Chrome デバイスに SAML シングル サインオンを設定する

Chrome デバイスでは Security Assertion Markup Language(SAML)によるシングル サインオン(SSO)がサポートされています。SSO を設定すると、ユーザーは組織内の他のシステムと同じ認証方法で Chrome デバイスにログインできるようになります。ユーザーのパスワードは、組織の ID プロバイダ(IdP)の内部で管理できます。Chrome 搭載デバイスへのログインは、ブラウザから G Suite の SAML SSO を使って G Suite アカウントにログインするのとよく似ています。ただし、端末へのログインであるため、他にもいくつかの注意点があります。

要件

  • Chrome OS バージョン 36 以上を実行している Chrome 搭載デバイス
  • G Suite の SAML SSO を使用するように設定されたドメイン
  • HTTP ではなく HTTPS を使用する SAML URL
  • 端末の Chrome ライセンス

ステップ 1:

G Suite アカウントに SSO を設定します(まだ設定を行っていない場合)。

ステップ 2:

所有しているテスト用のドメインで SAML SSO を設定してテストします。テスト用のドメインがない場合は、少数のユーザーで SAML SSO をテストします。方法は、テスト用のグループを作成し、そのグループのユーザーに対してのみ SSO を有効にします。SAML SSO を少数のユーザーでテストした後、全ユーザーの約 5% に展開します。

  1. Google 管理コンソールで [デバイス] > [Chrome 管理] > [ユーザーとブラウザの設定] をクリックします。
  2. [シングル サインオン] で、プルダウン メニューから [Chrome デバイス向けの SAML ベースのシングル サインオンを有効にする] を選択します。
  3. [変更を保存] をクリックします。

ステップ 3(省略可):

シングル サインオンのユーザーが、今後 Chrome デバイスにログインするときに同じ ID プロバイダを利用する内部ウェブサイトやクラウド サービスにログインできるようにするには、SAML SSO Cookie を有効にします。

[デバイス管理] > [Chrome 管理] > [デバイスの設定] > [シングル サインオン Cookie の動作] に移動します。詳しくは、この設定についての説明をご覧ください。

ステップ 4(省略可):

シングル サインオン ユーザーが最初にメールアドレスを入力しなくても SAML IdP のページを直接表示できるようにするには、SAML SSO IdP のリダイレクトを有効にします。

[デバイス管理] > [Chrome 管理] > [デバイスの設定] > [シングル サインオン ID プロバイダ(IdP)のリダイレクト] に移動します。詳しくは、この設定についての説明をご覧ください。

ステップ 5:

Chrome 搭載デバイスにおける SAML SSO の機能テストを組織の 5% のユーザーに対して行ってから、他のグループにも同じポリシーを有効にしてすべてのユーザーに対して SAML SSO を展開します。問題が発生した場合は、Google Cloud サポートにお問い合わせください。

必要な設定を行うと、ユーザーが Chrome デバイスにログインする際にこちらの手順が表示されるようになります。

SAML シングル サインオンを使用して Chrome デバイスにログインする

組織で Chrome デバイスに SAML SSO を設定すると、ユーザーが Chrome デバイスにログインする際に次の手順が表示されるようになります。

要件

ログイン手順:

初めて Chrome 搭載デバイスにログインする際には、次の手順に沿って操作するようユーザーに指示してください。注: 組織に展開する前に、このテストを行う必要があります。

  1. Chrome 搭載デバイスのログインページでユーザー名(完全なメールアドレス)を入力します。この手順では、パスワードの入力は不要です。
  2. 組織の SAML SSO ページが表示されます。SAML プロバイダのログインページで SAML の認証情報を入力します。
  3. パスワードの再入力を求められた場合は再入力して、ログインを完了します。この手順は、ご利用の ID プロバイダがまだ Credentials Passing API を実装していない場合にのみ必要です。Chrome 搭載デバイスへのオフライン アクセスを許可し、デバイスのロックを解除できるようにするために必要な手順です。
  4. 正常にログインすると、セッションが開始され、ブラウザが開きます。次回ログイン時には、Chrome 搭載デバイスを起動するときに、パスワードを一度だけ入力すれば済みます。問題が発生した場合は、IT 管理者にお問い合わせください。

よくある質問

SAML プロバイダを利用してログインした後、パスワードの再入力を要求されます。問題ありませんか?

はい。Chrome 搭載デバイスをオフラインで使用できるようにしたり、ロックを解除できるようにしたりするには、パスワードの再入力が必要になります。SAML ベンダーは API を使用してこの確認を不要にすることもできます。

ユーザーが別のデバイスでパスワードを変更した場合、どのような仕組みで新しいパスワードによる Chrome 搭載デバイスのロック解除が可能になりますか?

Directory API で update メソッドを使って、パスワードが変更されたときに認証サーバーに通知するよう設定することをおすすめします。Request body にパスワードの値を入力します。この API を使用しない場合は、次回のオンライン ログインの際にパスワードの変更が検出されます。パスワードを変更していなくても、Chrome デバイスではデフォルトで 14 日ごとにオンライン ログインが必要になります。この間隔を変更する場合は、管理コンソールで、[デバイス管理] > [Chrome 管理] > [ユーザーとブラウザの設定] > [シングル サインオンによるオンライン ログインの頻度] の順に選択します。

特殊文字を含むパスワードは使用できますか?

ASCII 印字可能文字のみを使用したパスワードをご利用いただけます。

「セキュリティで保護されていない URL を使用するよう設定されているため、ログインできませんでした。管理者にお問い合わせいただくか、もう一度お試しください」というメッセージが表示されます。どうすればよいですか?

HTTPS URL のみがサポートされている状況で SAML IdP で HTTP URL が使用されると、ユーザーにこのエラー メッセージが表示されます。一連のログイン手順では、全体にわたって HTTPS のみを使用する必要があります。このため、最初のログイン フォームが HTTPS で送信されたとしても、その後で IdP により HTTP URL にリダイレクトされた場合は、このエラーが発生する可能性があります。問題の修正後もユーザーにエラー メッセージが表示される場合は、Google Cloud サポートにお問い合わせください。

IT 管理者ですが、SAML ID プロバイダにリダイレクトされません。なぜですか?

これは意図的なものです。設定中に問題が発生した場合でも、管理者がログインして問題を調査できるように、このような設計になっています。

SSO を TLS(SSL)コンテンツ フィルタと組み合わせて使用できますか?

はい。Chrome デバイスで TLS(SSL)インスペクションを設定するに沿って設定してください。ホスト名のホワイトリストを設定するに記載されているホワイトリスト登録ドメインのほか、SSO ID プロバイダのドメインと www.google.com もホワイトリストに登録する必要があります。

SSO はカメラへのアクセスの許可とどのように連携しますか?

サードパーティ製ソフトウェアからデバイスのカメラに直接アクセスするための権限を付与する場合、管理者は SSO ユーザーに代わって、カメラへの SSO アクセスを許可するポリシーを有効にできます。

[デバイス管理] > [Chrome 管理] > [デバイスの設定] > [シングル サインオンによるカメラへのアクセスを許可するアプリのホワイトリスト] に移動します。詳しくは、この設定についての説明をご覧ください。

このポリシーを有効にすることで、管理者がユーザーに代わってサードパーティ製ソフトウェアにカメラへのアクセスを許可します。なお、このポリシーによってカメラへのアクセスが許可されるとエンドユーザーに同意書が提示されなくなるため、相応の同意書をご準備ください。

 

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。