1. はじめに

AMP for Endpoints Console(以下、Console) にて Single Sign-On(以下、SSO) を利用される際の注意点を事例を例に説明しております。
※ 本ドキュメントは、2019年01月16日の環境を元に作成しております。

2. SSO について

SSO(Accounts > Business > Features : Single Sign-On / Configure Single Sign-On) を有効にすることで、Console に
ログインする際に SSO でログインできるようになります。ただし、ログイン ID は、メールアドレス形式のみサポートとなります。

3. SSO 有効にする前に確認頂きたいこと

SSO を有効にする前には、かならず、Identity Provider Settings を読み込んだ後に表示される [Test] ボタンで問題がない("Test successful. You can safely enable SAML authentication")ことを確認した上で有効にしてください。

もし、[Test] ボタンで後述の 4. のような状況など、何か問題のある状況で有効にしてしまいますと Console にログインできなくなります。
※ 万が一、SSO を有効後にログインできない状況で、SSO を無効化されたい場合にはお手数ですが Japan TAC までお問い合わせください。SSO を有効化した状態で Standard Login でログインはできません。

4. 事例: [Test] 実行時に "The Assertion of the Response is not signed and the SP requires it" の結果となる場合

この場合、[Test] の結果のメッセージの通り、SP(Service Provider)、つまり、console は、IDP(ID provider) からのレスポンスに署名が必要であるという意味になります。まずは、IDP 側の設定を確認いただければと思います。

なお、この状況で、SSO を有効にしてしまいますと、ログイン時に "Invalid Account" といったエラーメッセージとなり調査が大変難しい状況となります。

[Test] で問題がない事を確認頂いた上で SSO を有効にして頂ますようお願いいたします。