SSO アサーションの要件

ID プロバイダ(IdP)でのユーザー認証が成功すると、Google Assertion Consumer Service(ACS)に SAML 2.0 の SSO アサーションが返されます。アサーションに必要な要素や属性については、下の表をご覧ください。

ACS にアサーションを返す

問題を解決する

このようなアサーションに関する問題を解決するには、ネットワーク インスペクタを使用します。手順については、Google 管理者ツールボックスの HAR Analyzer ページをご覧ください。 

HTTP アーカイブ(HAR)キャプチャにはユーザー名とパスワードがクリアテキストとして含まれるため、サポートへのお問い合わせには使い捨てのテスト アカウントを使用するか、ユーザーと IdP の間でやり取りされた機密データをファイルから削除してください。詳しくは、Google Workspace サポートまでお問い合わせください。

IdP に送信される SAMLRequest には、関連する AssertionConsumerServiceURL が含まれます。SAMLResponse が別の URL に送信される場合は、IdP の設定が正しくない可能性があります。

要素と属性を使用する

NameID 要素

項目 Subject 要素内の NameID 要素
 
説明

NameID で、対象(ユーザーのメインのメールアドレス)を指定します。

大文字と小文字が区別されます。

必須

[ユーザー名]@[ドメイン名]
 
<saml:Subject>
<saml:NameID
SPNameQualifier="google.com/a/[ドメイン名]"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>[ユーザー名]@[ドメイン名]</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/[ドメイン名]/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Recipient 属性

項目 SubjectConfirmationData 要素内の Recipient 属性
説明

Recipient で、対象に必須の追加データを指定します。

大文字と小文字が区別されます。

通常、[ドメイン名] は Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです(認証対象のユーザーが、同じ Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合でも、プライマリ ドメインです)。

必須

https://www.google.com/a/[ドメイン名]/acs

または

https://accounts.google.com/a/[ドメイン名]/acs

<saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/[ドメイン名]"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
>[ユーザー名]@[ドメイン名]</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/[ドメイン名]/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"
</saml:SubjectConfirmation>
</saml:Subject>

Audience 要素

項目 AudienceRestriction 親要素内の Audience 要素
説明

Audience は、ACS URI の値を必要とする、目的のオーディエンスを指定する URI(Uniform Resource Identifier)です。

通常、[ドメイン名] は Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです(認証対象のユーザーが、同じ Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合でも、プライマリ ドメインです)。

この要素の値は必須項目です。

必須

https://www.google.com/a/[ドメイン名]/acs

または

https://accounts.google.com/a/[ドメイン名]/acs

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/[ドメイン名]/acs</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

Destination 属性

項目 Response 要素の Destination 属性
 
説明

Destination は、SAML アサーションの送信先 URI です。

省略可能ですが、宣言する場合は ACS URI の値が必要です。

通常、[ドメイン名] は Google Workspace アカウントまたは Cloud Identity アカウントのプライマリ ドメインです(認証対象のユーザーが、同じ Google Workspace アカウントまたは Cloud Identity アカウントのセカンダリ ドメインを使用している場合でも、プライマリ ドメインです)。

必須

https://www.google.com/a/[ドメイン名]/acs 

または

https://accounts.google.com/a/[ドメイン名]/acs

<saml:Response xmlns:saml:urur:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_784062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/[ドメイン名]/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。
検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
false