証明書をローテーションする方法
SAML SSO プロファイルに 2 つの証明書をアップロードすると、Google はどちらの証明書でも IdP からの SAML レスポンスを検証できます。これにより、IdP 側で期限切れの証明書を安全にローテーションできます。証明書の有効期限が切れる 24 時間以上前に、次の手順を行います。
- IdP で新しい証明書を作成します。
- 証明書を 2 番目の証明書として管理コンソールにアップロードします。手順については、SAML プロファイルを作成するをご覧ください。
- 新しい証明書で Google ユーザー アカウントが更新されるまで、24 時間待ちます。
- 期限切れの証明書の代わりに新しい証明書を使用するように IdP を設定します。
- (省略可)ユーザーがログインできることを確認したら、管理コンソールから古い証明書を削除します。必要に応じて、後で新しい証明書をアップロードできます。
ドメイン固有のサービス URL を管理する
[ドメイン固有のサービス URL] 設定では、ユーザーが https://mail.google.com/a/example.com などのサービス URL を使用してログインしたときの動作を制御できます。
-
-
管理コンソールでメニュー アイコン [セキュリティ] [認証] [サードパーティの IdP による SSO] にアクセスします。
- [ドメイン固有のサービス URL] をクリックして設定を開きます。
移行には次の 2 つの方法がございます。
- ユーザーをサードパーティ IdP にリダイレクトする。SSO プロファイルのプルダウン リストで選択したサードパーティの IdP にユーザーを常にリダイレクトするには、このオプションを選択します。組織向けの SSO プロファイルまたは追加済みの別のサードパーティのプロファイル(追加してある場合)を使用できます。
重要: SSO を使用していない組織部門またはグループがある場合は、この設定を選択しないでください。SSO を使用していないユーザーが自動的に IdP にリダイレクトされ、ログインできなくなります。
- 最初にユーザーに Google のログインページでのユーザー名の入力を要求する。このオプションを使用すると、ドメイン固有の URL を入力したユーザーはまず Google ログインページにリダイレクトされます。これらのユーザーが SSO を使用している場合、IdP ログインページにリダイレクトされます。
ネットワーク マッピングの結果
ネットワーク マスクはクラスレス ドメイン間ルーティング(CIDR)で表記される IP アドレスです。CIDR は、IP アドレスに含まれるビット数を指定します。組織の SSO プロファイルでは、ネットワーク マスクを使用して、SSO サービスに通知する IP アドレスまたは IP アドレスの範囲を特定できます。
注: ネットワーク マスクの設定上、現在のところ、ドメイン固有のサービスの URL([サービス名].google.com/a/[ドメイン名].com などの URL)のみが SSO のログインページにリダイレクトされます。
各ネットワーク マスクで正しい形式を使用する必要があります。次の IPv6 の例では、スラッシュ(/)とそれに続く数字が CIDR を表します。アドレスの下位 96 ビットは考慮されず、そのネットワーク範囲のすべての IP アドレスが影響を受けます。
- 2001:db8::/32
次の IPv4 の例では、下位 8 ビット(0)は考慮されず、64.233.187.0 から 64.233.187.255 の範囲にあるすべての IP アドレスが影響を受けます。
- 64.233.187.0/24
ドメインでネットワーク マスクを使っていない場合は、特権管理者ではないユーザーを ID プロバイダ(IdP)に追加する必要があります。
Google サービス URL にアクセスした際の SSO のユーザー エクスペリエンス次の表に、ネットワーク マスクを使う場合と使わない場合の、Google サービス URL に直接アクセスした際のユーザー エクスペリエンスを示します。
ネットワーク マスクを使わない場合 | 特権管理者 | ユーザー |
---|---|---|
[サービス名].google.com | Google のメールアドレスとパスワードの入力を求めるメッセージが表示されます。 | メールアドレスの入力を求められた後、SSO ログインページにリダイレクトされます。 |
ネットワーク マスクを使う場合 | 特権管理者とユーザー | |
[サービス名].google.com | メールアドレスとパスワードの入力を求めるメッセージが表示されます。 | |
[サービス名].google.com /a/[ドメイン名].com* (ネットワーク マスク内) |
SSO ログインページにリダイレクトされます。 | |
[サービス名].google.com /a/[ドメイン名].com (ネットワーク マスク外) |
メールアドレスとパスワードの入力を求めるメッセージが表示されます。 | |
accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com |
login_hint URL パラメータを使用して Google の OAuth 2.0 エンドポイントにアクセスしたユーザーは、SSO ログインページにリダイレクトされます。 |
* すべてのサービスがこの URL パターンをサポートしているわけではありません。たとえば、Gmail やドライブは、この URL パターンに対応しています。
- ドメインでサードパーティの IdP による SSO を使用している。
- ドメインにネットワーク マスクがある。
- ユーザーがサードパーティの IdP 経由でログインしている(「SSO におけるユーザーとネットワークのマッピング表」を参照)。
- ユーザー セッションが、管理コンソールの [Google のセッション管理] で指定されたセッション継続時間の上限に達した。
- 管理者がユーザー アカウントのパスワードを変更した、あるいは(管理コンソールまたは Admin SDK を使用して)次回ログイン時にパスワードを変更するようユーザーに求める設定を行った。
ユーザー エクスペリエンス
ユーザーがサードパーティの IdP でセッションを開始した場合、セッションは削除され、ユーザーは Google ログインページにリダイレクトされます。
ユーザーはサードパーティの IdP で Google セッションを開始したため、アカウントに再びアクセスするために Google へのログインが必要な理由を理解できない可能性があります。また、Google の他の URL にアクセスしようとした場合にも、Google ログインページにリダイレクトされることがあります。
アクティブなユーザー セッションの終了を伴うメンテナンスを計画している場合、混乱を防ぐために、セッションからログアウトしてメンテナンスが終了するまでログアウトしたままでいるようユーザーにご案内ください。
ユーザー アカウントへの再アクセス
アクティブ セッションの終了により Google ログインページが表示された場合、ユーザーは次のいずれかの方法で再びアカウントにアクセスできます。
- [意図せずこのページが開いた場合は、こちらをクリックしてログアウトしてからログインし直してみてください] というメッセージが表示された場合は、メッセージ内のリンクをクリックする。
- このようなメッセージまたはリンクが表示されない場合は、いったんログアウトして https://accounts.google.com/logout から再びログインする。
- ブラウザの Cookie を削除する。
以上のいずれかの方法をとることで、Google セッションが完全に終了し、アカウントに再びログインできるようになります。
SSO で 2 段階認証プロセスを設定する
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [認証] [ログイン時の本人確認] にアクセスします。
- 左側で、ポリシーを設定する組織部門を選択します。
全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。
- [SSO 後の本人確認] をクリックします。
- 組織での SSO プロファイルの使用方法に応じて設定を選択します。この設定は、以前の SSO プロファイルを使用するユーザーと、他の SSO プロファイルを使用してログインするユーザーに適用できます。
- 右下の [保存] をクリックします。
ポリシーの変更を示すエントリが管理コンソールの監査ログに作成されます。
SSO 後の検証設定のデフォルトは、SSO のユーザータイプによって異なります。
- 以前の SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスがバイパスされます。
- SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスが適用されます。