サードパーティの ID プロバイダ(IdP)を使用して SSO を設定する

ネットワーク マッピングの結果

ネットワーク マスクは CIDR(Classless Inter-Domain Routing)で表記される IP アドレスです。CIDR では、IP アドレスに含まれるビット数を指定します。Google では、SSO サービスに通知する IP アドレスや IP アドレスの範囲の特定にネットワーク マスクを使います。

各ネットワーク マスクで正しい形式を使用する必要があります。次の IPv6 の例では、スラッシュ(/)とそれに続く数字が CIDR を表します。アドレスの下位 96 ビットは考慮されず、そのネットワーク範囲のすべての IP アドレスに影響します。

  • 2001:db8::/32

次の IPv4 の例では、下位 8 ビット(0)は考慮されず、64.233.187.0 から 64.233.187.255 の範囲にあるすべての IP アドレスに影響します。

  • 64.233.187.0/24

ドメインでネットワーク マスクを使っていない場合は、特権管理者ではないユーザーを ID プロバイダ(IdP)に追加する必要があります。

SSO におけるユーザーとネットワークのマッピング表

ネットワーク マスクを使わない場合 特権管理者 ユーザー
accounts.google.com 特権管理者が accounts.google.com からログインしようとすると、ユーザー名とドメインを含む完全な Google のメールアドレスとパスワードの入力を求められ、ログイン後は直接管理コンソールにリダイレクトされます。SSO サーバーにはリダイレクトされません。 特権管理者の権限を持たないユーザーが accounts.google.com にログインしようとすると、SSO ログインページにリダイレクトされます。
admin.google.com 特権管理者が admin.google.com からログインしようとすると、ユーザー名とドメインを含む完全な Google のメールアドレスとパスワードの入力を求められ、ログイン後は直接管理コンソールにリダイレクトされます。SSO サーバーにはリダイレクトされません。
 
特権管理者の権限を持たないユーザー(委任管理者など)が admin.google.com にログインしようとすると、Google アカウントの詳細情報でログインした後に SSO サーバーにリダイレクトされます。
ネットワーク マスクを使う場合 特権管理者 ユーザー
[サービス名].google.com 特権管理者を含むすべてのユーザーが [サービス名].google.com にログインしようとすると、accounts.google.com にリダイレクトされ、Google の完全なメールアドレス(ユーザー名とドメインを含む)とパスワードの入力を求められます。 特権管理者を含むすべてのユーザーが [サービス名].google.com にログインしようとすると、accounts.google.com にリダイレクトされ、Google の完全なメールアドレス(ユーザー名とドメインを含む)とパスワードの入力を求められます。
[サービス名].google.com
/a/[ドメイン名].com

(ネットワーク マスク内)

特権管理者を含むすべてのユーザーがネットワーク マスク内で [サービス名].google.com/a/[ドメイン名].com にログインしようとすると、SSO ログインページにリダイレクトされます。

特権管理者を含むすべてのユーザーがネットワーク マスク内で [サービス名].google.com/a/[ドメイン名].com にログインしようとすると、SSO ログインページにリダイレクトされます。

[サービス名].google.com
/a/[ドメイン名].com
(ネットワーク マスク外)
特権管理者を含むすべてのユーザーがネットワーク マスクの外で [サービス名].google.com/a/[ドメイン名].com にログインしようとした場合は、SSO サーバーにリダイレクトされません。 特権管理者を含むすべてのユーザーがネットワーク マスクの外で [サービス名].google.com/a/[ドメイン名].com にログインしようとした場合は、SSO サーバーにリダイレクトされません。
[サービス名].google.com
/a/[ドメイン名].com

(未認証サービス リクエスト)

[サービス名].google.com/a/[ドメイン名].com からアクセスすると、未認証サービスのリクエスト元 IP アドレスがチェックされます。

リクエスト元 IP アドレスがネットワーク マスク(CIDR 範囲)に該当する場合は、SSO ログインページにリダイレクトされます。

リクエスト元 IP アドレスがネットワーク マスクに該当しない場合は、ユーザー名と Google のパスワードの入力を順に求められます。

accounts.google.com に直接接続すると、ユーザー名と Google のパスワードの入力を順に求められます。

[サービス名].google.com/a/[ドメイン名].com からアクセスすると、未認証サービスのリクエスト元 IP アドレスがチェックされます。

リクエスト元 IP アドレスがネットワーク マスク(CIDR 範囲)に該当する場合は、SSO ログインページにリダイレクトされます。

リクエスト元 IP アドレスがネットワーク マスクに該当しない場合は、ユーザー名と Google のパスワードの入力を順に求められます。

accounts.google.com に直接接続すると、ユーザー名と Google のパスワードの入力を順に求められます。

ネットワーク マスク設定時のセッション有効期限
以下のすべての条件に該当する場合にのみ適用されます。
  • ドメインでサードパーティの IdP による SSO を使用している
  • ドメインにネットワーク マスクがある
  • ユーザーがサードパーティの IdP 経由でログインしている(「SSO におけるユーザーとネットワークのマッピング表」を参照)
以下の場合は、ユーザーのアクティブな Google セッションが終了し、ユーザーに再認証が求められることがあります。
  • ユーザー セッションが、管理コンソールの [Google のセッション管理] で指定されたセッション継続時間の上限に達した
  • 管理者がパスワードを変更してユーザー アカウントを変更した、または次回ログイン時に管理コンソールまたは Admin SDK を使用してパスワードを変更するようユーザーに求めた

ユーザー エクスペリエンス

ユーザーがサードパーティの IdP でセッションを開始した場合、セッションは消去され、ユーザーは Google ログインページにリダイレクトされます。

ユーザーはサードパーティの IdP で Google セッションを開始したため、アカウントに再びアクセスするために Google へのログインが必要な理由を理解できない可能性があります。ユーザーは、Google の他の URL にアクセスしようとした場合にも、Google ログインページにリダイレクトされることがあります。

アクティブなユーザー セッションの終了を伴うメンテナンスを計画している場合、ユーザーの混乱を防ぐには、セッションからログアウトし、メンテナンスが終了するまでログアウトしたままにするようユーザーに案内してください。

ユーザーの復旧

アクティブ セッションが終了したために Google ログインページが表示された場合、ユーザーは次のいずれかの方法で再びアカウントにアクセスできます。

  • 「意図せずこのページが開いた場合は、こちらをクリックしてログアウトしてからログインし直してみてください」というメッセージが表示された場合は、メッセージ内のリンクをクリックします。
  • このようなメッセージやリンクが表示されない場合は、いったんログアウトして https://accounts.google.com/logout から再びログインします。
  • ユーザーはブラウザの Cookie をクリアできます。

上記のいずれかの復旧方法を使用すると、ユーザーの Google セッションが完全に終了してログインできるようになります。

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。