Googlw WorkspaceとAmazon BusinessのSAML連携を実施した際のメモ。

前提

環境

• Google Workspace Business standard
• Amazon Businessプライム
  Amazon側は言語設定「英語」を使用したため英語、日本語を併記

設定

Google側の設定①

Admin>アプリ>ウェブアプリとモバイルアクセス から

• アプリを追加>アプリを検索
  • Amazonアプリを選択
    
• IdPメタデータをダウンロードする
  

開いたまま、Amazon側の設定に移る

Amazon側の設定①

アカウント名のプルダウン>ビジネスアカウントの設定（Business settings）を選択

• システム連携(System integrations)>シングルサインオン(single Sign-On)(SSO) を選択
  

• IDプロバイダー（Identity Provider）(IDP)から「Google gSuite」を選択

• 新しいユーザーアカウントのデフォルト設定（New user account defaults）からデフォルトのグループ(Default Group)とデフォルトの役割（Default Role)を選択、設定。

• 接続データ（Connection data）にGoogleで取得したメタデータをアップロード
  

• アマゾン接続データ（Amazon connection data）からMetadata XML fileをダウンロード

Google側の設定②

• ACSのURL、Entity IDを入力

  • ACS URL：Amazon側に記載されている「IDPが開始したURL」を入力
  • Entity ID：https://www.amazon.co.jp
  • 開始URL：空白
    「署名付き応答」にチェックを入れる

• SAML属性のマッピング

Google	アプリ
Basic Information>First name	firstName
Basic Information>Last name	lastName
Basic Information>Primary email	user.email

• グループメンバーは任意

• 上記の設定で保存

Amazon側の設定②

• Attribute mappingを設定

Amazon data	SAML AttributeName
Unique ID	user.email
Email	user.email
First Name	firstName
Last Name	lastName

• テストを実施

  • SSO接続テストの項目に従ってテストを実施する
  • 成功すると、「接続テストは成功しました」と表示される
    

• 有効化

  • 接続テスト成功画面、またはSSO設定画面からActivate（アクティブ化）を押下し、SSOを有効化する

SSOの実施

- Googleのメニュー画面に追加されている
- メニューからAmazon Business（または設定した名称）のアイコンをクリックする

詰まったところ

Amazonの属性マッピングが反映されない（未解決）

属性マッピングに誤りがあったため、編集後に保存ボタンを押下しても反映されない事象があった。
日本語と英語を切り替えたり、翌日再度試すなどして解消したものの原因は不明。

Google側のSAML連携テストが失敗する、SSOができない

Amazon側のテストで成功してもgoogle側では失敗してしまう。
この状態でAmazon側でのSSO接続を有効化しても、アプリからのログインはできない。
ただし、ログイン画面でメールアドレスを入力するとパスワード入力を求められることなくログインができた。
Amazonサポートにご協力いただき、解消。Google側での対応事項として、

• エンティティIDの修正
  • amazon.co.jp/と、最後にスラッシュを入れていたのが余計だった
• 開始URLの修正
  • SSO用のアドレスを入力していたが、空白にした
• 「サービスプロバイダの詳細」に入力している内容を再度保存
  • 証明書情報の反映に時間がかかっている場合がある（24時間以上）ため、時間を置いてから再度保存する
  • 証明書を変更した際は、以前のものが残っている場合もあるため、保存ボタンを再度押下することで最新情報に上書きする