これまでも本ブログや各種記事で何度も紹介してきたAzure Active Directory(Azure AD)とクラウド・アプリケーションとのシングルサインオンですが、その中でもGoogle Appsが非常に手軽かつ利用シーンも多いので、何度も設定例として取り上げてきました。
しかし、実はAzure ADとGoogle Appsのシングルサインオンを行う際、2点はまりポイントがあります。
簡単に解説します。
◆サインオン時にGoogle Apps側で「ログイン資格情報を確認できない」と言われる
これはダブルバイト圏ならでは悩みと言えますが、原因は「Azure AD上のユーザ名に日本語(ダブルバイト文字)が含まれている」ことです。Azure ADはSAML AssertionのAttribute Statementに必ず氏名の情報を含めてしまうため、ダブルバイト文字がAssertionに含まれてしまい、Google Appsが解釈できずにエラーとなる、という具合です。
一見なぜエラーになっているのかよくわからないため、タチが悪いと言えます。
Azure ADでログオンした後、Google Appsへリダイレクトされた際、以下のエラーが表示されます。
SAML Assertionの中身をトレースするとダブルバイト文字が入っていることがわかります。(SAML Tracerで見ると文字化けしてます)
対策としては、Google AppsはNameIdentifierさえあればシングルサインオンできるので、不要なAttribute Statementを消してしまえばOK、と思いきやAzure ADのSAML Assertionの編集画面で不要な属性を消しても、以下の属性が必ずAssertionに含まれてしまいます。
・tenantid
・objectidentifier
・identityprovider
・givenname
・surname
・name
・displayname
仕方がないので、日本語が入る可能性がある、givenname、surname、name、displayname属性にダミーの文字列を固定で入れてしまいます。
尚、displaynameについては初期状態の属性一覧には出ていないにも関わらず、Assertionの中を見ると値が飛んでいるので、属性定義を追加してから他の属性と同じくダミーの値を入れます。
ちなみに属性名は「http://schemas.microsoft.com/identity/claims/displayname」です。
必要な属性について編集を行い、保存します。以下が編集後の属性マッピング設定です。
これで実際のAssertionを見ると、ダミーのシングルバイト文字列がAssertionに含まれるようになり、エラーが出ることは無くなりました。
◆ログアウトするとエラーになる
シングルサインオンは良いのですが、Google AppsからログアウトするとAzure ADのサインアウト画面でエラーが出る、というケースがあります。こんな画面が出ます。正しいSAMLプロトコル・メッセージではないというエラーが出ています。
これは、Azure ADがSAML2.0のシングルログアウトに対応していないにも関わらず、Azure ADがGoogle AppsのログアウトURLにSAMLのエンドポイントを設定していたことが原因です。(ws-federationのサインアウト設定を行う必要があります)
ちなみに、現在はこの問題は解決されているので、新規にシングルサインオン設定を行うとちゃんとws-federationのエンドポイントが設定されます。
以前の設定(エラーが出る):https://login.windows.net/{テナントID}/saml2
現在の設定(エラーは出ない):https://login.windows.net/common/wsfederation?wa=wsignout1.0
現在は、以下のようにちゃんとサインアウトできます。
このようにアプリケーションとのシングルサインオン設定はたまに更新されるので、定期的に設定を見直しておいた方が良いかもしれません。
ちなみに余談ですが、同一テナント上に複数のドメインが設定されており、かつフェデレーション・ドメインが含まれるケースにおいてはシングルログアウトの際に、全IdPのセッションをクリアしに行きます。
そのため、サインアウト時にIdPが落ちていたりして疎通できないと、うまくセッションがクリアできませんので、注意が必要です。(そのドメイン上のユーザかどうかに関係なく必ずセッション・クリアに行ってしまいます)
こんな感じで、落ちているIdPへもアクセスしようとしてエラーが出ます。
このように、Azure ADを使うと、かなり簡単にクラウド・アプリケーションとのシングルサインオン設定を行うことが可能ですが、トラブル時に対応するためにはID連携プロトコルの中身について少し知っておくと非常に有用です。
0 件のコメント:
コメントを投稿