シングル サインオン(SSO)を使用すると、ユーザーは 1 組の認証情報を使用して多くの企業向けクラウド アプリケーションにログインできます。Workspace(および Google Cloud Platform)は、サードパーティ ID プロバイダ(IdP)からの SSO をサポートしています。
Workspace は、SAML と OIDC の両方の SSO プロトコルをサポートしています。SAML SSO は任意の IdP をサポートしています。現在、OIDC は Microsoft Entra ID のみをサポートしています。
SSO を使用するには、SSO プロファイルを構成し、ユーザー グループまたは組織部門に割り当てます。これにより、複数の IdP のサポートと SSO 構成のテストが可能になります。これは SSO に推奨されるシステムです。組織向けの以前の SSO プロファイルも使用できます(SAML のみ)。
SSO は Chrome デバイスでも利用できます。詳しくは、Chrome OS デバイスに SAML シングル サインオンを設定するをご確認ください。
SSO 後の追加の認証SSO が設定されている場合、サードパーティの IdP にログインしたユーザーは、追加の確認なしで Google アプリにアクセスできます。ただし、次のような例外があります。
- ユーザーがすでに IdP にログインしていても、追加のセキュリティ対策として、Google は ID の確認を求めることがあります。詳細(ならびに必要に応じてこの ID 確認を無効にする方法)については、SAML を使用した安全なログインについてをご確認ください。
- Google サービスにアクセスするユーザー向けに 2 段階認証プロセスを追加で設定することもできます。SSO が有効になっているときは、通常、2 段階認証プロセスは迂回されます。詳しくは、SSO による本人確認を有効にするをご覧ください。
図 1 は、パートナーが運営する SAML ベースの SSO サービスを介して、ユーザーが Gmail などの Google アプリケーションにログインするプロセスを示しています。図に続く番号付きリストは、各ステップの詳細を示しています。
重要: このプロセスが開始される前に、パートナーは Google に SSO サービスの URL、Google が SAML レスポンスを確認するのに使う公開鍵を提供しなければなりません。
図 1: SAML ベースの SSO サービスを使用して Google にログインするプロセスを示しています。
この図では以下のステップが解説されています。
- ユーザーが、ホストされている Google アプリケーション(Gmail、Google カレンダー、その他の Google サービスなど)にアクセスしようとしています。
- Google が SAML 認証リクエストを生成します。SAML リクエストはエンコードされ、パートナーの SSO サービスの URL に埋め込まれます。SSO URL には RelayState パラメータも埋め込まれます。このパラメータには、ユーザーがアクセスしようとしている Google アプリケーションのエンコードされた URL が含まれます。この RelayState パラメータは不透明な識別子で、変更や検査なしで送り返されます。
- Google がユーザーのブラウザにリダイレクトを送信します。リダイレクト URL にはエンコードされた SAML 認証リクエストが含まれ、これはパートナーの SSO サービスに送信されます。
- ブラウザが SSO URL にリダイレクトします。
- パートナーは SAML リクエストをデコードし、Google の Assertion Consumer Service(ACS)とユーザーの宛先 URL(RelayState パラメータ)の両方の URL を抽出します。
- ユーザーを認証します。パートナーは、有効なログイン認証情報を要求するか、有効なセッション クッキーを確認してユーザーを認証できます。
- パートナーは、認証されたユーザーのユーザー名が含まれる SAML レスポンスを生成します。このレスポンスは、SAML v2.0 の仕様に従ってパートナーの DSA または RSA の公開鍵と秘密鍵でデジタル署名されます。
- パートナーは SAML レスポンスと RelayState パラメータをエンコードして、その情報をユーザーのブラウザに返します。パートナーが提供するメカニズによって、ブラウザはその情報を Google の ACS に転送できます。たとえば、パートナーは SAML レスポンスと宛先 URL をフォームに埋め込み、クリックすると Google にフォームが送信されるボタンを表示することができます。また、フォームを Google に送信する JavaScript をページに含めることも可能です。
- ブラウザが ACS の URL に応答を送信します。Google の ACS は、パートナーの公開鍵を使用して SAML レスポンスを確認します。レスポンスが正常に確認されると、ACS は宛先 URL にユーザーをリダイレクトします。
- ユーザーが Google アプリにログインします。
IdP と Google 間でのユーザー アカウントの同期
ユーザーのライフサイクル管理を簡素化するために、SSO を使用しているほとんどの組織では、ユーザー ディレクトリを IdP から Google に同期しています。同期が設定されている場合、IdP 側で新規(または削除)されたユーザーは、Workspace ユーザーとして自動的に追加または削除されます。Google の Directory Sync は、Active Directory と Entra ID をサポートしています。ほとんどの IdP は Google との同期をサポートしています。設定手順については、IdP のドキュメントをご覧ください。
SSO とセキュア LDAP
セキュア LDAP では Google パスワードが必要であり、SSO とは互換性がありません。