Google で SAML SSO を IdP として使用する場合、一部のサービス プロバイダ アプリケーションでは、ユーザーのグループ メンバーシップ情報を SAML レスポンスに含める必要があります。
属性のマッピング ページでグループ メンバーシップ情報を追加できます。この情報は、統合対応 SAML アプリまたはカスタム SAML アプリの設定時に使用できます。
注意が必要なルール
- SAML レスポンスに含めることができるグループ名の数は 75 に制限されています。
- (管理コンソールまたは管理 API で)グループ名を変更した場合は、新しいグループ名が SAML レスポンスで送信されるよう、[グループメンバー] フィールドに再度入力する必要があります。
マッピングの例
特定のユーザーの SAML レスポンスで送信されるグループ メンバー情報の情報は、ユーザーのグループ メンバーシップのほか、ドメインのグループ構造(グループのネスト方法など)によって異なります。
たとえば、Group-1 と Group-2 というグループ名が、設定中に次のように [グループ メンバー] 欄に入力されたとします。
Group-1 と Group-2 が設定グループの場合、グループ メンバーシップのシナリオによって結果がどのように変化するかを以下に示します。
| ユーザーが以下に含まれる場合: | SAML レスポンスから送信される情報: |
|---|---|
| 50 グループ(Group-1 は含まれるが Group-2 は含まれない) | Group-1 |
| Group-2。Group-2 は Group-1 の一部 | Group-1 と Group-2 |
| Group-3。Group-3 は Group-1 の一部 | Group-1 |
| Group 1 と Group 2。Group-2 は Group-1 のメンバー | Group-1 と Group-2 |