SAML SPテスト | IdP連携確認・metadata設定・AuthnRequest検証

最初の手順

1. 外部 IdP の metadata を登録する
2. この環境の SP metadata を相手 IdP に設定する
3. SP テスト画面からログインし、返却された属性を確認する

このページで使う URL

Metadata

https://sp.samltest.kmmr.jp/metadata/

ACS

https://sp.samltest.kmmr.jp/acs/

SLO

https://sp.samltest.kmmr.jp/slo/

SP テストで調整できる項目

• ログイン / ログアウトの Binding を、保存済み metadata にある endpoint から切り替えられます。
• RequestedAuthnContext と Comparison、ForceAuthn、isPassive を指定できます。
• NameIDPolicy の送信有無、Format、AllowCreate を指定できます。
• Scoping の IDPList、AudienceRestriction、AuthnRequest 署名の有無を確認できます。

SP テストで確認できる結果

• 認証後の接続先 IdP、NameID、NameID Format、SessionIndex を表示します。
• 受信した属性を名前と値の一覧で確認できます。
• SAML Response の解析結果、署名検証結果、必要時は復号後の内容も確認できます。
• ログアウト時は SP ローカルログアウトと、相手 IdP の SLO endpoint 利用有無を切り分けて確認できます。

この SP テストガイドを使う場面

Azure AD / Entra ID、Okta、Keycloak、SimpleSAMLphp などの外部 IdP と連携し、このサイトを SP として SAML ログインを確認したいときに使います。ACS や EntityID の設定、AuthnRequest の送信条件、返却属性の確認が主目的です。

SP テスト前のチェックリスト

• 相手 IdP の metadata XML または metadata URL を取得する。
• この環境の SP metadata を相手 IdP に設定できる状態にする。
• EntityID、ACS URL、SLO URL、署名証明書の取り扱いを確認する。
• NameID Format、必要な属性、AuthnRequest 署名要否を整理しておく。

SP テストで詰まりやすいポイント

• ACS URL の登録先が誤っていて、認証後に正しい画面へ戻らない。
• IdP 側が署名付き AuthnRequest を必須としているのに、署名設定が無効になっている。
• NameIDPolicy や RequestedAuthnContext が厳しすぎて、想定外の拒否になる。
• EntityID や証明書が古い metadata のままで、署名検証または trust 判定に失敗する。

次に見るページ

SP テストの入口や、逆方向の SAML IdP テストもあわせて確認できます。