サードパーティの ID プロバイダを使用して SSO を設定する

サービス プロバイダの SSO 設定

この記事では、Google Workspace と管理対象の Google アカウントでサードパーティの ID プロバイダ用に SSO を設定する方法について説明します(Google を ID プロバイダとして設定するには、SAML を使用した SSO 連携についての記事をご覧ください)。

SSO を設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] にアクセスします。
  3. [サードパーティの ID プロバイダを使用したシングル サインオン(SSO)の設定] をクリックします。
  4. [サードパーティの ID プロバイダで SSO を設定する] チェックボックスをオンにします。
  5. サードパーティの IdP に関する次の URL を入力します。
    • ログインページの URL: お使いのシステムと Google Workspace にログインするためのページ
    • ログアウト ページの URL: ログアウト後にリダイレクトされるページ

: すべての URL を入力する必要があります。また、その際は必ず HTTPS を使用してください(例: https://sso.[ドメイン名].com)。

発行元について

発行元(エンティティ ID)は、SAML リクエストを発行したサービス プロバイダです。

標準の発行元またはドメイン固有の発行元を選択できます。複数のドメインで同じ IdP による SSO の使用が設定されている場合、固有の発行元が IdP で解析され、SAML リクエストの正しいドメイン名が特定されます。

注:

  • [ドメイン固有の発行元を使用] チェックボックスをオンにしない場合、SAML リクエストで標準の発行元が Google から送信されます。

    google.com
     
  • [ドメイン固有の発行元を使用] チェックボックスをオンにした場合、ドメイン固有の発効元が Google から送信されます([ドメイン名].com の部分には、実際の Google Workspace のプライマリ ドメイン名が入ります)。

    google.com/a/[ドメイン名].com

アサーション コンシューマ サービスについて

アサーション コンシューマ サービス(ACS)の URL は、認証済みユーザーのログイン後のリダイレクト先を IdP に伝えるものです。ACS の URL の形式は次のとおりです。

https://www.google.com/a/[ドメイン名].com/acs

注: 組織で www.google.com へのアクセスが制限されている場合は、組織のサポートチームに別の ACS の URL をお問い合わせください。この記事(「サービス プロバイダの SSO 設定」)もお伝えください。

名前 ID について

SAML レスポンスで提供される名前 ID には、Google Workspace ユーザーを一意に識別する ID が含まれている必要があります。名前 ID は次のいずれかの形式になります。

  • メールアドレス(推奨)
  • ユーザー名 - ユーザー名がドメイン サフィックスなしで指定されている場合は、自動的にプライマリ ドメインにマッピングされます。対象ユーザーがセカンダリ ドメインに所属している場合は、そのユーザーのメールアドレスを指定する必要があります。

注: エイリアスはサポートされていません。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。