Google をサービス プロバイダとしてシングル サインオン(SSO)を設定する方法は、組織のニーズに応じてさまざまあります。ご利用の IdP の設定が含まれる SSO のプロファイルを使用すると、組織内のさまざまなユーザーに異なる SSO 設定を柔軟に適用できます。
Google Workspace は、以下の SAML ベースと OIDC ベースの両方の SSO プロトコルをサポートしています。
すべてのユーザーが SAML を使用して 1 つの IdP 経由でログインする場合
- 組織の SSO プロファイルを構成するの手順で操作します。
- 一部のユーザーには SSO の使用を許可しない(直接 Google にログインしてもらう)ようにするには、SSO を使用するユーザーを決定するの手順で SSO プロファイルの割り当てを [なし] に設定します。
ユーザーが複数の IdP を使用する場合、または OIDC を使用する場合
IdP(SAML または OIDC)で使用されるプロトコルによって手順が異なります。
- SAML
- 各 IdP について、後述の SSO プロファイルの作成の手順を実施します。
- SSO を使用するユーザーを決定します。
- OIDC
- 組織の Azure AD テナントで次の OIDC の前提条件が設定されているかどうか確認します。
- Azure AD テナントではドメインの所有権の証明が必要です。
- エンドユーザーには Microsoft 365 ライセンスが必要です。
- SSO を使用するユーザーを決定するの手順に沿って、事前構成済みの OIDC プロファイルを選択した組織部門またはグループに割り当てます。
注: Google Cloud コマンドライン インターフェースは現在、OIDC を使用した再認証をサポートしていません。
- 組織の Azure AD テナントで次の OIDC の前提条件が設定されているかどうか確認します。
-
組織内(サブ組織など)に SSO を必要としないユーザーがいる場合も、割り当ての機能を使用して、それらのユーザーに対して SSO を無効にすることができます。
ユーザーがドメイン固有のサービスの URL を使用して Google サービス(https://mail.google.com/a/example.com など)にアクセスしている場合、SSO とこれらの URL をどのように連携させるかを管理することもできます。
始める前に
SAML の SSO プロファイルを設定するには、IdP のサポートチームに問い合わせるかドキュメントを参照して、次のような基本的な設定を行う必要があります。
- ログインページの URL: SSO URL や SAML 2.0 エンドポイント(HTTP)とも呼ばれているものです。ユーザーはこのページから IdP にログインします。
- ログアウト ページの URL: ユーザーが Google のアプリやサービスを閉じた後にアクセスするページの URL です。
- 証明書: ご利用の IdP が発行する X.509 の PEM 形式の証明書です。X.509 証明書の詳細については、SAML 鍵と確認用の証明書をご覧ください。
- パスワード変更用 URL: SSO ユーザーは Google のパスワード変更ページではなく、このページでパスワードを変更します。
組織に対して SSO プロファイルを設定する
SSO を使用するすべてのユーザーが 1 つの IdP を使用する場合は、このオプションを使用します。
-
-
管理コンソールでメニュー アイコン
[セキュリティ]
[認証]
- [組織向けのサードパーティの SSO プロファイル] で、[SSO プロファイルを追加] をクリックします。
- [サードパーティの ID プロバイダで SSO を設定する] チェックボックスをオンにします。
ご利用の IdP に関する次の情報を入力します。
- ご利用の IdP の [ログインページの URL] と [ログアウト ページの URL] を入力します。
注: すべての URL を入力する必要があります。また、その際は必ず HTTPS を使用してください(例: https://sso.example.com)。
- [証明書をアップロード] をクリックし、IdP から提供された X.509 証明書を選択してアップロードします。証明書の生成について詳しくは、SAML 鍵と確認用の証明書をご覧ください。
- Google からの SAML リクエストでドメイン固有の発行元を使用するかどうかを選択します。
IdP で SSO を使用しているドメインが複数ある場合は、ドメイン固有の発行元を使用して、SAML リクエストを発行する正しいドメインを特定します。
- オン - ドメイン固有の発行元 (google.com/a/example.com、example.com はメインの Google Workspace ドメイン名)が Google から送信されます。
- オフ: 標準の発行元である google.com が SAML リクエストで送信されます。
- (省略可)特定の IP アドレス範囲の一連のユーザーに SSO を適用するには、ネットワーク マスクを入力します。詳しくは、ネットワーク マッピングの結果をご覧ください。
注: 特定の組織部門またはグループに SSO プロファイルを割り当てることにより、部分的に SSO を設定することもできます。
- IdP の [パスワード変更用 URL] を入力します。ユーザーは、Google のパスワード変更ページではなく、この URL にアクセスしてパスワードを再設定します。
注: ここに URL を入力すると、組織で SSO を有効にしていなくても、ユーザーはこのページにリダイレクトされます。
すべてのユーザーに対して SSO を無効にする
組織部門またはグループの SSO プロファイルの割り当てを変更せずに、すべてのユーザーに対してサードパーティによる認証を無効にする必要がある場合は、サードパーティの SSO プロファイルを無効にしてください。
- [サードパーティの ID プロバイダで SSO を設定する] チェックボックスをオフにします。
- [保存] をクリックします。
SAML SSO プロファイルを作成する
サードパーティの SSO プロファイルを作成する手順は次のとおりです。組織で最大 1,000 件のプロファイルを作成できます。
-
-
管理コンソールでメニュー アイコン
- [サードパーティの SSO プロファイル] で、[SAML プロファイルを追加] をクリックします。
- プロファイルの名前を入力します。
- [ログインページの URL] と IdP から取得したその他の情報を入力します。
