Google Workspaceは、クラウドベースのSaaS(Software-as-a-Service)アプリケーションであり、Google社が提供しています。ユーザーはインターネットを介してブラウザからアクセスし、メール、ドキュメント作成、共同作業、カレンダー管理などのさまざまな機能を利用できます。
また、Google Workspaceと連携することで、同じGoogleアカウントに紐づくGoogle Cloud PlatformやGoogle Analyticsといった他GoogleサービスにおいてもSSO認証が有効になります。
セキュリティ機能や管理機能、カスタマイズオプションも備えており、ビジネス環境での効率的なコラボレーションを支援しています。
SAML認証を設定するには、以下の手順が必要となります。
1.管理サイトのSaaSアプリ管理メニューから、Google Workspaceのアプリ登録をする。
2.管理サイトのSAML認証設定を行う。
3.Google Workspace管理画面にて、SAML認証設定を行う。
管理サイトへの登録
1.管理サイトに管理者権限を持つアカウントでログインします。
2.「ユーザー」から「SaaSアプリ管理」-「 SaaSアプリ一覧」の順にクリックします。
「SaaSアプリ一覧」画面が表示されます。
3.「新規追加」ボタンをクリックします。
「SaaSアプリ登録」画面が表示されます。
4.「SaaSアプリ登録」画面で、Google Workspaceの「登録」ボタンをクリックします。
5.「SaaSアプリ登録」画面の「基本設定」でアプリ表示名(初期設定はGoogle Workspace)とプライマリドメインを入力し、連携アプリの選択をして「グループへの割り当て」ボタンをクリックします。
| ・アプリ表示名はユーザーダッシュボードに表示される名称です。
・プライマリドメインはGoogle Workspaceの管理画面の「ホーム」の「ドメイン」に表示されます。 ・連携アプリは、必要なアプリの左側にあるチェックボックスをクリックすることで、ユーザーダッシュボードにアプリごとにアイコンが表示されます。 |
6.「SaaSアプリを割り当てるグループ」を選択します。シングルサインオン(SSO)を設定したいグループ名の左側にあるチェックボックスをクリックして、「設定確認へ」ボタンをクリックします。
| ・グループは、複数指定可能です。
・「グループ名」の左側にあるチェックボックスをクリックすると全選択になります。 ・「SaaSアプリを割り当てるグループ」をスキップすることも可能です。 スキップする場合は、「スキップ」ボタンをクリックします。 |
7.「設定確認」画面が表示されます。内容を確認して、「登録する」ボタンをクリックします。
8.「SaaSアプリ設定処理を受け付けました。」と表示されたのを確認して「戻る」ボタンをクリックします。
「SaaSアプリ一覧」画面にGoogle Workspaceが表示されます。
Google Workspace管理画面でのSAML認証設定
SAML認証の設定を行います。
| ・Google Workspaceでシングルサインオン(SSO)利用する場合、Google Workspace側と同じユーザーIDを、管理サイトのユーザー情報設定のメールアドレスに登録しておく必要があります。
「8.2.1. ユーザー情報を個別に登録する」「8.2.2. ユーザー情報を一括で登録する」 ※ライフサイクル管理オプションを契約して、Okta側で設定済みであればユーザーが同期されますが、基本プランではエンドユーザー側でGoogle Workspaceにユーザーを作成する必要があります。 ・SSOプロファイルの割り当て完了後から、割り当てた組織内でSSO連携を行っていないユーザーはGoogle Workspaceのサービスを利用することができなくなります。 |
1.Google Workspace管理画面に管理者権限を持つアカウントでログインします。
2.「セキュリティ」から、「認証」を開き、「サードパーティのIdPによるSSO」をクリックします。
| 今回提供するシングルサインオンの構成は、SPPM側にアカウント情報を登録し、そのアカウント情報を使用してGoogleのWebサービス(SasSサービス)を使用しますので、Google Workspace側がSP(Service Provider)となります。 |
3.「サードパーティの SSO プロファイル」の項目から、「SAMLプロファイルを追加」をクリックします。
4.「新しいSAML SSO プロファイルを追加」画面の「SAML SSO プロファイル」と「Idpの詳細」を入力し、「保存」ボタンをクリックします。
SAMLプロファイルが作成され、SSOプロファイルの作成が完了します。
「サードパーティの SSO プロファイル」に作成したSAMLプロファイルが表示されます。
| ・「SSOプロファイル名」は、任意の名前を記載します。
・「Idpの詳細」の各項目は、下記画面の「SaaSアプリのSAML設定時に必要な情報」から必要な値をコピーしてください。 SPPM管理サイトの「ユーザー」から「SaaSアプリ管理」-「SaaSアプリ一覧」-「Google Workspaceのアイコンの右側にある設定アイコン」-「SAML認証設定情報の確認」
