federated loginなアプリケーションをiframe内で認証も含めて展開しようとしたら、失敗した。googleが認証からのレスポンスヘッダに、X-Frame-Option: SAMEORIGINを入れているからのようだ。クリックジャッキング対策というものらしい。
X-FRAME-OPTIONS を用いたクリックジャッキング対策 - Main Log
http://kaba-blog.shall-systemservice.co.jp/20100909-310/
IE、Chrome、Firefoxでもこれが対応されている。Firebugで見るとレスポンスのボディが一切返らない。