Google をサービス プロバイダとしてシングル サインオン(SSO)を設定する方法は、組織のニーズに応じてさまざまあります。Google Workspace は、以下の SAML ベースと OIDC ベースの両方の SSO をサポートしています。
- ご利用の IdP の設定が含まれる SSO のプロファイルを使用すると、組織内のさまざまなユーザーに異なる SSO 設定を柔軟に適用できます。SAML ベースのプロファイル、カスタム OIDC プロファイルを作成するか、デフォルトの Microsoft Entra OIDC プロファイルを使用します(設定不要)。
- SSO プロファイルを作成したら、組織部門またはグループにプロファイルを割り当てて、それらのユーザーの IdP を設定します。特定の組織部門またはグループに対して SSO を無効にすることもできます。
ユーザーがドメイン固有のサービスの URL を使用して Google サービス(https://mail.google.com/a/example.com など)にアクセスしている場合、SSO とこれらの URL をどのように連携させるかを管理することもできます。
組織で IP アドレスに基づく条件付き SSO リダイレクトまたは特権管理者向けの SSO が必要な場合は、以前の SSO プロファイルを設定することもできます。
SAML を使用して SSO を設定する
始める前に
SAML の SSO プロファイルを設定するには、IdP のサポートチームに問い合わせるかドキュメントを参照して、次のような基本的な設定を行う必要があります。
- IdP エンティティ ID: IdP が Google と通信する際に自身を識別する方法です。
- ログインページの URL: SSO URL や SAML 2.0 エンドポイント(HTTP)とも呼ばれているものです。ユーザーはこのページから IdP にログインします。
- ログアウト ページの URL: ユーザーが Google のアプリやサービスを閉じた後にアクセスするページの URL です。
- パスワード変更用 URL: SSO ユーザーは Google のパスワード変更ページではなく、このページでパスワードを変更します。
- 証明書: ご利用の IdP が発行する X.509 の PEM 形式の証明書です。証明書には、IdP からのログインを確認する公開鍵が含まれています。
- 証明書は、公開鍵が埋め込まれた PEM または DER 形式の X.509 証明書である必要があります。
- 公開鍵は DSA または RSA のアルゴリズムで作成する必要があります。
- 証明書の公開鍵は、SAML レスポンスの署名に使用される秘密鍵と一致する必要があります。
通常、これらの証明書はご利用の IdP から取得します。ただし、自分で生成することもできます。
SAML SSO プロファイルを作成する
サードパーティの SSO プロファイルを作成する手順は次のとおりです。組織で最大 1,000 件のプロファイルを作成できます。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [サードパーティの SSO プロファイル] セクションで、[SAML プロファイルを追加] をクリックします。
- [SAML SSO プロファイル] に、プロファイル名を入力します。
- (省略可)[メールアドレスの自動入力] で、IdP がサポートするログインヒントの形式に一致するオプションを選択します。詳しくは、メールアドレスの自動入力を使用して SSO ログインを簡素化するをご覧ください。
- [IdP の詳細] で、次の手順を完了します。
- IdP から取得した [IdP エンティティ ID]、[ログインページの URL]、[ログアウト ページの URL] を入力します。
- [パスワード変更用 URL] に、IdP のパスワード変更用 URL を入力します。
ユーザーは、この URL にアクセスしてパスワードを再設定できるようになります。
- [証明書をアップロード] をクリックします。
最大 2 つの証明書をアップロードでき、必要に応じて証明書をローテーションできます。
- [保存] をクリックします。
- [SP の詳細] で、[エンティティ ID] と [ACS の URL] をコピーして保存します。
これらの値は、IdP 管理コントロール パネルで Google での SSO を設定するときに必要になります。 - (省略可)IdP がアサーションの暗号化をサポートしている場合は、証明書を生成して IdP と共有することで、暗号化を有効にできます。各 SAML SSO プロファイルには最大 2 つの SP 証明書を設定できます。
- [SP の詳細] セクションをクリックして、編集モードに入ります。
- [SP 証明書] で [証明書を生成] をクリックします。
- [保存] をクリックします。
証明書の内容をコピーするか、ファイルとしてダウンロードします。 - 証明書を IdP と共有します。
- (省略可)証明書をローテーションするには、[SP の詳細] に戻って [別の証明書を生成] をクリックし、新しい証明書を IdP と共有します。IdP で新しい証明書が使用されていることを確認したら、元の証明書を削除します。
IdP を設定する
この SSO プロファイルを使用するために IdP を設定するには、プロファイルの [サービス プロバイダ(SP)の詳細] セクションの情報を、IdP SSO 設定の適切なフィールドに入力します。ACS の URL とエンティティ ID はどちらも、このプロファイルに固有のものです。