- IdP のパスワード変更用 URL を入力します。ユーザーは、Google のパスワード変更ページではなく、この URL にアクセスしてパスワードを再設定します。
- [証明書をアップロード] をクリックし、証明書ファイルを選択してアップロードします。証明書の生成について詳しくは、SAML 鍵と確認用の証明書をご覧ください。
- [保存] をクリックします。
- [サービス プロバイダの詳細] で、[エンティティ ID] と [ACS の URL] をコピーして保存します。これらの値は、IdP 管理コントロール パネルで Google での SSO を設定するときに必要になります。
- (省略可)IdP がアサーションの暗号化をサポートしている場合は、証明書を生成して IdP と共有することで、暗号化を有効にできます。各 SAML SSO プロファイルには最大 2 つの SP 証明書を設定できます。
- [SP の詳細] セクションをクリックして、編集モードに入ります。
- [SP 証明書] で [証明書を生成] をクリックします(証明書は保存後に表示されます)。
- [保存] をクリックします。証明書の名前、有効期限、内容が表示されます。
- 証明書の上にあるボタンを使用して、証明書の内容をコピーするかファイルとしてダウンロードし、その証明書を IdP と共有します。
- (省略可)証明書をローテーションする必要がある場合は、[SP の詳細] に戻って [別の証明書を生成] をクリックし、新しい証明書を IdP と共有します。IdP で新しい証明書が使用されていることを確認したら、元の証明書を削除できます。
SSO を使用するユーザーを指定する
SSO プロファイルとそれに関連付けられた IdP を割り当て、組織部門またはグループに対して SSO をオンにします。または、SSO プロファイルに「なし」を割り当てて、SSO を無効にします。組織部門またはグループ内で SSO ポリシーを混合して適用することもできます。たとえば、組織部門全体に対して SSO をオンにしてから、下位組織部門に対して SSO をオフにすることができます。
- [SSO プロファイルの割り当ての管理] をクリックします。
- SSO プロファイルを初めて割り当てる場合は、[使ってみる] をクリックします。それ以外の場合は、[管理] をクリックします。
- 左側で、SSO プロファイルを割り当てる組織部門またはグループを選択します。
- 組織部門またはグループの SSO プロファイルの割り当てがドメイン全体のプロファイル割り当てと異なる場合、その組織部門またはグループを選択するとオーバーライドに関する警告が表示されます。
- ユーザーごとに SSO プロファイルを割り当てることはできませんが、[ユーザー] ビューで特定のユーザーの設定を確認することはできます。
- 選択した組織部門またはグループに対し、[SSO プロファイルの割り当て] を選択します。
- 組織部門またはグループを SSO から除外するには、[なし] を選択します。この設定が行われた組織部門またはグループ内のユーザーは、Google で直接ログインできるようになります。
- 組織部門またはグループに別の IdP を割り当てるには、[別の SSO プロファイル] を選択し、プルダウン リストから SSO プロファイルを選択します。
- (SAML SSO プロファイルのみ)SAML プロファイルを選択したら、最初に SSO プロファイルのサードパーティの IdP にログインせずに Google サービスに直接アクセスするユーザー向けのログイン オプションを選択します。ユーザーに Google ユーザー名を入力するよう求めて IdP にリダイレクトするか、ユーザーに Google ユーザー名とパスワードの入力を要求します。
注: ユーザーに Google のユーザー名とパスワードの入力を要求する場合は、この SAML SSO プロファイルの [パスワード変更用 URL] 設定([SSO プロファイル] > [IDP の詳細] で確認できます)は無視されます。これにより、ユーザーは必要に応じて自分の Google パスワードを変更できるようになります。
- (Microsoft OIDC SSO プロファイルのみ)Microsoft アカウントのパスワードを入力し、[ログイン] をクリックして Microsoft SSO の構成を確認します。
Azure AD 組織の管理者は、組織を代表して同意することができます。この場合、エンドユーザーには OAuth への同意を求めるメッセージは表示されません。
- [保存] をクリックします。
- 必要に応じて、SSO プロファイルを他の組織部門またはグループに割り当てます。
[SSO プロファイルの割り当ての管理] カードを閉じると、[SSO プロファイルの割り当ての管理] に、組織部門とグループに対する更新済みの割り当てが表示されます。
SSO プロファイルの割り当てリストから割り当てを削除する
- グループ名または組織部門名をクリックして、プロファイルの割り当て設定を開きます。
- 既存の割り当て設定を親組織部門の設定に置き換えます。
- 組織部門の割り当てについては、[継承] をクリックします。
- グループの割り当ての場合は、[設定解除] をクリックします。
- ルート組織部門の割り当てで、組織でサードパーティの SSO プロファイルを使用する場合は、割り当てを [なし](または [組織のサードパーティの SSO プロファイル])に設定します。
ドメイン固有のサービス URL を管理する
[ドメイン固有のサービス URL] 設定では、ユーザーが https://mail.google.com/a/example.com などのサービス URL を使用してログインしたときの動作を制御できます。次の 2 つのオプションがあります。
- ユーザーをサードパーティ IdP にリダイレクトする。SSO プロファイルのプルダウン リストで選択したサードパーティの IdP にユーザーを常にリダイレクトするには、このオプションを選択します。組織向けの SSO プロファイルまたは追加済みの別のサードパーティのプロファイル(追加してある場合)を使用できます。
重要: SSO を使用していない組織部門またはグループがある場合は、この設定を選択しないでください。SSO を使用していないユーザーが自動的に IdP にリダイレクトされ、ログインできなくなります。
- 最初にユーザーに Google のログインページでのユーザー名の入力を要求する。このオプションを使用すると、ドメイン固有の URL を入力したユーザーはまず Google ログインページにリダイレクトされます。これらのユーザーが SSO を使用している場合、IdP ログインページにリダイレクトされます。
