、データの保持期間とタイムラグをご覧ください。

ステップ 4: メールアラートを設定する

アラートを設定すると、特定の SAML アクティビティを簡単に確認できます。たとえば、リクエストが拒否されたためにユーザーがログインに失敗したときにアラートを受け取ることができます。

  1. 上記の手順で SAML 監査ログを開きます
  2. [フィルタ] 欄が表示されない場合は、フィルタ アイコン フィルタ をクリックします。
  3. フィルタの条件を入力または選択します。アラートの設定では、ログに表示するデータを自由にフィルタできます(ただし、期間を除きます)。
  4. [アラートを設定] をクリックします。
  5. [アラートの設定: SAML] ボックスに、アラートの名前を入力します。
  6. アカウントの特権管理者のチェックボックスをオンにしてアラートの送信先にします。
  7. 他のユーザーにもアラートを送信する場合は、受信者のメールアドレスを入力します。
  8. [保存] をクリックします。

カスタム アラートを編集する方法については、管理者へのメールアラートをご覧ください。

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。