SAML を使用した SSO
シングル サインオン(SSO)を利用すると、ユーザーは管理対象の Google アカウントの認証情報を使って企業向けのすべてのクラウド アプリケーションにログインできます。Google は 200 を超える一般的なクラウドアプリと事前統合された SSO を提供しています。
事前統合済みのカタログに含まれていないカスタムアプリで SAML ベースの SSO を設定するには、次の手順を行います。
カスタム SAML アプリを設定する
手順 1: カスタム SAML アプリを追加する-
-
管理コンソールで、メニュー アイコン
[アプリ]
[ウェブアプリとモバイルアプリ] にアクセスします。
- [アプリを追加]
[カスタム SAML アプリを追加] をクリックします。
アプリ名を入力して、アプリのアイコンをアップロードします(省略可)。アプリアイコンは、[ウェブアプリとモバイルアプリ] のリスト、アプリの設定ページ、アプリ ランチャーに表示されます。アイコンをアップロードしなかった場合は、アプリ名の最初の 2 文字を使用してアイコンが作成されます。 - [続行] をクリックします。
- [Google ID プロバイダの詳細] ページで、サービス プロバイダで必要となる設定情報を次のいずれかの方法で取得します。
- IdP メタデータをダウンロードします。
- [SSO の URL] と [エンティティ ID] の値をコピーし、証明書(または必要であれば SHA-256 フィンガープリント)をダウンロードします。
- (省略可)適切な SSO 設定ページに情報を入力するには、別のブラウザタブまたはウィンドウでサービス プロバイダにログインし、手順 5 でコピーした情報を入力してから管理コンソールに戻ります。
- [続行] をクリックします。
- フィールドの値については、サービス プロバイダにお問い合わせください。[サービス プロバイダの詳細] ウィンドウで、次のように入力します。
- ACS の URL - サービス プロバイダの Assertion Consumer Service URL が SAML レスポンスを受信します。https:// で始まる必要があります。
- エンティティ ID - グローバルに一意の名前です。
- 開始 URL - (省略可)SAML リクエストの RelayState パラメータを設定します。このパラメータには、認証後にリダイレクトする URL を指定できます。
- (省略可)サービス プロバイダで SAML 認証応答全体の署名が必要なことを示すには、[署名付きレスポンス] チェックボックスをオンにします。このチェックボックスがオフの場合(デフォルト)、応答内のアサーションにのみ署名が付きます。
- (省略可)カスタム SAML アプリの [名前 ID] の形式と [名前 ID] の値を設定します。デフォルトの [名前 ID] はメインのメールアドレスです。
ヒント: SAML アプリの一覧にある設定に関する記事で、一覧内のアプリに必要な名前 ID マッピングを確認します。管理コンソールまたは Google Admin SDK API でカスタム属性を作成し、作成した属性にマッピングすることもできます。 - [続行] をクリックします。
- 必要に応じて、[マッピングを追加] をクリックして、サービス プロバイダの要件に基づいてユーザー属性をマッピングします。
注: 定義できる属性の最大総数は、アプリ全体で 10,000 個です。各アプリにはデフォルト属性が 1 つあるため、この数にはこのデフォルト属性とユーザーが追加したカスタム属性が含まれます。- [Google Directory の属性] で [フィールドを選択] メニューをクリックし、フィールド名を選択します。Google Directory の属性の中には、プルダウン リストに使用できないものもあります。マッピングする属性(マネージャーのメールアドレスなど)がない場合は、その属性をカスタム属性として追加すると、ここで選択できるようになります。
- [アプリの属性] で、カスタム SAML アプリの対応する属性を入力します。
-
(省略可)このアプリに関連するグループの名前を入力するには:
- [グループ メンバーシップ(省略可)] で [グループを検索] をクリックし、グループ名の文字を 1 つ以上入力して、グループ名を選択します。
- 必要に応じてグループを追加します(最大 75 個のグループ)。
- [アプリの属性] に、対応するサービス プロバイダのグループ属性名を入力します。
入力したグループ名の数に関係なく、SAML レスポンスには、ユーザーが(直接的または間接的に)メンバーになっているグループのみが含まれます。詳しくは、グループ メンバーシップのマッピングの概要をご覧ください。
- [完了] をクリックします。
[カスタム SAML アプリを追加] をクリックします。-
-
管理コンソールで、メニュー アイコン
- SAML アプリを選択します。
-
[ユーザー アクセス] をクリックします。
-
組織内のすべてのユーザーに対してサービスを有効または無効にするには、[オン(すべてのユーザー)] または [オフ(すべてのユーザー)] をクリックし、[保存] をクリックします。
-
(省略可)特定の組織部門に対してサービスを有効または無効にするには:
- 左側で組織部門を選択します。
- サービスのステータスを変更するには、[オン] または [オフ] を選択します。
- 次のいずれかを選択します。
- [サービス] のステータスが [継承] になっており、親組織の設定が変更された場合でも現在の設定を維持したい場合は、[オーバーライド] をクリックします。
- [サービスのステータス] が [上書きされました] になっている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして新しい設定を維持します(親組織の設定が変更された場合でも、現在の設定を維持します)。
注: 詳しくは、組織構造についてのページをご覧ください。
-
組織部門全体または組織部門内の一部のユーザーに対してサービスを有効にするには、アクセス グループを使用します。詳しくは、グループに対するサービスの有効化についてのページをご覧ください。
- ユーザーが SAML アプリへのログインに使用するメールアドレスが、Google ドメインへのログインに使用するメールアドレスと一致することを確認します。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
ID プロバイダ開始(IdP)の SSO とサービス プロバイダ開始(SP)の SSO の両方をテストできます。
IdP を起点とする SSO
-
-
管理コンソールで、メニュー アイコン
- カスタムの SAML アプリを選択します。
- 左上の [SAML ログインをテスト] をクリックします。
アプリが別のタブで開きます。開かない場合は、表示された SAML アプリのエラー メッセージの情報を参考にして、必要に応じて IdP と SP の設定を更新し、SAML ログインを再度テストしてください。
SP を起点とする SSO
- 新しい SAML アプリの SSO の URL を開きます。Google ログインページに自動的にリダイレクトされます。
- ユーザー名とパスワードを入力します。
ログイン認証情報が認証されると、新しい SAML アプリにリダイレクトされます。
