<p>Googlw WorkspaceとAmazon BusinessのSAML連携を実施した際のメモ。</p>
<h1 id="%E5%89%8D%E6%8F%90">
<a class="header-anchor-link" href="#%E5%89%8D%E6%8F%90" aria-hidden="true"></a> 前提</h1>
<h2 id="%E7%92%B0%E5%A2%83">
<a class="header-anchor-link" href="#%E7%92%B0%E5%A2%83" aria-hidden="true"></a> 環境</h2>
<ul>
<li>Google Workspace Business standard</li>
<li>Amazon Businessプライム<br>
Amazon側は言語設定「英語」を使用したため英語、日本語を併記</li>
</ul>
<h1 id="%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> 設定</h1>
<h2 id="google%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A%E2%91%A0">
<a class="header-anchor-link" href="#google%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A%E2%91%A0" aria-hidden="true"></a> Google側の設定①</h2>
<p>Admin&gt;アプリ&gt;ウェブアプリとモバイルアクセス から</p>
<ul>
<li>アプリを追加&gt;アプリを検索
<ul>
<li>Amazonアプリを選択<br>
<img src="https://storage.googleapis.com/zenn-user-upload/11b626a3522c-20220805.png" alt loading="lazy" class="md-img">
</li>
</ul>
</li>
<li>IdPメタデータをダウンロードする<br>
<img src="https://storage.googleapis.com/zenn-user-upload/0375dc299c3b-20220805.png" alt loading="lazy" class="md-img">
</li>
</ul>
<p>開いたまま、Amazon側の設定に移る</p>
<h2 id="amazon%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A%E2%91%A0">
<a class="header-anchor-link" href="#amazon%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A%E2%91%A0" aria-hidden="true"></a> Amazon側の設定①</h2>
<p>アカウント名のプルダウン&gt;ビジネスアカウントの設定（Business settings）を選択<br>
<img src="https://storage.googleapis.com/zenn-user-upload/c227156a3177-20220805.png" alt loading="lazy" class="md-img"></p>
<ul>
<li>
<p>システム連携(System integrations)&gt;シングルサインオン(single Sign-On)(SSO) を選択<br>
<img src="https://storage.googleapis.com/zenn-user-upload/328ad3c7b669-20220805.png" alt loading="lazy" class="md-img"></p>
</li>
<li>
<p>IDプロバイダー（Identity Provider）(IDP)から「Google gSuite」を選択</p>
</li>
<li>
<p>新しいユーザーアカウントのデフォルト設定（New user account defaults）からデフォルトのグループ(Default Group)とデフォルトの役割（Default Role)を選択、設定。</p>
</li>
<li>
<p>接続データ（Connection data）にGoogleで取得したメタデータをアップロード<br>
<img src="https://storage.googleapis.com/zenn-user-upload/8f4bfb3c9e64-20220805.png" alt loading="lazy" class="md-img"></p>
</li>
<li>
<p>アマゾン接続データ（Amazon connection data）からMetadata XML fileをダウンロード</p>
</li>
</ul>
<h2 id="google%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A%E2%91%A1">
<a class="header-anchor-link" href="#google%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A%E2%91%A1" aria-hidden="true"></a> Google側の設定②</h2>
<ul>
<li>
<p>ACSのURL、Entity IDを入力</p>
<ul>
<li>ACS URL：Amazon側に記載されている「IDPが開始したURL」を入力</li>
<li>Entity ID：<a href="https://www.amazon.co.jp" target="_blank" rel="nofollow noopener noreferrer">https://www.amazon.co.jp</a>
</li>
<li>開始URL：空白<br>
「署名付き応答」にチェックを入れる</li>
</ul>
</li>
<li>
<p>SAML属性のマッピング</p>
</li>
</ul>
<table>
<thead>
<tr>
<th>Google</th>
<th>アプリ</th>
</tr>
</thead>
<tbody>
<tr>
<td>Basic Information&gt;First name</td>
<td>firstName</td>
</tr>
<tr>
<td>Basic Information&gt;Last name</td>
<td>lastName</td>
</tr>
<tr>
<td>Basic Information&gt;Primary email</td>
<td>user.email</td>
</tr>
</tbody>
</table>
<p><img src="https://storage.googleapis.com/zenn-user-upload/55383f720c82-20220805.png" alt loading="lazy" class="md-img"></p>
<ul>
<li>
<p>グループメンバーは任意</p>
</li>
<li>
<p>上記の設定で保存</p>
</li>
