この記事は、
- Gluegent Gateで新たにSAML連携や属性送信設定を検討している管理者の方
- サービスプロバイダー(SP)側でのアクセス制御設計や設定負荷を事前に把握したい方
- 認証基盤とアクセス制御の役割分担方針を整理したい方
を主な対象として記載しています。
Q. ユーザーが複数のグループに所属している場合、SAML連携で送信するグループ情報を特定の条件で絞り込み、一部のグループだけを送信することはできますか?
A. 現在の Gluegent Gate の仕様では、ユーザーが所属するグループの中から、SAML属性として送信するグループを動的な条件で自動的にフィルタリング(絞り込み)する機能は提供しておりません。
シングルサインオン設定で「ユーザーグループ」を送信属性として有効にすると、認証時に所属しているすべてのグループ情報がSAMLレスポンスに含まれます。
「送信する属性(固定値)」機能に関するご注意
条件指定による送信グループの個別設定も可能に見えますが、同じ属性名に複数の条件が一致した場合、最後に一致した値のみが送信されます。そのため、複数グループを意図通り同時に送信することはできません。
推奨構成:SP側でのアクセス制御
SAML連携では以下の役割分担が一般的です。
- IdP(Gluegent Gate):ユーザー認証を行い、所属する全グループ情報をSPに送信
- SP:受け取った属性に基づいてアクセス可否を制御
この構成により、IdP側設定をシンプルに保ちながら、SPごとに柔軟なポリシー制御が可能です。
SP側での具体的な設定方法は、ご利用のSPの公式ドキュメントをご参照いただくか、提供元にお問い合わせください。