外部IDP(SAML)連携のNameID設定

GMOトラスト・ログインチーム
  • 更新

本ページでは、外部IDP(SAML)連携におけるNameIDの設定について説明します。

NameIDとは、SAML認証においてIdP※がユーザーを識別するために送信する値です。
トラスト・ログインはこの値をもとに対応するメンバーアカウントを特定し、認証を完了します。

※Salesforce・Google Workspace・Entra IDなど、外部のSAML Identity Provider(IdP)
 

NameID フォーマット

概要: 
トラスト・ログインがIdPへ送信する認証リクエスト(AuthnRequest)に含まれる項目です。
IdPに「どの形式でNameIDを返してほしいか」を伝えるために使用します。
 

選択肢:

用途
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress IdPがメールアドレス形式でNameIDを返す場合に選択します。
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified IdPに形式を委ねる場合、または
IdPがメールアドレス以外の値(社員番号など)をNameIDとして送る場合に選択します。

接続先IdPのSAML設定を確認した上で選択してください。
 

注意: 
ここで指定した値はAuthnRequestへの希望形式としてのみ機能します。
実際にIdPから返されるNameIDの形式はIdP側の設定によって決まります。
設定後に認証がうまくいかない場合は、接続先IdPのSAML設定でNameID フォーマットの設定値を確認してください。


 

優先NameID属性

概要: 
IdPから受け取ったNameIDと照合するトラスト・ログイン内のメンバー属性を指定する項目です。
照合の優先順位を指定するために使用します。
 

選択肢:

照合の順序
メールアドレス ① メールアドレスと照合 → 一致しない場合 ② ログインIDと照合
ログインID ① ログインIDと照合 → 一致しない場合 ② メールアドレスと照合

いずれとも一致しない場合は認証失敗となります。
 

注意: 
メールアドレスとログインIDに同一の値が異なるメンバーに登録されている場合、優先NameID属性として
指定した属性のメンバーが優先して認証されます。
意図しないアカウントへの紐付けを防ぐため、運用に合わせて適切に指定してください。
 

※ログインIDは SSOプロプラン および SSOプロ+SaaS管理プラン でご利用可能です。料金はこちら 

 

大文字・小文字の区別

概要:
NameIDの照合時に大文字・小文字を区別するかどうかを指定する項目です。
IdPから送られるNameIDの表記揺れに対応するために使用します。デフォルトはオフです。

動作
オン 大文字・小文字を区別して照合します。
例:USER01user01 は別のユーザーとして扱われます。
オフ 大文字・小文字の違いを無視して照合します。
例:USER01user01 は同一ユーザーとして扱われます。


 

設定の組み合わせ例

NameID フォーマットはIdPへの形式の指定、優先NameID属性はトラスト・ログイン内での照合先の指定であり、2つは別のレイヤーで機能します。以下以外の組み合わせも設定可能です。

NameID フォーマット 優先NameID属性 想定するユースケース
emailAddress メールアドレス IdPがメールアドレスをNameIDとして送る従来の構成
unspecified ログインID IdPが社員番号などメールアドレス以外の値をNameIDとして送る構成

 

 

この記事は役に立ちましたか?

関連記事

  1. ホーム
  2. 外部IDP連携(SAML)
  3. 外部IDP(SAML)連携のNameID設定

外部IDP(SAML)連携のNameID設定

GMOトラスト・ログインチーム
  • 更新

本ページでは、外部IDP(SAML)連携におけるNameIDの設定について説明します。

NameIDとは、SAML認証においてIdP※がユーザーを識別するために送信する値です。
トラスト・ログインはこの値をもとに対応するメンバーアカウントを特定し、認証を完了します。

※Salesforce・Google Workspace・Entra IDなど、外部のSAML Identity Provider(IdP)
 

NameID フォーマット

概要: 
トラスト・ログインがIdPへ送信する認証リクエスト(AuthnRequest)に含まれる項目です。
IdPに「どの形式でNameIDを返してほしいか」を伝えるために使用します。
 

選択肢:

用途
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress IdPがメールアドレス形式でNameIDを返す場合に選択します。
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified IdPに形式を委ねる場合、または
IdPがメールアドレス以外の値(社員番号など)をNameIDとして送る場合に選択します。

接続先IdPのSAML設定を確認した上で選択してください。
 

注意: 
ここで指定した値はAuthnRequestへの希望形式としてのみ機能します。
実際にIdPから返されるNameIDの形式はIdP側の設定によって決まります。
設定後に認証がうまくいかない場合は、接続先IdPのSAML設定でNameID フォーマットの設定値を確認してください。


 

優先NameID属性

概要: 
IdPから受け取ったNameIDと照合するトラスト・ログイン内のメンバー属性を指定する項目です。
照合の優先順位を指定するために使用します。
 

選択肢:

照合の順序
メールアドレス ① メールアドレスと照合 → 一致しない場合 ② ログインIDと照合
ログインID ① ログインIDと照合 → 一致しない場合 ② メールアドレスと照合

いずれとも一致しない場合は認証失敗となります。
 

注意: 
メールアドレスとログインIDに同一の値が異なるメンバーに登録されている場合、優先NameID属性として
指定した属性のメンバーが優先して認証されます。
意図しないアカウントへの紐付けを防ぐため、運用に合わせて適切に指定してください。
 

※ログインIDは SSOプロプラン および SSOプロ+SaaS管理プラン でご利用可能です。料金はこちら 

 

大文字・小文字の区別

概要:
NameIDの照合時に大文字・小文字を区別するかどうかを指定する項目です。
IdPから送られるNameIDの表記揺れに対応するために使用します。デフォルトはオフです。

動作
オン 大文字・小文字を区別して照合します。
例:USER01user01 は別のユーザーとして扱われます。
オフ 大文字・小文字の違いを無視して照合します。
例:USER01user01 は同一ユーザーとして扱われます。


 

設定の組み合わせ例

NameID フォーマットはIdPへの形式の指定、優先NameID属性はトラスト・ログイン内での照合先の指定であり、2つは別のレイヤーで機能します。以下以外の組み合わせも設定可能です。

NameID フォーマット 優先NameID属性 想定するユースケース
emailAddress メールアドレス IdPがメールアドレスをNameIDとして送る従来の構成
unspecified ログインID IdPが社員番号などメールアドレス以外の値をNameIDとして送る構成

 

 

関連記事