</ul>
<h2 id="amazon%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A%E2%91%A1">
<a class="header-anchor-link" href="#amazon%E5%81%B4%E3%81%AE%E8%A8%AD%E5%AE%9A%E2%91%A1" aria-hidden="true"></a> Amazon側の設定②</h2>
<ul>
<li>Attribute mappingを設定</li>
</ul>
<table>
<thead>
<tr>
<th>Amazon data</th>
<th>SAML AttributeName</th>
</tr>
</thead>
<tbody>
<tr>
<td>Unique ID</td>
<td>user.email</td>
</tr>
<tr>
<td>Email</td>
<td>user.email</td>
</tr>
<tr>
<td>First Name</td>
<td>firstName</td>
</tr>
<tr>
<td>Last Name</td>
<td>lastName</td>
</tr>
</tbody>
</table>
<p><img src="https://storage.googleapis.com/zenn-user-upload/943fe50403c4-20220805.png" alt loading="lazy" class="md-img"></p>
<ul>
<li>
<p>テストを実施</p>
<ul>
<li>SSO接続テストの項目に従ってテストを実施する</li>
<li>成功すると、「接続テストは成功しました」と表示される<br>
<img src="https://storage.googleapis.com/zenn-user-upload/51eee71bd939-20220809.png" alt loading="lazy" class="md-img">
</li>
</ul>
</li>
<li>
<p>有効化</p>
<ul>
<li>接続テスト成功画面、またはSSO設定画面からActivate（アクティブ化）を押下し、SSOを有効化する</li>
</ul>
</li>
</ul>
<h2 id="sso%E3%81%AE%E5%AE%9F%E6%96%BD">
<a class="header-anchor-link" href="#sso%E3%81%AE%E5%AE%9F%E6%96%BD" aria-hidden="true"></a> SSOの実施</h2>
<pre><code>- Googleのメニュー画面に追加されている
- メニューからAmazon Business（または設定した名称）のアイコンをクリックする
</code></pre>
<p><img src="https://storage.googleapis.com/zenn-user-upload/7929b18ef27b-20220809.png" alt loading="lazy" class="md-img"></p>
<h1 id="%E8%A9%B0%E3%81%BE%E3%81%A3%E3%81%9F%E3%81%A8%E3%81%93%E3%82%8D">
<a class="header-anchor-link" href="#%E8%A9%B0%E3%81%BE%E3%81%A3%E3%81%9F%E3%81%A8%E3%81%93%E3%82%8D" aria-hidden="true"></a> 詰まったところ</h1>
<h2 id="amazon%E3%81%AE%E5%B1%9E%E6%80%A7%E3%83%9E%E3%83%83%E3%83%94%E3%83%B3%E3%82%B0%E3%81%8C%E5%8F%8D%E6%98%A0%E3%81%95%E3%82%8C%E3%81%AA%E3%81%84%EF%BC%88%E6%9C%AA%E8%A7%A3%E6%B1%BA%EF%BC%89">
<a class="header-anchor-link" href="#amazon%E3%81%AE%E5%B1%9E%E6%80%A7%E3%83%9E%E3%83%83%E3%83%94%E3%83%B3%E3%82%B0%E3%81%8C%E5%8F%8D%E6%98%A0%E3%81%95%E3%82%8C%E3%81%AA%E3%81%84%EF%BC%88%E6%9C%AA%E8%A7%A3%E6%B1%BA%EF%BC%89" aria-hidden="true"></a> Amazonの属性マッピングが反映されない（未解決）</h2>
<p>属性マッピングに誤りがあったため、編集後に保存ボタンを押下しても反映されない事象があった。<br>
日本語と英語を切り替えたり、翌日再度試すなどして解消したものの原因は不明。</p>
<h2 id="google%E5%81%B4%E3%81%AEsaml%E9%80%A3%E6%90%BA%E3%83%86%E3%82%B9%E3%83%88%E3%81%8C%E5%A4%B1%E6%95%97%E3%81%99%E3%82%8B%E3%80%81sso%E3%81%8C%E3%81%A7%E3%81%8D%E3%81%AA%E3%81%84">
<a class="header-anchor-link" href="#google%E5%81%B4%E3%81%AEsaml%E9%80%A3%E6%90%BA%E3%83%86%E3%82%B9%E3%83%88%E3%81%8C%E5%A4%B1%E6%95%97%E3%81%99%E3%82%8B%E3%80%81sso%E3%81%8C%E3%81%A7%E3%81%8D%E3%81%AA%E3%81%84" aria-hidden="true"></a> Google側のSAML連携テストが失敗する、SSOができない</h2>
<p>Amazon側のテストで成功してもgoogle側では失敗してしまう。<br>
この状態でAmazon側でのSSO接続を有効化しても、アプリからのログインはできない。<br>
ただし、ログイン画面でメールアドレスを入力するとパスワード入力を求められることなくログインができた。<br>
Amazonサポートにご協力いただき、解消。Google側での対応事項として、</p>
<ul>
<li>エンティティIDの修正
<ul>
<li>amazon.co.jp/と、最後にスラッシュを入れていたのが余計だった</li>
</ul>
</li>
<li>開始URLの修正
<ul>
<li>SSO用のアドレスを入力していたが、空白にした</li>
</ul>
</li>
<li>「サービスプロバイダの詳細」に入力している内容を再度保存
<ul>
<li>証明書情報の反映に時間がかかっている場合がある（24時間以上）ため、時間を置いてから再度保存する</li>
<li>証明書を変更した際は、以前のものが残っている場合もあるため、保存ボタンを再度押下することで最新情報に上書きする</li>
</ul>
</li>
</ul>


Google WorkspaceとAmazon BusinessのSAML連携

Amazonの属性マッピングが反映されない（未解決）

Google側のSAML連携テストが失敗する、SSOができない

Discussion