SSO の設定

Google をサービス プロバイダとしてシングル サインオン（SSO）を設定する方法は、組織のニーズに応じてさまざまあります。Google Workspace は、以下の SAML ベースと OIDC ベースの両方の SSO をサポートしています。

• ご利用の IdP の設定が含まれる SSO のプロファイルを使用すると、組織内のさまざまなユーザーに異なる SSO 設定を柔軟に適用できます。SAML ベースのプロファイル、カスタム OIDC プロファイルを作成するか、デフォルトの Microsoft Entra OIDC プロファイルを使用する（設定不要）。
• SSO プロファイルを作成したら、プロファイルを組織部門またはグループに割り当て、それらのユーザーの IdP を設定します。特定の組織部門またはグループに対して SSO を無効にすることもできます。

ユーザーがドメイン固有のサービスの URL を使用して Google サービス（https://mail.google.com/a/example.com など）にアクセスしている場合、SSO とこれらの URL をどのように連携させるかを管理することもできます。

組織で IP アドレスに基づく条件付き SSO リダイレクトまたは特権管理者向けの SSO が必要な場合は、以前の SSO プロファイルを設定することもできます。

SAML で SSO を設定する

始める前に

SAML の SSO プロファイルを設定するには、IdP のサポートチームに問い合わせるかドキュメントを参照して、次のような基本的な設定を行う必要があります。

• ログインページの URL: SSO URL や SAML 2.0 エンドポイント（HTTP）とも呼ばれているものです。ユーザーはこのページから IdP にログインします。
• ログアウト ページの URL: ユーザーが Google のアプリやサービスを閉じた後にアクセスするページの URL です。
• パスワード変更用 URL: SSO ユーザーは Google のパスワード変更ページではなく、このページでパスワードを変更します。
• 証明書: ご利用の IdP が発行する X.509 の PEM 形式の証明書です。証明書には、IdP からのログインを確認する公開鍵が含まれています。

証明書の要件

SAML SSO プロファイルを作成する

サードパーティの SSO プロファイルを作成する手順は次のとおりです。組織で最大 1,000 件のプロファイルを作成できます。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールでメニュー アイコン [セキュリティ] [認証] [サードパーティの IdP による SSO] にアクセスします。
3. [サードパーティの SSO プロファイル] で、[SAML プロファイルを追加] をクリックします。
4. プロファイルの名前を入力します。
5. （省略可）IdP の XML メタデータ ファイルがある場合は、[XML ファイルをアップロード] をクリックして IdP 情報を入力し、ステップ 8 に進みます。
6. [ログインページの URL] と IdP から取得したその他の情報を入力します。
7. IdP のパスワード変更用 URL を入力します。ユーザーは、Google のパスワード変更ページではなく、この URL にアクセスしてパスワードを再設定します。
8. [証明書をアップロード] をクリックして証明書ファイルをアップロードします。

   最大 2 つの証明書をアップロードでき、必要に応じて証明書をローテーションできます。

9. [保存] をクリックします。
10. [サービス プロバイダの詳細] で、[エンティティ ID] と [ACS の URL] をコピーして保存します。これらの値は、IdP 管理コントロール パネルで Google での SSO を設定するときに必要になります。
11. （省略可）IdP がアサーションの暗号化をサポートしている場合は、証明書を生成して IdP と共有することで、暗号化を有効にできます。各 SAML SSO プロファイルには最大 2 つの SP 証明書を設定できます。
    1. [SP の詳細] セクションをクリックして、編集モードに入ります。
    2. [SP 証明書] で [証明書を生成] をクリックします（証明書は保存後に表示されます）。
    3. [保存] をクリックします。証明書の名前、有効期限、内容が表示されます。
    4. 証明書の上にあるボタンを使用して、証明書の内容をコピーするかファイルとしてダウンロードし、その証明書を IdP と共有します。
    5. （省略可）証明書をローテーションする必要がある場合は、[SP の詳細] に戻って [別の証明書を生成] をクリックし、新しい証明書を IdP と共有します。IdP で新しい証明書が使用されていることを確認したら、元の証明書を削除できます。

IdP を設定する

この SSO プロファイルを使用するために IdP を設定するには、プロファイルの [サービス プロバイダ（SP）の詳細] セクションの情報を、IdP SSO 設定の適切なフィールドに入力します。ACS の URL とエンティティ ID はどちらも、このプロファイルに固有のものです。

以前の SSO プロファイルを設定する

以前の SAML から SSO プロファイルに移行する

組織で以前の SSO プロファイルを使用している場合は、SSO プロファイルに移行することをおすすめします。SSO プロファイルには、OIDC のサポート、より最新の API、ユーザー グループへの SSO 設定の柔軟な適用など、いくつかの利点があります。詳細

OIDC で SSO を設定する

OIDC ベースの SSO を使用する手順は次のとおりです。

1. OIDC オプションを選択します。[カスタム OIDC プロファイルを作成] して OIDC パートナーへの情報を指定するか、事前設定した Microsoft Entra OIDC プロファイルを使用します。
2. SSO を使用するユーザーを決定するの手順に沿って、事前構成済みの OIDC プロファイルを選択した組織部門またはグループに割り当てます。

組織部門（サブ組織部門など）に SSO を必要としないユーザーがいる場合も、割り当ての機能を使用して、それらのユーザーに対して SSO を無効にすることができます。

