【Google Workspace】Google WorkspaceのSSO設定後にSAMLエラーが出る時の属性確認

Google WorkspaceでSSO(シングルサインオン)を導入した後に、SAMLエラーが発生して認証に失敗するケースは少なくありません。エラーメッセージだけでは原因が特定しづらく、特に属性マッピングの設定ミスが背景にあることが多く見られます。この記事では、SAMLエラーが起こった際に確認すべき属性の設定項目や、原因を切り分けるための実践的な手順を解説します。管理者の方だけでなく、IdP連携を担当するIT部門の皆様にも役立つ内容です。

SSO設定とSAMLエラーの関係

Google WorkspaceのSSOは、SAML 2.0プロトコルを使用して外部IdPと連携します。認証が成功するためには、IdPがGoogle Workspaceに対して、ユーザーを一意に特定できる属性(通常はメールアドレス)を正しい形式で送信する必要があります。SAMLエラーは、この属性が期待通りに渡されない場合に発生します。エラー画面には「SAMLレスポンスが無効です」「属性xxxxが見つかりません」といったメッセージが表示されることが多く、属性名や値の不一致が原因です。

SAMLエラーの原因を切り分ける

SAMLエラーの原因を切り分けるには、まずエラーが出るタイミングを確認します。認証画面でIdPにリダイレクトされる前なのか、IdPから戻ってきた直後なのか、それともGoogle Workspace側でユーザーが見つからないというエラーなのか。これらの情報から、問題がIdP側・Google Workspace側・通信経路のいずれにあるのかを絞り込めます。特に属性マッピングが原因の場合は、Google Workspaceのログ(管理コンソールの「レポート」→「監査」)に詳細なエラーが記録されることがあります。

一般的な原因として、次の3つが考えられます。

• 属性名の不一致: Google Workspaceが期待する属性名(例:emailやmail)と、IdPが送信する属性名(例:EmailAddress)が異なる。
• 属性値のフォーマット違い: メールアドレスの場合、user@example.comの形式でなければならないが、IdPがuserだけを送信している場合など。
• 必須属性が欠落: Google Workspaceが要求する属性(例:primaryEmail)がSAMLアサーションに含まれていない。

属性マッピングの確認手順

実際に属性マッピングを確認する手順を説明します。以下の操作はGoogle Workspaceの管理者アカウントで行ってください。

1. Google管理コンソール(admin.google.com)に管理者アカウントでログインします。
2. 左側のメニューから「セキュリティ」→「認証」→「シングルサインオン(SSO)」を開きます。
3. 「SSOプロファイル」のセクションで、現在有効なIdPの設定を確認します。ここに「属性マッピング」という項目があります。
4. 属性マッピングの一覧を確認します。デフォルトでは、プライマリメールアドレス が mail または email という属性名でマッピングされているはずです。実際にIdPから送信される属性名と照らし合わせてください。
5. 必要に応じて「属性マッピングを追加」から新しいマッピングルールを追加します。ただし、設定を変更する前に、必ずIdP管理者に連絡して正しい属性名と値を確認してください。
6. 設定を保存した後、テストユーザーでSSO認証を試し、エラーが出ないか確認します。エラーが続く場合は、さらにIdP側のSAMLレスポンスをデバッグします。

具体的な属性設定例とトラブルシューティング

属性マッピングの設定例として、よく使われる属性を以下の表にまとめました。自社のIdPと照らし合わせて確認してください。

トラブルシューティングの際には、IdP側でSAMLトレーサーやデバッグツールを使って実際に送信されているアサーション内容を確認することをおすすめします。ChromeのSAML Decoder拡張機能や、IdPが提供するSAMLログを活用すると、属性名と値を正確に把握できます。

失敗パターンと対策

実際に現場で発生しやすい失敗パターンをいくつか紹介します。

• 属性名の大文字小文字の違い: IdPが EmailAddress で送信しているのに、Google Workspace側が email を期待しているケース。SAMLの属性名は通常大文字小文字を区別するため、IdP側で属性名を一致させるか、Google Workspace側のマッピングをIdPに合わせる必要があります。
• 値にドメインが含まれていない: メールアドレスのローカル部分だけ(例:user)を送信していると、Google Workspaceはユーザーを特定できません。必ず完全なメールアドレス形式(user@example.com)で送るようにIdPの設定を変更してください。
• 複数属性のマッピング不足: Google Workspaceで複数の属性(プライマリメールとユーザーIDなど)を要求しているにもかかわらず、IdPが一方しか送信していない場合。この場合、エラーは「属性が見つかりません」と表示されます。Google管理コンソールの「属性マッピング」で必須属性を確認し、IdPに追加を依頼します。

管理者に確認すべき情報

SAMLエラーが発生した場合、Google Workspace管理者からIdP管理者に以下の情報を伝えるとスムーズに解決できます。

• Google Workspace側で設定している属性マッピングの一覧(属性名と期待する値のフォーマット)
• 実際のSAMLレスポンスのサンプル(Base64デコード後のXML)
• エラー発生時のタイムスタンプとユーザー情報

IdP管理者は、これらの情報をもとに属性名の修正や値のフォーマット変更を行えます。また、IdP側でSAMLアサーションに含める属性を調整する場合、影響範囲を確認してから変更を実施してください。

よくある質問

Q1: SSO設定後、特定のユーザーだけSAMLエラーになります。どうすればよいですか?

A: そのユーザーのGoogle Workspaceアカウントに、IdPから送信される属性値と一致する情報が登録されているか確認してください。例えば、メールアドレスがIdP側と異なる場合や、ユーザーID属性が存在しない場合があります。IdP側でユーザーごとに属性値が正しく設定されているかも併せて確認します。

Q2: 属性マッピングを変更したら、既存のユーザーの認証に影響しますか?

A: 基本的に、マッピングを変更しても既存のユーザーデータには影響しません。ただし、認証時に使用する属性を変更した場合、ユーザーが以前と同じIdPアカウントでログインできなくなる可能性があります。変更前に必ずテストユーザーで動作確認を行ってください。

Q3: SAMLエラー時に、Google Workspaceの監査ログで確認できる情報はありますか?

A: はい。管理コンソールの「レポート」→「監査」→「ログイン」で、認証失敗の記録を確認できます。詳細情報として「SAMLレスポンスの検証に失敗しました」のようなメッセージとともに、不足している属性名が表示されることがあります。この情報を元に原因を特定してください。

まとめ

Google WorkspaceのSSO設定後にSAMLエラーが発生した場合、属性マッピングの確認は最初に行うべき作業です。IdPとGoogle Workspaceの間で属性名と値の形式を一致させることで、ほとんどの問題は解決します。エラーログやSAMLレスポンスのデバッグを活用し、IdP管理者と連携しながら原因を特定してください。属性マッピングの設定は一度正しく行えば安定動作するため、初期導入時の確認を徹底することが重要です。