SAML 監査ログ

SAML アプリケーションへのログイン成功とログイン失敗を確認する

この機能は、G Suite Enterprise、G Suite Business、G Suite Basic、G Suite for Education および Drive Enterprise でご利用いただけます(各エディションの比較)。また、Cloud Identity Premium でもご利用いただけます。

SAML 監査ログを使用すると、ユーザーが SAML アプリケーションへのログインに成功したか失敗したかを確認できます。通常、ユーザーの操作は 1 時間以内にログに記録されます。

ステップ 1: SAML 監査ログを開く

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[レポート] にアクセスします。

    [レポート] が表示されていない場合は、画面下部の [その他の設定] をクリックします。

  3. 左側にある [監査] で、[ SAML ] をクリックします。
  4. (省略可)列の横にある、列を管理アイコン 列を管理 をクリックし、表示または非表示にする列を選択します。

ステップ 2: SAML 監査ログデータを確認する

G Suite Business または G Suite Enterprise から G Suite Basic エディションに移行すると、新しいイベントに関するデータが監査ログに記録されなくなります。古いデータは引き続き閲覧できます。

表示できるデータ
データの種類 説明
イベントの名前 ログに記録される操作。
  • ログイン成功
ユーザーがログインに成功するたびに作成されるログエントリ。
  • ログイン失敗
ユーザーがログインを試みて失敗するたびに作成されるログエントリ。

失敗の種類

ユーザーがログインを試みて失敗した後にのみ表示される、[失敗の種類] の一連のエントリ。
  • アプリケーションが未設定です
ユーザーに対してアプリケーションが設定されていなかったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。このアプリケーションは、Google 管理コンソールで正しく設定されていません。管理者は、設定(アプリケーションのエンティティ ID を含む)が正しく指定されていることを確認してください。
  • ユーザーのアプリケーションが有効になっていません
ユーザーに対してアプリケーションが有効になっていなかったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。管理者は、管理コンソールでこのアプリケーションを「オン」にする必要があります。
  • 名前 ID のマッピングが無効です
無効な名前 ID のマッピングがリクエストされたためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。SP アプリケーションと管理コンソールで NAMEID パラメータが一致していません。管理者は、スキーマが引き続き存在することを確認し、アプリケーションの名前 ID のマッピングを再設定してください。
  • 名前 ID のマッピングを利用できません
名前 ID のマッピングを利用できなかったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。名前 ID マッピングでマッピングされた属性が見つかりませんでした。管理者は、スキーマが引き続き存在することを確認し、アプリケーションの名前 ID のマッピングを再設定してください。
  • サービス プロバイダ ID が無効です
サービス プロバイダ ID が無効だったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。サービス プロバイダ側の設定が、管理コンソールで設定された [アプリケーション ID] 欄と一致していることを確認してください。リクエスト URL で渡される SP ID が [アプリケーション ID] と同じであることを確認します。
  • 不正なリクエスト
リクエストの形式が正しくなかった、またはリクエストの ACS URL が管理コンソールで設定されているものと一致しなかったためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。サービス プロバイダ向けに設定されている ACS URL が正しいことを確認してください。
  • パッシブ認証が失敗しました
システムでユーザーのパッシブ認証に失敗したためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。ユーザーは ID プロバイダ(IdP)にログインできませんでした。管理者のブラウザから IdP に再びログインしてください。
  • 認証されていないユーザーです
リクエストが拒否されたためにユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。このユーザーは承認されていません。ユーザーに対してアプリケーションが有効になっているかどうかを確認してください。
  • 不明
原因不明でユーザーがログインに失敗する場合、そのたびに作成されるログエントリ。
イベントの説明 [イベント名] 欄に記載されているイベントの詳細。失敗したログインのエントリには、エラーの理由も記載されています。
ユーザー名 イベントをトリガーしたユーザーのメールアドレスまたは名前。
組織名 イベントをトリガーしたユーザーが属する組織の名前。
開始 イベントを開始したプロバイダ(IdP またはサービス プロバイダ)。
アプリケーション名 イベントを開始した管理者が設定したアプリケーションの名前。
IP アドレス ユーザーが SAML アプリケーションにログインするのに使用したインターネット プロトコル(IP)アドレス。ユーザーのいる物理的な場所を表していることもありますが、プロキシ サーバーや仮想プライベート ネットワーク(VPN)のアドレスを表す場合もあります。
期間 イベントが発生した日時(ブラウザのデフォルトのタイムゾーンで表示されます)。

ステップ 3: 監査ログデータのカスタマイズと書き出しを行う

ユーザーやアクティビティで監査ログデータをフィルタする

監査ログデータを絞り込んで特定のイベントやユーザーを表示することができます。たとえば、ユーザーに対してアプリケーションが設定されていなかったことによるログイン失敗のすべてのログイベントを検索できます。

  1. 上述の手順で SAML 監査ログを開きます
  2. [フィルタを追加] をクリックします。
  3. フィルタの条件を選択して入力し、必要に応じて [適用] をクリックします。
  4. (省略可)組織部門で絞り込むには、右上の [組織のフィルタ] をクリックし、組織部門を選択して [適用] をクリックします。
  5. (省略可)検索対象期間を指定するには、[期間] をクリックし、リストから期間を選択するか、開始日、終了日、時間を入力します。必要に応じて [適用] をクリックします。

組織部門でフィルタリングする

組織部門でフィルタリングして、ドメイン内の下位組織間の統計情報を比較することができます。

  1. 上述の手順で監査ログを開きます
  2. 上部にある [組織のフィルタ] をクリックします。
  3. 組織部門を選択し、[適用] をクリックします。

日付による絞り込み

  1. 上記の手順でレポートを開きます
  2. 上部の [期間] をクリックします。
  3. リストから期間を選択するか、開始日、終了日、時間を入力します。
  4. 必要に応じて [適用] をクリックします。

監査ログデータを書き出す

監査ログデータは、Google スプレッドシートに書き出したり CSV ファイル形式でダウンロードしたりできます。

  1. 前述の手順で監査ログを開きます
  2. (省略可)書き出すデータを変更するには、列を管理アイコン 列を管理 をクリックして書き出す列を選択または削除し、[保存] をクリックします。
  3. ダウンロード アイコン ダウンロード をクリックします。
  4. [列を選択] で、[現在選択されている列] または [すべての列] をクリックします。
  5. [ファイル形式を選択] で、[Google スプレッドシート] または [カンマ区切り値(CSV)] をクリックします。
  6. [ダウンロード] をクリックします。

最多で 100,000 行をスプレッドシートまたは CSV ファイルに書き出せます。

表示されているデータはいつのものですか?

データを確認できるようになるまでの時間とデータの保持期間については、データの保持期間とタイムラグをご覧ください。

ステップ 4: メール通知アラートを設定する

アラートを設定すると、特定の SAML アクティビティを簡単に確認できます。たとえば、リクエストが拒否されたためにユーザーがログインに失敗したときにアラートを受け取ることができます。

  1. 上述の手順で監査ログを開きます
  2. [フィルタを追加] をクリックします。
  3. フィルタの条件を入力または選択し、アラートを作成アイコンをクリックします。
  4. アラートの名前を入力します。
  5. (省略可)すべての特権管理者にアラートを送信するには、[受信者] で特権管理者に送信スライダー オンにする をオンにします。
  6. アラート受信者のメールアドレスを入力します。
  7. [作成] をクリックします。

カスタム アラートを編集する方法については、管理者へのメールアラートをご覧ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。