■コピー&ペーストする項目
|
|||||||||||||||||||
5.「SSOプロファイルの割り当ての管理」にて「管理」をクリックします。
作成したSSOプロファイルの割り当てを実施します。
6.「SSOプロファイルを選択」から作成したSSOプロファイルを選択し、「保存」をクリックします。
7.SPPM管理サイトに管理者権限を持つアカウントでログインし、「SaaSアプリ一覧」画面の「詳細情報の確認/変更」をクリックします。
8.「SaaSアプリ詳細」画面で「基本設定」の「変更」ボタンをクリックします。
9.「設定変更」画面で「RPID」を入力し、「設定内容の確認」ボタンをクリックします。
| 「RPID」の値は、Google Workspace管理画面から確認ができます。
1.「サードパーティの SSO プロファイル」の項目から、該当のSAML SSOプロファイルを選択 2.「SP の詳細」の「エンティティ ID」の末尾の「/」以降がRPIDとなります。
|
10.内容を確認後、「保存」ボタンをクリックし保存します。
11.「SaaSアプリ詳細」画面に「RPID」の値が表示されます。
12.「RPID」の登録が完了後、「SaaSアプリ一覧」画面の「Google Workspaceのアイコンの右側にある設定アイコン」から「SAML認証設定情報の確認」をクリックします。
「IdPエンティティID」の値が変更されているので再度コピーします。
13.Google Workspace管理画面の「セキュリティ」から、「認証」を開き、「サードパーティのIdPによるSSO」をクリックします。
14.「サードパーティの SSO プロファイル」から該当のプロファイルをクリックします。
15.「SAML SSO プロファイル」の「IdP の詳細」の「IdPエンティティID」に、SPPM管理サイトでコピーした「IdPエンティティID」の値をペーストし、「保存」ボタンをクリックします。
16.SAML認証設定が完了となります。
| ・設定が完了後、管理サイト>運用管理>ログ検索>ログ種類「登録/変更/削除/出力」で「SaaSアプリ基本設定変更」のログが表示されます。
・ユーザーがシングルサインオン(SSO)する作業手順については、「9.2.2.SaaSアプリにシングルサインインする」を参照してください。 |
SAML認証設定後に設定内容を変更する
SAML認証完了後に設定済みの内容を変更したい場合の操作手順について説明します。
1.「ユーザー」から「SaaSアプリ管理」-「 SaaSアプリ一覧」の順にクリックします。
「SaaSアプリ一覧」画面が表示されます。
2.Google Workspaceのアイコンの右側にある設定アイコンから「詳細情報の確認/変更」をクリックします。
「SaaSアプリ詳細」画面が表示されます。
アプリ表示名、連携アプリを変更したい場合
1.「基本設定」の右側にある「変更」ボタンをクリックします。
「設定変更」画面が表示されます。
2.基本設定の「アプリ表示名」、「連携アプリ」を変更して、「設定内容の確認」ボタンをクリックします。
| プライマリドメインは設定変更することができません。プライマリドメインを変更したい場合は、SaaSアプリの設定を削除してください。 |
「設定内容の確認」画面が表示されます。
3.設定内容を確認し、「保存」ボタンをクリックします。
「SaaSアプリ詳細」画面が表示されます。
SaaSアプリを割り当てたグループを変更したい場合
1.「SaaSアプリを割り当てたグループ」の右側にある「変更」ボタンをクリックします。
「割り当て対象変更」画面が表示されます。
2.「SaaSアプリを割り当てるグループ」を変更します。割り当てたいグループの左側にあるチェックボックスをクリックします。
| グループ名の左側にあるチェックボックスをクリックすると、すべてのグループが選択/解除されます。 |
3.「設定内容の確認」ボタンをクリックします。
「変更内容の確認」画面が表示されます。
4.変更内容を確認し、「保存」ボタンをクリックします。
「SaaSアプリ詳細」画面が表示されます。
SAML認証設定を削除する
SAML認証完了後に設定済みの内容を削除したい場合の操作手順について説明します。
|
・SPPMとSaaSアプリの連携を解除する場合は、必ずSaaSアプリの削除を実施後にSPPMのユーザー情報を削除してください。 ・SPPMのユーザー情報を先に削除した場合、SaaSアプリに登録しているユーザー情報も削除され、認証ができなくなります。 |
1.「ユーザー」から「SaaSアプリ管理」-「SaaSアプリ一覧」をクリックします。
「SaaSアプリ一覧」画面が表示されます。
2.設定内容を変更したいSaaSアプリの右側にある設定アイコンから「SaaSアプリ削除」をクリックします。
「SaaSアプリ削除を削除しますか?」画面が表示されます。
3.「SaaSアプリを削除しますか?」画面に記載されている内容を確認して、「削除」ボタンをクリックします。
「SaaSアプリ一覧」画面からSaaSアプリを削除します。