Google ではユーザー認証に Security Assertion Markup Language(SAML)プロバイダを使用しており、ユーザーが Google Workspace にログインすると、本人確認のためにメインの Google Workspace ページが画面に表示されます。
この画面はどのくらいの頻度でユーザーに対して表示されますか?
作業の中断を最小限に抑えるために、この画面は 1 台のデバイスでアカウントごとに 1 回だけ表示されます。ユーザーが特定の Chrome ブラウザやデバイスで本人確認を行った後は、再び本人確認を求めなくても安全にログインしてもらうことができます。
注: SSO による本人確認を有効にすることを選ぶ場合、SSO ユーザーに対してその他の本人確認方法が表示される場合があります。またこれにより、Google アカウントで 2 段階認証プロセス(2SV)が設定されている場合はこれがオンになります(通常、SSO でログインしたユーザーの 2 段階認証プロセスは無効です)。
この画面を表示する目的は何ですか?
- フィッシング攻撃から保護する - このログイン画面によって、攻撃者が作成、管理するアカウントに Chrome ブラウザ ユーザーがそうとは知らずログインしてしまうことを防止できます。たとえば、フィッシング詐欺では、攻撃者がその管理下にある Google アカウントにログインするようユーザーを誘導する場合があります。SAML SSO ではユーザーが操作しなくてもログインが完了するため、このような攻撃で SAML シングル サインオン(SSO)が使用されるのです。そこで、ユーザーを保護するためにこのような認証画面を追加しました。
- 共通の ID を作成する - この新しいセキュリティ機能は、Google Workspace サービス(Gmail など)と Chrome ブラウザのネイティブ サービス(Chrome Sync など)間で共通の ID を使用できるようにするという大規模なプロジェクトの一部です。ID を共通化することで、ログインしたユーザーは Chrome ブラウザのネイティブ機能を利用しやすくなりますが、認証時の保護を強化する必要があります。新しい画面を表示することにより保護が強化され、SAML SSO の悪用によって偽のアカウントにユーザーがログインしてしまうリスクを減らすことができます。
画面を表示しないようにすることはできますか?
はい。認証画面は表示しないようにすることができます。たとえば、ユーザーと Google の間のやり取りの回数を減らすことができます。
新しい画面を組織で表示しないようにするには、管理者が X-GoogApps-AllowedDomains HTTP ヘッダーを作成してドメインを指定し、そのドメインのユーザーが Google サービスにアクセスできるようにします。これらのドメインのユーザーはそのドメインのアカウントを信頼していると考えられるため、追加の画面が表示されません。
このヘッダーは AllowedDomainsForApps グループ ポリシーを使用して設定することもできます。