特権管理者のシングル サインオンは、従来の SSO プロファイルを使用している場合のみ、一部のケースでのみサポートされます(下記を参照)。新しい SSO プロファイルではサポートされていません。
特権管理者が SSO を許可することには、メリットとリスクの両方があります。すべてのユーザー(管理者を含む)が SSO 経由で認証を行うと、ユーザー認証情報が管理されるサーフェス領域を最小限に抑えることができます。ただし、IdP が不正使用された場合、サードパーティは Google 管理コンソールと組織のアカウントのあらゆる側面にアクセスできるようになります。
このリスクを軽減するため、特権管理者に SSO を有効にする場合は、IdP と Google の両方で特権管理者の2 段階認証プロセスを有効にすることをおすすめします。
特権管理者の SSO を無効にする方法
特権管理者 SSO を無効にするには、新しい SSO プロファイルを使用します。以前の SSO プロファイルから SSO プロファイルに移行するには、こちらの手順に沿って操作してください。
特権管理者が SSO でログインできる場合
以前の SSO プロファイルを使用している場合、特権管理者は次のような場合に SSO でログインできます。
- [ドメイン固有のサービスの URL] の設定で、ユーザーをサードパーティ IdP に自動的にリダイレクトするように設定している場合。
- 特権管理者のログインが IdP によって開始された場合(IdP を起点とする SSO)。
- 特権管理者が最初に特権管理者以外のアカウントを使用して Google にログインし、IdP にリダイレクトされたときに特権管理者の認証情報を提供した場合。この場合、Google は IdP からの特権管理者の ID アサーションを承認します。
特権管理者が SSO でログインできない場合
以前の SSO プロファイルを使用していても、特権管理者は次のような場合は SSO でログインできません。
管理コンソール
特権管理者が admin.google.com から SSO 対応のドメインにログインする際は、(SSO のユーザー名とパスワードではなく)Google 管理者アカウントの完全なメールアドレスと関連付けられた Google パスワードを入力する必要があります。[ログイン] をクリックすると、管理コンソールに直接アクセスできます。SSO ログインページにはリダイレクトされません。
Google ドライブ同期クライアント
特権管理者が Google ドライブ同期クライアントにログインすると、SSO は省略されます。特権管理者は SSO ログインページにリダイレクトされません。ブラウザ、モバイルアプリ(iOS のドライブ アプリや Gmail アプリなど)、Android でのアカウント有効化の処理などでログインしようとした場合も、同様に SSO ログインページにリダイレクトされません。