以前の SSO プロファイルを設定する以前の SSO プロファイルは、SSO プロファイルに移行していないユーザーを対象にしています。単一の IdP での使用のみがサポートされています。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [サードパーティの SSO プロファイル] で、[SAML プロファイルを追加] をクリックします。
- [IdP の詳細] ページの下部にある [以前の SSO プロファイル設定に移動] をクリックします。
- [以前の SSO プロファイル] ページで、[サードパーティの ID プロバイダで SSO を有効にする] チェックボックスをオンにします。
- ご利用の IdP に関する次の情報を入力します。
- ご利用の IdP の [ログインページの URL] と [ログアウト ページの URL] を入力します。
注: すべての URL を入力する必要があります。また、その際は必ず HTTPS を使用してください(例: https://sso.example.com)。
- [証明書をアップロード] をクリックし、IdP から提供された X.509 証明書を選択してアップロードします。詳細については、証明書の要件をご覧ください。
- Google からの SAML リクエストでドメイン固有の発行元を使用するかどうかを選択します。
IdP で SSO を使用しているドメインが複数ある場合は、ドメイン固有の発行元を使用して、SAML リクエストを発行する正しいドメインを特定します。
- オン - ドメイン固有の発行元 (google.com/a/example.com、example.comexample.com はメインの Google Workspace ドメイン名)が Google から送信されます。
- オフ: 標準の発行元である google.com が SAML リクエストで送信されます。
- (省略可)特定の IP アドレス範囲の一連のユーザーに SSO を適用するには、ネットワーク マスクを入力します。詳しくは、ネットワーク マッピングの結果をご覧ください。
注: 特定の組織部門またはグループに SSO プロファイルを割り当てることにより、部分的に SSO を設定することもできます。
- IdP の [パスワード変更用 URL] を入力します。ユーザーは、Google のパスワード変更ページではなく、この URL にアクセスしてパスワードを再設定します。
注: ここに URL を入力すると、組織で SSO を有効にしていなくても、ユーザーはこのページにリダイレクトされます。
- ご利用の IdP の [ログインページの URL] と [ログアウト ページの URL] を入力します。
- [保存] をクリックします。
保存すると、以前の SSO プロファイルが [SSO プロファイル] の表に表示されます。
IdP を設定する
この SSO プロファイルを使用するために IdP を設定するには、プロファイルの [サービス プロバイダ(SP)の詳細] セクションの情報を、IdP SSO 設定の適切なフィールドに入力します。ACS の URL とエンティティ ID はどちらも、このプロファイルに固有のものです。
| 形式 | |
| ACS の URL | https://accounts.google.com/a/{domain.com}/acs ここで、{domain.com} は組織の Workspace ドメイン名です。 |
| エンティティ ID | 次のいずれかになります。
|
以前の SSO プロファイルを無効にする
- [サードパーティの SSO プロファイル] リストで、[以前の SSO プロファイル] をクリックします。
- [以前の SSO プロファイル] の設定で、[サードパーティの ID プロバイダで SSO を有効にする] チェックボックスをオフにします。
- 続行することを確認し、[保存] をクリックします。
[SSO プロファイル] リストで、[以前の SSO プロファイル] が [無効] と表示されるようになります。
- 以前の SSO プロファイルが割り当てられている組織部門では、[割り当てられたプロファイル] 列にアラートが表示されます。
- 最上位の組織部門の [割り当てられたプロファイル] 列には [なし] と表示されます。
- [SSO プロファイルの割り当ての管理] で、以前の SSO プロファイルが [非アクティブ] と表示されます。
以前の SAML から SSO プロファイルに移行する
組織で以前の SSO プロファイルを使用している場合は、SSO プロファイルに移行することをおすすめします。SSO プロファイルには、OIDC のサポート、より最新の API、ユーザー グループへの SSO 設定の柔軟な適用など、いくつかの利点があります。詳細をご覧ください。
OIDC を使用して SSO を設定する
OIDC ベースの SSO を使用する手順は次のとおりです。
- OIDC オプションを選択します。OIDC パートナーへの情報を提供するカスタム OIDC プロファイルを作成するか、事前設定した Microsoft Entra OIDC プロファイルを使用します。
- SSO を使用するユーザーを決定するの手順に沿って、事前構成済みの OIDC プロファイルを選択した組織部門またはグループに割り当てます。
組織部門(サブ組織部門など)に SSO を必要としないユーザーがいる場合も、割り当ての機能を使用して、それらのユーザーに対して SSO を無効にすることができます。
注: Google Cloud コマンドライン インターフェースは現在、OIDC を使用した再認証をサポートしていません。
始める前に
カスタム OIDC プロファイルを設定するには、IdP のサポートチームに問い合わせるかドキュメントを参照して、次のような基本的な設定を行う必要があります。
- カード発行会社 URL: IdP 認証サーバーの完全な URL。
