SSO のオプションの設定とメンテナンス

証明書をローテーションする方法

SAML SSO プロファイルに 2 つの証明書をアップロードすると、Google はどちらの証明書でも IdP からの SAML レスポンスを検証できます。これにより、IdP 側で期限切れの証明書を安全にローテーションできます。証明書の有効期限が切れる 24 時間以上前に、次の手順を行います。

  1. IdP で新しい証明書を作成します。
  2. 証明書を 2 番目の証明書として管理コンソールにアップロードします。手順については、SAML プロファイルを作成するをご覧ください。
  3. 新しい証明書で Google ユーザー アカウントが更新されるまで、24 時間待ちます。
  4. 期限切れの証明書の代わりに新しい証明書を使用するように IdP を設定します。
  5. (省略可)ユーザーがログインできることを確認したら、管理コンソールから古い証明書を削除します。必要に応じて、後で新しい証明書をアップロードできます。

ドメイン固有のサービス URL を管理する

[ドメイン固有のサービス URL] 設定では、ユーザーが https://mail.google.com/a/example.com などのサービス URL を使用してログインしたときの動作を制御できます。

  1. 管理者アカウントで Google 管理コンソール にログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. メニュー アイコン 次に [セキュリティ] > [認証] > [サードパーティの IdP による SSO] にアクセスします。

    アクセスするには、セキュリティ設定の管理者権限が必要です。

  3. [ドメイン固有のサービス URL] をクリックして設定を開きます。

移行には次の 2 つの方法がございます。

  • ユーザーをサードパーティ IdP にリダイレクトする。SSO プロファイルのプルダウン リストで選択したサードパーティの IdP にユーザーを常にリダイレクトするには、このオプションを選択します。組織向けの SSO プロファイルまたは追加済みの別のサードパーティのプロファイル(追加してある場合)を使用できます。

    重要: SSO を使用していない組織部門またはグループがある場合は、この設定を選択しないでください。SSO を使用していないユーザーが自動的に IdP にリダイレクトされ、ログインできなくなります。

  • 最初にユーザーに Google のログインページでのユーザー名の入力を要求する。このオプションを使用すると、ドメイン固有の URL を入力したユーザーはまず Google ログインページにリダイレクトされます。これらのユーザーが SSO を使用している場合、IdP ログインページにリダイレクトされます。

ネットワーク マッピングの結果

ネットワーク マスクはクラスレス ドメイン間ルーティング(CIDR)で表記される IP アドレスです。CIDR は、IP アドレスに含まれるビット数を指定します。組織の SSO プロファイルでは、ネットワーク マスクを使用して、SSO サービスに通知する IP アドレスまたは IP アドレスの範囲を特定できます。

注: ネットワーク マスクの設定上、現在のところ、ドメイン固有のサービスの URL([サービス名].google.com/a/[ドメイン名].com などの URL)のみが SSO のログインページにリダイレクトされます。

各ネットワーク マスクで正しい形式を使用する必要があります。次の IPv6 の例では、スラッシュ(/)とそれに続く数字が CIDR を表します。アドレスの下位 96 ビットは考慮されず、そのネットワーク範囲のすべての IP アドレスが影響を受けます。

  • 2001:db8::/32

次の IPv4 の例では、下位 8 ビット(0)は考慮されず、64.233.187.0 から 64.233.187.255 の範囲にあるすべての IP アドレスが影響を受けます。

  • 64.233.187.0/24

ドメインでネットワーク マスクを使っていない場合は、特権管理者ではないユーザーを ID プロバイダ(IdP)に追加する必要があります。

SSO で 2 段階認証プロセスを設定する

  1. 管理者アカウントで Google 管理コンソール にログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. メニュー アイコン  次に  [セキュリティ] > [認証] > [ログイン時の本人確認] にアクセスします。

    アクセスするには、ユーザー セキュリティの管理の管理者権限が必要です。

  3. 左側で、ポリシーを設定する組織部門を選択します。

    全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。

  4. [SSO 後の本人確認] をクリックします。
  5. 組織での SSO プロファイルの使用方法に応じて設定を選択します。この設定は、以前の SSO プロファイルを使用するユーザーと、他の SSO プロファイルを使用してログインするユーザーに適用できます。
  6. 右下の [保存] をクリックします。

    ポリシーの変更を示すエントリが管理コンソールの監査ログに作成されます。

SSO 後の検証設定のデフォルトは、SSO のユーザータイプによって異なります。

  • 以前の SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスがバイパスされます。
  • SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスが適用されます。

関連情報

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

15410973168256685356
true
ヘルプセンターを検索
true
true
true
true
true
73010
検索
検索をクリア
検索を終了
メインメニュー
false
false
false
false