概要
Google WorkspaceをIdPとして設定、サービス側からアクセス(SP-initiated)した場合のURLが分からず、少し調べたので記録しておきます。
どういうことか
具体的には下記のようなことです。
- あるサービスで、認証部分をGoogle WorkspaceのIdPへ任せる設定にしている
- Googleのアプリケーションランチャーからサービスへアクセスすると正しく利用できる(IdP-initiated)
- Googleへログインしていない状態でサービスへアクセスした場合はそのままでは利用できないので、Googleのログイン画面へ遷移し、ログイン後、サービスへ戻ってきて欲しい(SP-initiated)
一般的なフローだと思いますが、上記 3 のケースでアクセスすべきURLが分からないので何とかした、という内容です
Google Workspace SAMアプリケーションのSSO設定
設定ページに表示されるURLとしては [SSO の URL] がありますが、このURLアクセスしても目的は達成できません。
SSOエントリポイントURLの作り方
- 対象のウェブアプリページへアクセスします
- [メタデータをダウンロード] をクリックし、 [SSO の URL] 末尾の
idpid=xxxx部分をメモします(idpid)
- アドレスバーの末尾の数字をメモします(spid)
- 2つの値を下記のようににあてはめ、パラメータ付きURLを作成します
https://accounts.google.com/o/saml2/initsso?idpid=A123456&spid=1234567890
確認
作成したURLへアクセスしてGoogleログインページへリダイレクトされることを確認します。
アプリケーションの設定によると思いますが、一般的には正しくログインすると、設定したサービスへリダイレクトされます。
感想
Google Workspaceの管理画面に最初から表示してくれれば良いのに。と思いました。