注: Google Cloud コマンドライン インターフェースは現在、OIDC を使用した再認証をサポートしていません。

始める前に

カスタム OIDC プロファイルを設定するには、IdP のサポートチームに問い合わせるかドキュメントを参照して、次のような基本的な設定を行う必要があります。

• カード発行会社 URL: IdP 認証サーバーの完全な URL。
• OAuth クライアント。クライアント ID で識別され、クライアント シークレットで認証されます。
• パスワード変更用 URL: SSO ユーザーは Google のパスワード変更ページではなく、このページでパスワードを変更します。

また、Google は IdP に以下の処理を依頼する必要があります。

• IdP からのメールの申し立ては、Google 側のユーザーのメインのメールアドレスと一致している必要があります。
• 認証コードフローを使用する必要があります。

カスタム OIDC プロファイルを作成する

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールでメニュー アイコン [セキュリティ] [認証] [サードパーティの IdP による SSO] にアクセスします。
3. [サードパーティの SSO プロファイル] で、[OIDC プロファイルを追加] をクリックします。
4. OIDC プロファイルに名前を付けます。
5. OIDC の詳細（クライアント ID、カード発行会社の URL、クライアント シークレット）を入力します。
6. [保存] をクリックします。
7. 新しいプロファイルの OIDC SSO 設定ページで、[リダイレクト URI] をコピーします。この URI を使用してリクエストに応答するには、IdP の OAuth クライアントを更新する必要があります。

設定を編集するには、[OIDC の詳細] にカーソルを合わせ、編集アイコン をクリックします。

Microsoft Entra OIDC プロファイルを使用する

組織の Microsoft Entra ID テナントで OIDC の次の前提条件が設定されていることを確認します。

• Microsoft Entra ID テナントではドメインの所有権の証明が必要です。
• エンドユーザーには Microsoft 365 ライセンスが必要です。
• SSO プロファイルを割り当てる Google Workspace 管理者のユーザー名（メインのメールアドレス）は、Azure AD テナント管理者アカウントのメインのメールアドレスと一致している必要があります。

SSO を使用するユーザーを指定する

SSO プロファイルとそれに関連付けられた IdP を割り当て、組織部門またはグループに対して SSO をオンにします。または、SSO プロファイルに「なし」を割り当てて、SSO を無効にします。組織部門またはグループ内で SSO ポリシーを混合して適用することもできます。たとえば、組織部門全体に対して SSO をオンにしてから、下位組織部門に対して SSO をオフにすることができます。

プロファイルを作成していない場合は、先に進む前に作成します。または、事前設定された OIDC プロファイルを割り当てることもできます。

1. [SSO プロファイルの割り当ての管理] をクリックします。
2. SSO プロファイルを初めて割り当てる場合は、[使ってみる] をクリックします。それ以外の場合は、[割り当ての管理] をクリックします。
3. 左側で、SSO プロファイルを割り当てる組織部門またはグループを選択します。
   • 組織部門またはグループの SSO プロファイルの割り当てがドメイン全体のプロファイル割り当てと異なる場合、その組織部門またはグループを選択するとオーバーライドに関する警告が表示されます。
   • ユーザーごとに SSO プロファイルを割り当てることはできませんが、[ユーザー] ビューで特定のユーザーの設定を確認することはできます。
4. 選択した組織部門またはグループに対し、[SSO プロファイルの割り当て] を選択します。
   • 組織部門またはグループを SSO から除外するには、[なし] を選択します。この設定が行われた組織部門またはグループ内のユーザーは、Google で直接ログインできるようになります。
   • 組織部門またはグループに別の IdP を割り当てるには、[別の SSO プロファイル] を選択し、プルダウン リストから SSO プロファイルを選択します。
5. （SAML SSO プロファイルのみ）SAML プロファイルを選択したら、最初に SSO プロファイルのサードパーティの IdP にログインせずに Google サービスに直接アクセスするユーザー向けのログイン オプションを選択します。ユーザーに Google ユーザー名を入力するよう求めて IdP にリダイレクトするか、ユーザーに Google ユーザー名とパスワードの入力を要求します。 

   注: ユーザーに Google のユーザー名とパスワードの入力を要求する場合は、この SAML SSO プロファイルの [パスワード変更用 URL] 設定（[SSO プロファイル] > [IDP の詳細] で確認できます）は無視されます。これにより、ユーザーは必要に応じて自分の Google パスワードを変更できるようになります。

6. [保存] をクリックします。
7. （省略可）必要に応じて、SSO プロファイルを他の組織部門またはグループに割り当てます。

[SSO プロファイルの割り当ての管理] カードを閉じると、[SSO プロファイルの割り当ての管理] に、組織部門とグループに対する更新済みの割り当てが表示されます。

SSO プロファイルの割り当てを削除する

1. グループ名または組織部門名をクリックして、プロファイルの割り当て設定を開きます。
2. 既存の割り当て設定を親組織部門の設定に置き換えます。
   • 組織部門の割り当てについては、[継承] をクリックします。
   • グループの割り当ての場合は、[設定解除] をクリックします。  

注: プロファイルが [なし] に設定されている場合でも、最上位の組織部門は常にプロファイル割り当てリストに表示されます。

関連情報

• オプションの SSO の設定とメンテナンス
• SSO のトラブルシューティング
• 機密情報に関する操作に対する複数の関係者による承認