ChromeOS デバイス対応の Security Assertion Markup Language(SAML)シングル サインオン(SSO)機能により、ユーザーは組織の他のシステムと同じ認証メカニズムを使用してデバイスにログインできるようになります。ユーザーのパスワードは、組織の ID プロバイダ(IdP)の内部で管理できます。Chrome デバイスへのログインは、ブラウザから SAML SSO を使って Google Workspace アカウントにログインするのとよく似ています。ただし、デバイスへのログインであるため、他にもいくつかの注意点があります。
詳しくは、サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定をご覧ください。
要件
- バージョン 36 以降を実行している ChromeOS デバイス
- SAML SSO が設定された Google Workspace のドメイン
- HTTP ではなく HTTPS を使用する SAML URL
- デバイスの ChromeOS ライセンス
ステップ 1: SSO を設定する
サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定を行います(まだ設定していない場合)。
ステップ 2: SSO をテストする
所有しているテスト用のドメインで SAML SSO を設定してテストします。テスト用のドメインがない場合は、少数のユーザーで SAML SSO をテストします。方法は、テスト用のグループを作成し、そのグループのユーザーに対してのみ SSO を有効にします。少数のユーザーで SAML SSO をテストした後、全ユーザーの約 5% に展開します。
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] に移動します。デフォルトでは、[ユーザーとブラウザの設定] ページが開きます。
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン [Chrome ブラウザ] [設定] に移動します。
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [セキュリティ] に移動します。
- [シングル サインオン] をクリックします。
- [Chrome デバイスに対して SAML ベースのシングル サインオンを有効にする] を選択します。
- [保存] をクリックします。
(省略可)ステップ 3: SAML SSO Cookie を有効にする
シングル サインオン ユーザーが次回以降デバイスにログインするときに、同じ IdP を利用する内部ウェブサイトやクラウド サービスにログインできるようにするには、SAML SSO Cookie を有効にします。
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] [デバイスの設定] に移動します。
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [ログイン設定] にアクセスします。
- [シングル サインオン Cookie の動作] をクリックします。
- [ログイン中、ユーザー セッションへの SAML SSO Cookie の転送を有効にする] を選択します。詳しくは、ChromeOS デバイスのポリシーを設定するをご覧ください。
- [保存] をクリックします。
(省略可)ステップ 4: ローカルの Chrome OS パスワードと SAML SSO パスワードの同期を維持する
ChromeOS デバイスのローカル パスワードをユーザーの SAML SSO パスワードと同期できます。
デフォルトでは、ローカル パスワードはユーザーがオンラインにログインするたびに更新されます。[SAML シングル サインオンによるログインの頻度] または [SAML シングル サインオンのロック解除の間隔] の設定を使用して、ユーザーにオンライン ログインを要求する頻度を設定できます。ただし、一部のユーザーは再度オンライン ログインを要求される前に、SAML SSO パスワードを変更することがあります。この場合、ユーザーは次回オンラインでログインするまで、ローカルの古い ChromeOS パスワードを引き続き使用します。
ローカルの ChromeOS パスワードを SAML SSO パスワードと同期した状態に保つために、SAML SSO パスワードが変更されたらすぐにユーザーをオンラインでログインさせることができます。このようにすることで、ユーザーの ChromeOS のパスワードがすぐに更新されます。
- 以下のいずれかの方法で、ユーザーのパスワードが更新されたことを Google に知らせます。
- IdP の連携 — たとえば、Okta を使用する場合は、Okta のワークフローを使用できます。詳しくは、GitHub のドキュメントをご覧ください。
-
Microsoft Entra ID の統合 - Microsoft Entra ID 用 Change Password Notifier(CPN)は、Google に Microsoft Entra ID でのパスワードの変更を通知します。詳しくは、Microsoft Entra ID 用 Change Password Notifier を使用して ChromeOS パスワードを同期するをご覧ください。
- AD の統合 - Active Directory 用 Change Password Notifier(AD 用 CPN)は、Google に Microsoft AD でのパスワードの変更を通知します。詳しくは、Active Directory 用 Change Password Notifier を使用して ChromeOS パスワードを同期するをご覧ください。
- API の連携 - ご利用の IdP とデバイス トークン API を連携させます。Chrome デバイス トークン API はこちらで入手できます。詳しくは、クラウド プロジェクトで API スイートを有効にするをご覧ください。
- 関連する設定を行います。
- SAML シングル サインオン パスワードの同期フロー - オンライン ログインをログイン画面でのみ強制適用するのか、ログイン画面とロック画面の両方で強制適用するのかを選択します。詳しくは、ユーザーまたはブラウザに Chrome のポリシーを設定するをご覧ください。
