IdP である Google は、サービス プロバイダ(SP)を起点とするログインを実施する際のユーザーのログインを簡素化するために、ログインヒント パラメータをサポートしています。ログインヒントが存在する場合、Google 認証サーバーはヒントを使用して次の処理を行います。
- メール フィールドに事前入力する: 認証サーバーによってログイン フォームにメールアドレスが事前入力されるため、ユーザーの手間が省けます。
- 直接ログインを有効にする: ヒントに関連付けられているユーザーがすでに Google でアクティブなセッションを持っている場合、サーバーは自動的にログインし、シームレスなエクスペリエンスを提供します。
サービス プロバイダの要件
アプリがログインを試みるユーザーの ID を把握している場合は、SSO URL への HTTP リクエストにログインヒント パラメータ(login_hint)を含めることができます。login_hint の値は、次の例のようにユーザーの NameID にする必要があります。
https://accounts.google.com/o/saml2/idp?idpid=<customer_id>&login_hint=<email_id_of_the_user>
注: Google の SAML IdP は、AuthnRequest の Subject 要素に存在する可能性のある NameID を使用しません。代わりに login_hint を使用してください。
ログインヒントが使用された場合のログイン動作
以下の表に、SAML リクエストにログインヒント パラメータが存在する場合の Google へのユーザー ログインの違いを示します。
| ログイン済みユーザー | ログインヒントの値 | 動作 |
|---|---|---|
| なし | なし | ユーザーに通常の Google ログインページが表示されます。 |
| [email protected] | Google ログインページのメールアドレスに「[email protected]」が事前に入力されています。 | |
| [email protected] | なし | Google ログインページがバイパスされ、user1 はサービス プロバイダに直接ログインします。 |
| [email protected] | ||
| [email protected] | Google ログインページに「[email protected]」が自動的に入力されます。 | |
| [email protected] [email protected] |
なし | Google アカウント選択画面に、ログインしているすべてのユーザーが表示されます。 |
| [email protected] |
Google ログインページがバイパスされ、user1 はサービス プロバイダに直接ログインします。 |
|
| [email protected] | Google ログインページがバイパスされ、user2 はサービス プロバイダに直接ログインします。 | |
|
[email protected] |
[email protected] が事前入力された Google ログインページ。 |
