[CentOS6][OpenAM10] SAML連携 - GoogleApps (mail)


Create: 2014/04/19
LastUpdate: 2014/04/20
≪ メニューに戻る

[CentOS6][OpenAM10] SAML連携 - GoogleApps (uid)」では、OpenAMのユーザIDでGoogleAppsにSSOしました。
ここでは、同じ環境を使用して、メールアドレスでGoogleAppsにSSOするように設定を変更します。
たとえば、OpenAMユーザのメールアドレスに設定された、"demo@blue21demo.com" で、GoogleAppsにSSOします。

1.OpenAMの設定


トラストサークルとIdP、GoogleAppsのSPは、「 [CentOS6][OpenAM10] SAML連携 - GoogleApps (uid)」で作成したものを使用するので、ここでは作成しません。
OpenAM管理画面 > [連携] > [エンティティプロバイダ(IDP)] をクリックして、IDPの設定を変更します。
[NameID値マップ] が "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=uid" となっているところを、uid ではなく mail に変更します。
この設定により、OpenAMにログインしたユーザのメールアドレスでSSOするようになります。



OpenAM管理画面 > [アクセス制御] > [レルム(test01)] > [対象(user01)] をクリックします。
テスト用ユーザ(user01)のメールアドレスに "demo@blue21demo.com" を設定します。



2.GoogleApps の設定


シングルサインオンの設定は変更しません。
テスト用のユーザとして、demo@blue21demo.com を作成します。
このユーザは、OpenAMユーザの user01 と紐付きます。



3.動作確認


"EXAMPLE\user01" ユーザでユーザ端末にログインします。
下図は、リモートデスクトップでログインする場合の例です。



WindowsDesktopSSOの設定をしているので、WindowsにログインしたユーザでOpenAMは認証済みになります。
ブラウザで以下のGoogleAppsのGmail にアクセスすると、OpenAMのログイン画面は表示されずに、GoogleApps に自動的にログインします。
  • https://mail.google.com/a/blue21demo.com
下図のように、GoogleAppsのログイン画面が表示されずに、GoogleAppsユーザ(demo@blue21demo.com)のログイン後の画面が表示されたらOKです。



LDAPのキャッシュが原因で設定変更が有効にならずに user01@blue21demo.com でSSOする場合があります。
その場合は、下図の OpenDJ の制御パネルを使って、user01 の赤枠で示したキャッシュデータを消去してカラにしてから、再度、SSOします。(環境によっては、OpenAMの再起動が必要です)