鍵と確認用の証明書を作成し、アップロードする
サービス プロバイダ(SP)として Google をご使用の場合、SAML インスタンスを使用してシングル サインオン(SSO)を設定するには、公開鍵と秘密鍵のセットと、公開鍵を埋め込んだ X.509 形式の証明書を作成する必要があります。公開鍵と証明書は、RSA または DSA のいずれかのアルゴリズムを使用して生成し、Google に登録する必要があります。登録は、鍵と証明書を Google 管理コンソールからアップロードすることで行います。
鍵と証明書の作成方法は、通常、開発プラットフォームやプログラム言語の設定によって異なります。X509 証明書を作成するには、openssl コマンドを使用します。公開鍵と秘密鍵のペアを作成するには、OpenSSL、.NET の証明書作成ツールと Pvk2pfx ツール、Java の Keytool、Java 暗号化アーキテクチャが利用できます。詳しくは、SSO に使用する鍵と証明書を生成するをご覧ください。
- 確認用の証明書をアップロードします。
証明書ファイルは公開鍵が埋め込まれた X.509 形式の証明書である必要があります。
Google でログイン リクエストを確認できるように、証明書には公開鍵が含まれていなければなりません。
公開鍵は DSA または RSA のアルゴリズムで作成する必要があります。Google に送信した SAML レスポンス(つまり、SSO アサーションが本当にあなたから送信されたものか)を確認するためにこの鍵が使用されます。また、SSO アサーションが送信中に変更されていないかについても確認します。
X.509 形式の証明書に埋め込まれた公開鍵は、SAML レスポンスの署名に使用した秘密鍵と一致する必要があります。
証明書のアップロードを確認できるのは Chrome だけです。他のブラウザでは確認できません。 - (省略可)[ドメイン固有の発行元を使用] チェックボックスをオンにしてドメイン固有の発行元を有効にします。この機能を有効にすると、ドメイン固有の発行元が Google から送信されます。形式は google.com/a/[ドメイン名].com で、[ドメイン名].com の部分にはお客様のドメイン名が入ります。
SSO を設定したときにドメイン固有の発行元を有効にするチェックボックスをオンにしない場合、Google からは標準の発行元(google.com)が SAML リクエスト内で送信されます。
- [変更を保存] をクリックします。
詳しくは、パートナー運営の SAML シングル サインオン(SSO)サービスをご覧ください。