SAML(Security Assertion Markup Language)を利用して、Google Cloud の認証情報で企業向けクラウド アプリケーションにログインできます。
Microsoft Office 365 用に SAML 経由での SSO を設定する
Microsoft Office 365 アプリケーション用に SAML 経由でのシングル サインオン(SSO)を設定する方法は、次のとおりです。
始める前に- Google Workspace ドメインを Microsoft Office 365 に追加します。手順については、Microsoft 365 にドメインを追加するをご覧ください。
- PowerShell をインストールする
Office 365 では、ユーザーを一意に識別するのに ImmutableID 属性が使用されます。Google と Office 365 間で SSO を使用するには、各 Office 365 ユーザーに ImmutableId が必要です。また、SSO 時に Office 365 に送信される SAML 名前 ID 属性が ImmutableId と同一である必要があります。
Office 365 ユーザーの ImmutableID は、ユーザーの作成方法によって異なります。一般的なシナリオは次のとおりです。
- Office 365 ユーザーが存在しない場合、Google でユーザーの自動プロビジョニングを行うように設定すると、デフォルトでユーザーのメールアドレス(ユーザー プリンシパル名)に ImmutableID がマッピングされるため、設定の必要はありません。下の手順 2 に進みます。
- Office 365 管理コンソールでユーザーが作成された場合、ImmutableID は空白になります。これらのユーザーに対しては、PowerShell の
Set-MsolUser
コマンドを使用して、ユーザーの UPN(ユーザー プリンシパル名)に一致する ImmutableID を Office 365 で設定します。Set-MsolUser -UserPrincipalName [ユーザー名]@[会社名].com -ImmutableId [ユーザー名]@[会社名].com
Set-MsolUser
を使用してすべてのユーザーを一括更新することもできます。具体的な手順については、PowerShell のドキュメントをご覧ください。 - Microsoft Entra ID 同期でユーザーが作成された場合、ImmutableID はエンコードされた Active Directory objectGUID です。この場合は次の手順を行います。
- PowerShell を使用して、Entra ID から ImmutableID を取得します。たとえば、すべてのユーザーの ImmutableID を取得して CSV ファイルにエクスポートする場合は次のコマンドを実行します。
$exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv C:\csvfile
- Google でカスタム属性を作成して、各ユーザーのプロフィールに Office 365 ImmutableID を入力します。手順については、新しいカスタム属性の追加とユーザー プロフィールを更新するをご覧ください。GAM(オープンソースのコマンドライン ツール)または Workspace Admin SDK を使用して、プロセスを自動化することもできます。
- PowerShell を使用して、Entra ID から ImmutableID を取得します。たとえば、すべてのユーザーの ImmutableID を取得して CSV ファイルにエクスポートする場合は次のコマンドを実行します。
ImmutableID の詳細については、Microsoft のドキュメントをご覧ください。
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [認証] [SAML アプリケーションによる SSO] にアクセスします。
この操作を行うには、特権管理者としてログインする必要があります。
- [シングル サインオン(SSO)の設定] で [SSO の URL] と [エンティティ ID] をコピーして保存し、証明書をダウンロードします。
次に、Office 365 に切り替えて手順 3 の設定を行います。その後の手順 4 で、管理コンソールに戻って SSO の設定を完了します。
- 新しいブラウザタブで、Office 365 アプリケーションに管理者としてログインします。
- テキスト エディタを使用して、Google からコピーした IdP データをもとに PowerShell 変数を作成します。各変数に必要な値は次のとおりです。
変数 値 $DomainName “your-company.com” $FederationBrandName “Google Cloud Identity”(または任意の値) $Authentication “Federated” $PassiveLogOnUrl
$ActiveLogOnUri“SSO の URL”(Google IdP 情報) $SigningCertificate “完全な証明書を貼り付ける”(Google IdP 情報)* $IssuerURI “エンティティ ID”(Google IdP 情報) $LogOffUri “https://accounts.google.com/logout” $PreferredAuthenticationProtocol “SAMLP” - PowerShell コンソールを使用して Set-MsolDomainAuthentication コマンドを実行し、フェデレーション用に Active Directory ドメインを設定します。具体的な手順については、Microsoft PowerShell のドキュメントをご覧ください。