- SAML シングル サインオン パスワードの同期 - [認証フローをトリガーしてパスワードを SSO プロバイダと同期する] を選択します。詳しくは、ユーザーまたはブラウザに Chrome のポリシーを設定するをご覧ください。
(省略可)ステップ 5: 今後のパスワードの変更についてユーザーに通知する
ChromeOS デバイスでの今後のパスワードの変更について、ユーザーに通知するように設定できます。
現在のところ、Microsoft Entra ID ではパスワード有効期限切れの通知はサポートされていません。
注: 「ステップ 4: ローカルの ChromeOS パスワードと SAML SSO パスワードの同期を維持する」と「ステップ 5: 今後のパスワードの変更についてユーザーに通知する」の両方ではなく、どちらか片方を実施することをおすすめします。
今後のパスワードの変更についてユーザーに通知するには
- Google 管理コンソールを使用して、サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定を行います。
- SAML SSO プロバイダのパスワードの有効期限を SAML アサーションで設定します。以下の例をご覧ください。
- 管理コンソールを使用して設定します。
- SAML シングル サインオンによるログインの頻度 - パスワードの有効期限より短い値を入力します。ChromeOS は、オンライン ログイン中にアサーションのみを更新します。詳しくは、ユーザーまたはブラウザに Chrome のポリシーを設定するをご覧ください。
- SAML シングル サインオン パスワードの同期 - [認証フローをトリガーしてパスワードを SSO プロバイダと同期する] を選択します。有効期限が切れる何日前にユーザーに通知するのかを指定します。0~90 日の範囲で値を入力できます。空白のままにすると、デフォルト値の 0 が使用され、ユーザーには事前に通知されません。パスワードの有効期限が切れたときのみ通知されます。詳しくは、ユーザーまたはブラウザに Chrome のポリシーを設定するをご覧ください。
AttributeStatement の例
例:
- 属性名に passwordexpirationtimestamp が含まれる - 認証ユーザーのパスワード有効期限のタイムスタンプです。パスワードに有効期限が設定されていない場合は空になります。また、すでに期限が切れている場合は過去の日付になります。必要に応じて、代わりに passwordupdatedtimestamp を使用することもできます。
- 属性値が NTFS ファイルタイム - 1601 年 1 月 1 日(UTC)からの 100 ナノ秒数です。必要に応じて、代わりに Unix 時間または ISO 8601 日時を設定することもできます。それ以外の形式は使用できません。
<AttributeStatement>
<Attribute
Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
<AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>
(省略可)ステップ 6: SAML SSO IdP のリダイレクトを有効にする
シングル サインオン ユーザーが最初にメールアドレスを入力しなくても SAML IdP のページを直接表示できるようにするには、SAML SSO IdP のリダイレクトを有効にします。
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] [デバイスの設定] に移動します。
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [ログイン設定] にアクセスします。
- [シングル サインオン ID プロバイダ(IdP)のリダイレクト] をクリックします。
- [SAML SSO IdP ページへの移動をユーザーに許可する] を選択します。詳しくは、ChromeOS デバイスのポリシーを設定するをご覧ください。
- [保存] をクリックします。
(省略可)ステップ 7: ユーザー名のパススルー
Google の ID からサードパーティの IdP に自動的にユーザー名を渡して、ユーザーがユーザー名を再入力する手間を省くことができます。
始める前に
- この機能は、SAML クエリの一環としてユーザー名のハンドオーバーが可能な IdP でのみ利用できます。詳しくは、SAML IdP ログインページでユーザー名を自動入力をご覧ください。
- ステップ 7 を実施して、ユーザーを常にサードパーティの ID プロバイダ(サードパーティの IdP)にリダイレクトする場合、ユーザー名のパススルーは再認証フローに限定されます。詳しくは、SAML シングル サインオンによるログインの頻度または SAML シングル サインオンのロック解除の頻度の設定をご確認ください。
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] [デバイスの設定] に移動します。
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [ログイン設定] にアクセスします。
- [SAML IdP ログインページでユーザー名を自動入力] をクリックします。
- URL パラメータ名を入力します。
- [保存] をクリックします。
(省略可)ステップ 8: ログイン画面とロック画面のコンテンツを制御する
ユーザー認証に SAML または OpenID Connect シングル サインオンを使用する場合や、ユーザー セッション外のキャプティブ ポータルとのネットワーク接続を構成する場合は、DeviceAuthenticationURLBlocklist と DeviceAuthenticationURLAllowlist ポリシーを使用して、ユーザーのログイン画面およびロック画面上の URL をブロックまたは許可できます。
詳しくは、ログイン画面またはロック画面でブロックされる URL とログイン画面またはロック画面でブロックされる URL の例外をご覧ください。
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] [デバイスの設定] に移動します。
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [ログイン設定] にアクセスします。
