■最小構成でちゃんと動かす
■samlプロトコルのシーケンスどおりHTTPリクエストやHTTPレスポンスになってるか確認する
■IDPinitiatedSAMLとSPinitiatedSAMLを試す
■IDPが発行する認証クッキー、SPが発行する認可クッキーを確認する
■SP(gsuite)から発行されるsamlリクエストの各xmlタグやパラメータを確認したり手動で変更して動きを見る
・samlリクエストはGETクエリの第一引数なので、URIデコード→base64デコード→xmlインフレートして取り出す
※編集して付け替えるときは上記の逆
・そもそもSP(gsuite)側とIDP(ADFS)側の設定は正しいのか?
■IDP(ADFS)から発行されるsamlレスポンスの各xmlタグやパラメータを確認したり手動で変更して動きを見る
・samlレスポンスはPOSTデータなので、ブラウザのアドインを使って手動変更する
・samlレスポンスにはxml署名が含まれているが署名検証できるかどうか確認する
・name IDやアサーションIDを変更してもgsuiteから認可が通るか?
・そもそもSP(gsuite)側とIDP(ADFS)側の設定は正しいのか?
■アイデンティティ管理技術解説ドラフトをよく読む
https://www.ipa.go.jp/files/000014270.pdf
■OASISのsaml2.0ドラフトをよく読む
http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html
■windows統合認証との連携を調べる
・PCがADFSから認証された場合、ADFSから認証クッキーが発行されるが、TGTも発行されるのか? されるように設定できるのか?
・PCがgsuiteから認可された場合、gsuiteから認可クッキーが発行されるが、STも発行されるのか? されるように設定できるのか?