- (省略可)フェデレーションの設定をテストするには、次の PowerShell コマンドを使用します。
Get-MSolDomainFederationSettings -DomainName [会社名].com | Format-List *
注: ドメインをすでにフェデレーション設定済みの場合にフェデレーションを Google に変更するには、上の表と同じパラメータを使って
Set-MsolDomainFederationSettings
コマンドを実行します。
-
-
管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] にアクセスします。
-
[アプリを追加] [アプリを検索] をクリックします。
- 検索欄に「Office 365」と入力します。
- 検索結果で、Office 365 SAML アプリケーションにカーソルを合わせ、[選択] をクリックします。
- [Google ID プロバイダの詳細] ページで、[続行] をクリックします。
- [サービス プロバイダの詳細] ページで次の設定を行います。
- [署名付き応答] チェックボックスをオンにします。
- [名前 ID の形式] を [PERSISTENT] に設定します。
- カスタム属性を作成して Office 365 Immutable ID を Google ユーザーのプロフィールに追加した場合は(上記の手順 1 を参照)、[名前 ID] でそのカスタム属性を選択します。それ以外の場合は、[名前 ID] を [Basic Information > Primary email] に設定します。
- [続行] をクリックします。
- [属性のマッピング] ページで、[フィールドを選択] メニューをクリックし、次の Google Directory の属性を対応する Office 365 の属性にマッピングします。
Google Directory の属性 Office 365 の属性 Basic Information > Primary Email IDPEmail -
(省略可)このアプリに関連するグループの名前を入力するには:
- [グループ メンバー(省略可)] で [グループを検索] をクリックし、グループ名を 1 文字以上入力し、グループ名を選択します。
- 必要に応じてグループを追加します(最大 75 個のグループ)。
- [アプリの属性] に、サービス プロバイダの対応するグループ属性名を入力します。
入力したグループ名の数に関係なく、SAML レスポンスには、ユーザーが(直接的または間接的に)メンバーになっているグループのみが含まれます。詳しくは、グループ メンバーシップのマッピングの概要をご覧ください。
- [完了] をクリックします。
-
-
管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] にアクセスします。
- [Microsoft Office 365] を選択します。
-
[ユーザー アクセス] をクリックします。
-
組織内のすべてのユーザーに対してサービスを有効または無効にするには、[オン(すべてのユーザー)] または [オフ(すべてのユーザー)] をクリックし、[保存] をクリックします。
-
(省略可)特定の組織部門に対してサービスを有効または無効にするには:
- 左側で組織部門を選択します。
- サービスのステータスを変更するには、[オン] または [オフ] を選択します。
- 次のいずれかを選択します。
- [サービス] のステータスが [継承] になっており、親組織の設定が変更された場合でも現在の設定を維持したい場合は、[オーバーライド] をクリックします。
- [サービスのステータス] が [上書きされました] になっている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして新しい設定を維持します(親組織の設定が変更された場合でも、現在の設定を維持します)。
注: 詳しくは、組織構造についてのページをご覧ください。
-
組織部門全体または組織部門内の一部のユーザーに対してサービスを有効にするには、アクセス グループを使用します。詳しくは、グループに対するサービスの有効化についてのページをご覧ください。
- Office 365 のユーザー アカウントのメール ID が Google ドメイン内のものと一致することを確認します。
Office 365 では、ID プロバイダ(IdP)を起点とする SSO とサービス プロバイダ(SP)を起点とする SSO の両方がサポートされています。以下の手順に沿って、いずれかのモードの SSO を確認します。
IdP を起点とする SSO
-
-
管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] にアクセスします。
- [Microsoft Office 365] を選択します。
- 左上の [SAML ログインをテスト] をクリックします。
Office 365 が別のタブで開きます。開かない場合は、表示された SAML エラー メッセージの情報を参考にして、必要に応じて IdP と SP の設定を更新し、SAML ログインを再度テストしてください。
SP を起点とする SSO
- https://login.microsoftonline.com/ を開きます。
Google ログインページに自動的にリダイレクトされます。 - ログイン認証情報を入力します。
- ログイン認証情報が認証されると、Office 365 に自動的にリダイレクトされます。
特権管理者は、Office 365 アプリケーションのユーザー プロビジョニングを自動化することができます。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。