この一連の記事では、サービス プロバイダ(SP)として Google を使用する場合に、サードパーティの ID プロバイダ(IdP)で SSO を設定する方法について説明しています。ID プロバイダ(IdP)として Google を使用する場合の SSO の設定方法については、SAML ベースの SSO 連携に関する記事をご確認ください。
サードパーティの IdP を使用して SAML ベースの SSO を設定するには、以下の青色のリンクまたは上部の矢印をクリックして手順に沿って操作します。
- サービス プロバイダの SSO 設定
- SAML 鍵と確認用の証明書の作成とアップロード
- SSO ログイン
- ネットワーク マッピングの結果
- (省略可)組織部門またはグループに SSO プロファイルを割り当てる
部分的 SSO の設定について詳しくは、概要についての動画をご覧ください。
シングル サインオン(SSO)について
SSO を使用すると、ユーザーは一度ログインするだけで、すべての企業向けクラウド アプリケーションにアクセスできるようになります。SSO が設定されている場合、ユーザーはサードパーティの IdP にログインすれば、2 回目のログインなしで Google アプリに直接アクセスできます。ただし、次のような例外があります。
- ユーザーがすでに IdP にログインしていても、追加のセキュリティ対策として、Google は ID の確認を求めることがあります。詳細(ならびに必要に応じてこの ID 確認を無効にする方法)については、SAML を使用した安全なログインについてをご確認ください。
- Google サービスにアクセスするユーザー向けに 2 段階認証プロセスを追加で設定することもできます。SSO が有効になっているときは、通常、2 段階認証プロセスは迂回されます。詳しくは、SSO による本人確認を有効にするをご覧ください。
SSO は Chrome デバイスでも利用できます。詳しくは、Chrome OS デバイスに SAML シングル サインオンを設定するをご確認ください。
バージョン 2.1 より前の Android デバイスでは、Google 認証が使用されます。これらの端末でログインする際には、管理対象 Google アカウントの完全なメールアドレス(ユーザー名とドメインを含む)の入力を求められ、ログイン後は直接アプリケーションに移動されます。ネットワーク マスクの使用の有無を問わず、SSO ログインページにはリダイレクトされません。
iOS アプリケーションの場合、SSO ログインページの URL が「google.」(またはそれに類するもの)で始まるとき、Google iOS アプリは Safari にリダイレクトされるため、SSO プロセスは失敗します。次のプレフィックスは使用できません。
- googl.
- google.
- www.googl.
- www.google.
これらのプレフィックスを含む SSO ログインページの URL は変更する必要があります。
パスワード変更 URL によるパスワード変更への影響
[パスワード変更 URL] オプションで URL を指定している場合、https://[自分のアカウント].google.com/ でパスワードを変更しようとするすべてのユーザー(特権管理者を除く)が、その指定した URL にリダイレクトされます。この設定は、SSO を有効にしていない場合でも適用されます。また、ネットワーク マスクは適用されません。
SSO のトラブルシューティング
一般的な問題を解決するには、シングル サインオン(SSO)のトラブルシューティングをご確認ください。また、SSO ツールや専門的なサービスを提供する市販の製品やシステム インテグレータは数多く存在します。SSO に関するサポートを提供するパートナーや他のサードパーティについては、Google Workspace Marketplace を検索してください。
注: Google Workspace サポートでは、サードパーティの IdP を使用した SSO の実装に関するサポートは提供していません。