オプションの SSO 設定と管理

証明書をローテーションする方法

SAML シングルサインオン（SSO）プロファイルに 2 つの証明書をアップロードすると、Google はどちらの証明書でも IdP からの SAML レスポンスを検証できます。これにより、IdP 側で期限切れの証明書を安全にローテーションできます。証明書の有効期限が切れる 24 時間以上前に、次の手順を行います。

IdP で新しい証明書を作成します。
証明書を 2 番目の証明書として管理コンソールにアップロードします。手順については、SAML プロファイルを作成するをご覧ください。
新しい証明書で Google ユーザーアカウントが更新されるまで、24 時間待ちます。
期限切れの証明書の代わりに新しい証明書を使用するように IdP を設定します。
（省略可）ユーザーがログインできることを確認したら、管理コンソールから古い証明書を削除します。その後、必要に応じて新しい証明書をアップロードできます。

自動入力のメールアドレスを使用して SSO ログインを簡素化する

ユーザーがログインしやすくなるように、インバウンド SAML シングルサインオン（SSO）プロファイルを作成または更新する際に、[メールの自動入力] を有効にします。

メールアドレスの自動入力機能を使用すると、サードパーティの ID プロバイダ（IdP）のログインページのメールアドレス欄に自動的に入力されます。そのため、ユーザーはパスワードを入力するだけで済みます。[メールの自動入力] は、新しいインバウンド SAML SSO プロファイルを作成するとき、または既存のプロファイルを更新するときに有効にできます。

メールの自動入力では、ログインヒント パラメータを使用して、ユーザーのメールアドレスを IdP に安全に送信します。このパラメータは、多くのサードパーティ製 IdP が IdP で開始されるログインでサポートしている一般的な機能です。

ログインヒントパラメータは標準化されていないため、IdP に応じて以下のようなさまざまなパターンが使用されます。

login_hint: （Microsoft Entra などの IdP でサポートされています）
LoginHint: （Okta などの IdP でサポートされています）

このようなさまざまなパターンがあるため、IdP がサポートしている形式を確認し、Google 管理コンソールで対応する設定を選択する必要があります。

メールアドレスの自動入力を有効にするオプション

セクションを開く | すべて閉じる

新しいプロファイルでメールの自動入力を有効にする

管理者アカウントで Google 管理コンソールにログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
メニューアイコン [セキュリティ] > [認証] > [サードパーティの IdP による SSO] にアクセスします。
アクセスするには、セキュリティ設定の管理者権限が必要です。
[サードパーティの SSO プロファイル] セクションで、[SAML プロファイルを追加] をクリックします。
[SAML SSO プロファイル] に、プロファイル名を入力します。
[メールアドレスの自動入力] で、IdP がサポートするログインヒントの形式に一致するオプションを選択します。
[IdP の詳細 ] セクションで、次の手順を完了します。
1. IdP から取得した [IdP エンティティ ID]、[ログインページの URL]、[ログアウトページの URL] を入力します。
2. [パスワード変更用 URL] に、IdP のパスワード変更用 URL を入力します。
  ユーザーは、この URL にアクセスしてパスワードを再設定できるようになります。
[保存] をクリックして、プロファイルの作成を続行します。

既存のプロファイルでメールの自動入力を有効にする

管理者アカウントで Google 管理コンソールにログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
メニューアイコン [セキュリティ] > [認証] > [サードパーティの IdP による SSO] にアクセスします。
アクセスするには、セキュリティ設定の管理者権限が必要です。
[サードパーティの SSO プロファイル] セクションで、更新するプロファイルをクリックします。
[SP の詳細] をクリックします。
[メールアドレスの自動入力] で、IdP がサポートするログインヒントの形式に一致するオプションを選択します。
[保存] をクリックします。

ドメイン固有のサービス URL を管理する

[ドメイン固有のサービスの URL] 設定では、ユーザーが https://mail.google.com/a/example.com などのサービス URL を使用してログインしたときの動作を管理できます。

管理者アカウントで Google 管理コンソールにログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
メニューアイコン [セキュリティ] > [認証] > [サードパーティの IdP による SSO] にアクセスします。
アクセスするには、セキュリティ設定の管理者権限が必要です。
[ドメイン固有のサービス URL] をクリックして設定を開きます。

移行には次の 2 つの方法がございます。

ユーザーをサードパーティ IdP にリダイレクトする。SSO プロファイルのプルダウンリストで選択したサードパーティの IdP にユーザーを常にリダイレクトするには、このオプションを選択します。組織向けの SSO プロファイルまたは追加済みの別のサードパーティのプロファイル（追加してある場合）を使用できます。
重要: SSO を使用していない組織部門またはグループがある場合は、この設定を選択しないでください。SSO を使用していないユーザーが自動的に IdP にリダイレクトされ、ログインできなくなります。
最初にユーザーに Google のログインページでのユーザー名の入力を要求する。このオプションを使用すると、ドメイン固有の URL を入力したユーザーはまず Google ログインページにリダイレクトされます。これらのユーザーが SSO を使用している場合、IdP ログインページにリダイレクトされます。