- クライアント ID で識別され、クライアント シークレットで認証される OAuth クライアント。
- パスワード変更用 URL: SSO ユーザーは Google のパスワード変更ページではなく、このページでパスワードを変更します。
また、Google は IdP に次のことを要求します。
- IdP からの
メールの申し立ては、Google 側のユーザーのメインのメールアドレスと一致している必要があります。 - 認証コードフローを使用する必要があります。
カスタムの OIDC プロファイルを作成する(ベータ版)
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [サードパーティの SSO プロファイル] で、[OIDC プロファイルを追加] をクリックします。
- OIDC プロファイルに名前を付けます。
- OIDC の詳細(クライアント ID、カード発行会社の URL、クライアント シークレット)を入力します。
- [保存] をクリックします。
- 新しいプロファイルの OIDC SSO 設定ページで、リダイレクト URI をコピーします。この URI を使用してリクエストに応答するように、IdP で OAuth クライアントを更新する必要があります。
設定を編集するには、[OIDC の詳細] にカーソルを合わせて、編集アイコン をクリックします。
Microsoft Entra OIDC プロファイルを使用する
組織の Microsoft Entra ID テナントで次の OIDC の前提条件が設定されているかどうか確認します。
- Microsoft Entra ID テナントではドメインの所有権の証明が必要です。
- エンドユーザーには Microsoft 365 ライセンスが必要です。
- SSO プロファイルを割り当てる Google Workspace 管理者のユーザー名(メインのメールアドレス)は、Azure AD テナント管理者アカウントのメインのメールアドレスと一致している必要があります。
SSO を使用するユーザーを指定する
SSO プロファイルとそれに関連付けられた IdP を割り当て、組織部門またはグループに対して SSO を有効にします。または、SSO プロファイルに「なし」を割り当てて、SSO を無効にします。組織部門またはグループ内で SSO ポリシーを混合して適用することもできます。たとえば、組織部門全体に対して SSO をオンにしてから、下位組織部門に対して SSO をオフにすることができます。
SAML プロファイルまたは OIDC プロファイルを作成していない場合は、続行する前に作成してください。または、事前設定された OIDC プロファイルを割り当てることもできます。
- [SSO プロファイルの割り当ての管理] をクリックします。
- SSO プロファイルを初めて割り当てる場合は、[使ってみる] をクリックします。それ以外の場合は、[割り当ての管理] をクリックします。
- 左側で、SSO プロファイルを割り当てる組織部門またはグループを選択します。
- 組織部門またはグループの SSO プロファイルの割り当てがドメイン全体のプロファイル割り当てと異なる場合、その組織部門またはグループを選択するとオーバーライドに関する警告が表示されます。
- ユーザーごとに SSO プロファイルを割り当てることはできませんが、[ユーザー] ビューで特定のユーザーの設定を確認することはできます。
- 選択した組織部門またはグループに対し、[SSO プロファイルの割り当て] を選択します。
- 組織部門またはグループを SSO から除外するには、[なし] を選択します。これにより、組織部門またはグループ内のユーザーが Google で直接ログインできるようになります。
- 組織部門またはグループに別の IdP を割り当てるには、[別の SSO プロファイル] を選択し、プルダウン リストから SSO プロファイルを選択します。
- (SAML SSO プロファイルのみ)SAML プロファイルを選択したら、最初に SSO プロファイルのサードパーティの IdP にログインせずに Google サービスに直接アクセスするユーザー向けのログイン オプションを選択します。ユーザーに Google ユーザー名を入力するよう求めて IdP にリダイレクトするか、ユーザーに Google ユーザー名とパスワードの入力を要求します。
注: ユーザーに Google のユーザー名とパスワードの入力を要求する場合は、この SAML SSO プロファイルの [パスワード変更用 URL] 設定([SSO プロファイル] > [IDP の詳細] で確認できます)は無視されます。これにより、ユーザーは必要に応じて自分の Google パスワードを変更できるようになります。
- [保存] をクリックします。
- (省略可)必要に応じて、SSO プロファイルを他の組織部門またはグループに割り当てます。
[SSO プロファイルの割り当ての管理] カードを閉じると、[SSO プロファイルの割り当ての管理] に、組織部門とグループに対する更新済みの割り当てが表示されます。
SSO プロファイルの割り当てを削除する
- グループ名または組織部門名をクリックして、プロファイルの割り当て設定を開きます。
- 既存の割り当て設定を親組織部門の設定に置き換えます。
- 組織部門の割り当てについては、[継承] をクリックします。
- グループの割り当ての場合は、[設定解除] をクリックします。
注: プロファイルが [なし] に設定されている場合でも、最上位の組織部門は常にプロファイル割り当てリストに表示されます。
関連情報
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。