- [ログイン画面またはロック画面でブロックされる URL] をクリックします。
- ログイン画面およびロック画面でブロックする URL を指定します。
- [保存] をクリックします。
- [ログイン画面またはロック画面でブロックされる URL の例外] をクリックします。
- ログイン画面およびロック画面で許可する URL を指定します。
- [保存] をクリックします。
ステップ 9: デバイスに SAML SSO を展開する
組織の 5% のユーザーに対してデバイスの SAML SSO の機能をテストしてから、他のグループに対しても同じポリシーを有効にしてすべてのユーザーに SAML SSO を展開します。問題が発生した場合は、Google Cloud サポートにお問い合わせください。
SAML シングル サインオンを使用して ChromeOS デバイスにログインする
組織のデバイスに SAML SSO を設定すると、ユーザーがデバイスにログインしたときに次の手順が表示されます。
要件
- 上記に記載されているすべての手順を完了している。
ログイン手順:
初めてデバイスにログインする際には、次の手順に沿って操作するようユーザーに伝えてください。注: 組織に展開する前に、このテストを行う必要があります。
- ChromeOS デバイスのログインページでユーザー名(完全なメールアドレス)を入力します。この手順では、パスワードの入力は不要です。
- 組織の SAML SSO ページが表示されます。SAML プロバイダのログインページで SAML の認証情報を入力します。
- 必要に応じてパスワードを再入力し、ログインを完了します。この手順は、ID プロバイダが Credentials Passing API を実装していない場合にのみ必要です。デバイスへのオフライン アクセスを許可するため、およびデバイスのロックを解除できるようにするために、パスワードの再入力が必要となります。
- 正常にログインすると、セッションが開始され、ブラウザが開きます。次回のログイン時には、デバイスを起動するときにパスワードを一度だけ入力すれば済みます。問題が発生した場合は、IT 管理者にお問い合わせください。
よくある質問
Windows Integrated Authentication(WIA)を使用して、手動でユーザー名とパスワードを入力せずにブラウザベースのアプリとイントラネットにログインできるようにしてもいいですか?
いいえ。Google では、Active Directory フェデレーション サービス(AD FS)で Windows Integrated Authentication(WIA)をサポートしなくなりました。詳しくは、クラウドベースの Chrome 管理に移行するをご覧ください。
SAML プロバイダを利用してログインした後、パスワードの再入力を要求されます。問題ありませんか?
はい。ChromeOS デバイスへのオフライン アクセスを許可するため、およびデバイスのロックを解除できるようにするために、パスワードの再入力が必要となります。SAML ベンダーは Google の API を使用してこの確認手順を省くことができます。
ユーザーが別のデバイスでパスワードを変更した場合、デバイスのロックを解除するパスワードが変更されたことをどのようにして確認できますか?
Directory API のシンプルな update メソッドを使って、パスワードが変更されたときに認証サーバーに通知が届くように設定することをおすすめします。Request body にパスワードの値を入力します。この API を使用しない場合は、次回のオンライン ログインの際にパスワードの変更が検出されます。パスワードを変更しなかった場合でも、デフォルトでは 14 日ごとにデバイスへのオンライン ログインが必要になります。この間隔を変更するには、管理コンソールで、[デバイス] [Chrome] [設定] [ユーザーとブラウザ] [SAML シングル サインオンによるオンライン ログインの頻度] の順に選択します。
特殊文字を含むパスワードは使用できますか?
ASCII 印字可能文字のみを使用したパスワードをご利用いただけます。
画面に「ログインできませんでした。保護されていない URL を使用するよう設定されているため、ログインできませんでした。管理者にお問い合わせいただくか、もう一度お試しください」というメッセージが表示されます。どうすればよいですか?
HTTPS のみがサポートされているため、SAML IdP で HTTP URL を使用しようとすると、ユーザーにこのエラー メッセージが表示されます。一連のログイン手順では、全体にわたって HTTPS のみを使用する必要があります。このため、最初のログイン フォームが HTTPS で送信されたとしても、その後で IdP により HTTP URL にリダイレクトされた場合は、このエラーが発生する可能性があります。問題を解決した後もユーザーにエラー メッセージが表示される場合は、Google Cloud サポートにお問い合わせください。
IT 管理者ですが、SAML ID プロバイダにリダイレクトされません。なぜですか?
これは意図的なものです。設定中に問題が発生した場合でも、管理者がログインして問題を調査できるように、このような設計になっています。
SSO を TLS および SSL コンテンツ フィルタと組み合わせて使用できますか?
はい。ChromeOS デバイスで TLS(SSL)インスペクションを設定するに沿って設定してください。ホスト名の許可リストを設定するに記載されている許可リスト登録ドメインのほか、SSO ID プロバイダのドメインと www.google.com も許可リストに登録する必要があります。
SSO はカメラへのアクセスの許可とどのように連携しますか?
SSO ユーザーの代わりにサードパーティ ソフトウェアがデバイスのカメラに直接アクセスすることを許可するには、カメラへのシングル サインオン アクセスを許可します。
[デバイス] [Chrome] [設定] [デバイスの設定] [シングル サインオンによるカメラへのアクセスの許可] [カメラへのシングル サインオン アクセスを許可するアプリのリスト] の順に選択します。
詳しくは、ChromeOS デバイスのポリシーを設定するをご覧ください。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。