ネットワークマッピングの結果

ネットワークマスクはクラスレスドメイン間ルーティング（CIDR）で表記される IP アドレスです。CIDR は、IP アドレスに含まれるビット数を指定します。組織の SSO プロファイルでは、ネットワークマスクを使用して、SSO サービスに通知する IP アドレスまたは IP アドレスの範囲を特定できます。

注: ネットワークマスクの設定上、現在のところ、ドメイン固有のサービスの URL（[サービス名].google.com/a/[ドメイン名].com などの URL）のみが SSO のログインページにリダイレクトされます。

各ネットワークマスクで正しい形式を使用する必要があります。次の IPv6 の例では、スラッシュ（/）とそれに続く数字が CIDR を表します。アドレスの下位 96 ビットは考慮されず、そのネットワーク範囲のすべての IP アドレスが影響を受けます。

2001:db8::/32

次の IPv4 の例では、下位 8 ビット（0）は考慮されず、64.233.187.0 から 64.233.187.255 の範囲にあるすべての IP アドレスが影響を受けます。

64.233.187.0/24

ドメインでネットワークマスクを使っていない場合は、特権管理者ではないユーザーを ID プロバイダ（IdP）に追加する必要があります。

Google サービスの URL にアクセスする際の SSO ユーザーエクスペリエンス

次の表に、ネットワークマスクを使う場合と使わない場合の、Google サービス URL に直接アクセスした際のユーザーエクスペリエンスを示します。

ネットワークマスクを使わない場合	特権管理者	ユーザー
[サービス名].google.com	Google のメールアドレスとパスワードの入力が求められます。	メールアドレスの入力を求められた後、SSO ログインページにリダイレクトされます。
ネットワークマスクを使う場合	特権管理者とユーザー
[サービス名].google.com	メールアドレスとパスワードの入力が求められます。
[サービス名].google.com /a/[ドメイン名].com* （ネットワークマスク内）	SSO ログインページにリダイレクトされます。
[サービス名].google.com /a/[ドメイン名].com （ネットワークマスク外）	メールアドレスとパスワードの入力が求められます。
accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com	login_hint URL パラメータを使用して Google の OAuth 2.0 エンドポイントにアクセスするユーザーは、SSO ログインページにリダイレクトされます。

* すべてのサービスがこの URL パターンをサポートしているわけではありません。これらの URL パターンに対応しているサービスの例としては、Gmail やドライブがあります。

ネットワークマスク設定時のセッション有効期限

以下のすべての条件に該当する場合にのみ適用されます。

ドメインでサードパーティの IdP による SSO を使用している。
ドメインにネットワークマスクがある。
ユーザーがサードパーティの IdP 経由でログインしている（「SSO におけるユーザーとネットワークのマッピング表」を参照）。

以下の場合は、ユーザーのアクティブな Google セッションが終了し、ユーザーに再認証が求められることがあります。

ユーザーセッションが、管理コンソールの [Google のセッション管理] で指定されたセッション継続時間の上限に達した。
管理者がユーザーアカウントのパスワードを変更した、あるいは（管理コンソールまたは Admin SDK を使用して）次回ログイン時にパスワードを変更するようユーザーに求める設定を行った。

ユーザーエクスペリエンス

ユーザーがサードパーティの IdP でセッションを開始した場合、セッションは削除され、ユーザーは Google ログインページにリダイレクトされます。

ユーザーはサードパーティの IdP で Google セッションを開始したため、アカウントに再びアクセスするために Google へのログインが必要な理由を理解できない可能性があります。また、Google の他の URL にアクセスしようとした場合にも、Google ログインページにリダイレクトされることがあります。

アクティブなユーザーセッションの終了を伴うメンテナンスを計画している場合、混乱を防ぐために、セッションからログアウトしてメンテナンスが終了するまでログアウトしたままでいるようユーザーにご案内ください。

ユーザーアカウントへの再アクセス

アクティブセッションの終了により Google ログインページが表示された場合、ユーザーは次のいずれかの方法で再びアカウントにアクセスできます。

[意図せずこのページが開いた場合は、こちらをクリックしてログアウトしてからログインし直してみてください] というメッセージが表示された場合は、メッセージ内のリンクをクリックする。
このようなメッセージまたはリンクが表示されない場合は、いったんログアウトして https://accounts.google.com/logout から再びログインする。
ブラウザの Cookie を削除する。

以上のいずれかの方法をとることで、Google セッションが完全に終了し、アカウントに再びログインできるようになります。

SSO で 2 段階認証プロセスを設定する

管理者アカウントで Google 管理コンソールにログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
メニューアイコン [セキュリティ] > [認証] > [ログイン時の本人確認] にアクセスします。
アクセスするには、ユーザーセキュリティの管理の管理者権限が必要です。
左側で、ポリシーを設定する組織部門を選択します。
全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。
[SSO 後の本人確認] をクリックします。
組織での SSO プロファイルの使用方法に応じて設定を選択します。この設定は、以前の SSO プロファイルを使用するユーザーと、他の SSO プロファイルを使用してログインするユーザーに適用できます。
右下の [保存] をクリックします。
ポリシーの変更を示すエントリが管理コンソールの監査ログに作成されます。

SSO 後の検証設定のデフォルトは、SSO のユーザータイプによって異なります。

以前の SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスがバイパスされます。
SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスが適用されます。

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。

オプションの SSO 設定と管理

証明書をローテーションする方法