Chrome アプリに SAML(Security Assertion Markup Language)シングルサインオン(SSO)を設定する必要がある場合は、SAML SSO for Chrome Apps 拡張機能を使用できます。
ユーザーは、組織の他のシステムと同じ認証メカニズムを使用して Chrome アプリにログインできます。ユーザーのパスワードは、組織の ID プロバイダ(IdP)の内部で管理することができます。
考慮事項
- SAML シングルサインオン(SSO)は連携認証機能であり、サービスのバックエンドに対して設定する必要があります。Chrome ブラウザでユーザーがアクセスする SAML 対応アプリでは SSO が自動的に機能しますが、Chrome ウェブストアからインストールした Citrix Receiver、Cisco AnyConnect などの Chrome アプリでは機能しません。
- SAML SSO for Chrome Apps 拡張機能は、許可リストに登録されたドメイン内の許可リストに登録されたアプリにのみ Cookie を渡します。
- 管理者は、ユーザーデータの安全性を確保できるアプリのみを許可リストに登録するようにしてください。また、ユーザーに代わって特定のアプリにアクセス権を付与することになるため、ユーザー向けの同意書を用意しておく必要があります。ポリシーによってアクセス権が付与された後、システムがユーザーに同意書を提示することはありません。
- Cookie へのアクセスには、最初のフィルタでドメインが確認され、2 つ目のフィルタで Cookie の名前、パス、セキュア プロパティが確認されます(ドメインのフィルタに加えて、これらの 2 つ目のフィルタのパラメータが適用されることになります)。ドメインが不明のアプリに Cookie を渡すことはありません。許可リストが空の場合は、デフォルトの動作(受信したすべてのリクエストをブロックし、Cookie を一切渡さない)が適用されます。
ステップ 1: アプリに SAML SSO を設定する
- 関連する SAML ベンダーのドキュメントに沿って、サービスの連携認証を適切に設定します。
- Chromebook 用に SAML SSO を設定し、適切に設定されていることを確認します。
- SAML を使用して Chromebook にログインし、Chrome ブラウザで SAML ベンダーのログインページにアクセスします。Chrome アプリからはログインしないでください。
ユーザーが自動的にログインする場合は、Google のバックエンドとベンダーのバックエンドの両方で SAML を設定する必要があります。
ステップ 2: 許可リストに登録されたドメインのリストを入手する
Chrome OS では SAML プロバイダによって設定された Cookie を手動で検査し、Cookie API Test Extension を使用して許可リストに登録されているドメインのリストを照合できます。これは、Chrome の API のサンプルから作成された公開版の拡張機能です。あるいは、ID 管理者にリストについて問い合わせてください。
- Cookie API Test Extension をインストールします。
- 他のウェブサイトにアクセスせずに直接ログインして、Chrome ブラウザの Cookie の保存場所を確認します。
ZIP ファイルをダウンロードして、chrome://extensions から手動でインストールすることもできます。
ステップ 3: 構成ファイルを設定する
許可リストに登録されているドメインの構成ファイルを設定します。このマッピングの詳細なスキーマは拡張機能の schema.json ファイル内にあります。
設定例:
{
"allowlist": {
"Value": [
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1"
},
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1",
"name": "Secondary Cookie Name",
"secure": true
},
{
"appId": "eeeeefffffgggggghhhhhhh",
"domain": "domain1",
"path": "secondary.path"
}
]
}
}
ステップ 4: SAML SSO for Chrome Apps 拡張機能を展開する
- 管理者は対応する App Management URL にナビゲートすることで、組織内のユーザーに SAML SSO for Chrome Apps 拡張機能を自動的にインストールできます。特定のアプリを自動インストールする方法については、アプリと拡張機能を自動的にインストールするをご覧ください。
- ステップ 3 で保存した構成ファイルをアップロードします。アプリと拡張機能のインストールに関するカスタム ポリシーについては、拡張機能のポリシーをご覧ください。
問題を報告する
SAML SSO for Chrome Apps 拡張機能に関する問題や機能のリクエストがございましたら、GitHub リポジトリにてお知らせください。