Question/Problem
Automation CloudをSAML連携して利用したいです。
IDプロバイダー側でメールアドレスを登録していないユーザーが存在し、SSOログインしようとすると以下エラーが発生します。
メールアドレスのないユーザーもSAML連携でログインできるようには、どうしたらいいですか?
Error
お使いの ID プロバイダーによって認証トークン内のメール アドレスが送信されませんでした。管理者に問い合わせて、ID プロバイダーを適切に設定してください。 (#236)
Your Identity Provider did not send your email address in your authentication token. Please contact your administrator and ensure the Identity Provider is properly configured. (#236)
Root Cause
Automation CloudのSAML連携設定ではユーザーを識別するためにEメールアドレスを使用するように設定した状態で、IDプロバイダーから送られてきたSAMLレスポンスの中に、期待していたEメールアドレスの情報が含まれていなかったことが原因です。
Resolution
メールアドレスが登録されていないユーザーに対する2つの対応方法を説明します。
方法1:IDプロバイダーでメールアドレスを登録する
-
IDプロバイダー側で全ユーザーにメールアドレスを登録します
-
実際のメールアドレスでなくても、UPN(User Principal Name)などを登録することも可能です
方法2:別の一意の識別子を使用する
-
Automation Cloudは、SAMLレスポンスの以下のフィールドをメールアドレスとして使用します
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress -
IDプロバイダー側で、メールアドレス以外の一意の識別子(既に全ユーザーに登録済みの値)をこのフィールド名で設定することで対応できます
注意事項
実際に受信可能なメールアドレス以外の値を設定した場合、アラートメールなどメール通知機能は利用できなくなります。