皆さんこんにちは。
業務ハックLabのよ～よんです。

今日はGoogle WorkspaceでSSOを使用する方法についてご案内したいと思います。

SSOとは
シングル・サインオンとは1組のIDとパスワードによる認証を行うだけで複数のWebサービス、クラウドサービス、アプリなどにログインができる仕組みのこと。

昨今、色々なサービスがクラウド化されていく中でそれぞれにIDとパスワードの設定が必要となり、ユーザーは非常に多くのID、パスワードを管理しなければならない状況になっています。
これはパスワードの使い回しや単純なパスワードを設定するなどの温床となり、結果的にセキュリティレベルを下げてしまうこともあります。
それらを解消すべく、各システムでSSOを利用できる物が増えてきています。

SSOを導入することで利便性が向上したり、パスワードの漏洩リスクの軽減、管理者の負担の軽減などに繋がります。
その一方で、パスワードが漏洩してしまうと重大なセキュリティリスクにつながったり、SSO用のシステムが停止すると関連サービスにログインできなくなってしまうと言ったリスクもあります。
挿入する上ではこれらのメリット・デメリットを良く理解した上で導入するようにしましょう。

それでは早速設定方法について説明していきましょう！！

• Google WorkspaceでのSSO設定方法
  • AAD側の設定
  • Google Workspace側の設定

 

Google WorkspaceでのSSO設定方法

今回、IdP(Identify Provide)はAzure Active Directory(以下AAD)を使用します。
Azure Active DirectoryはFree版でもSSOできるアプリの数などは制限されますが基本機能は利用できます。
条件付きアクセスや、グループアクセス管理までしたい場合はP1以上のライセンスにしましょう。

AAD側の設定

1. Azureポータルにアクセスし、「Azure Active Directory」をクリックします。
   

   

2. [エンタープライズアプリケーション」をクリックします。
   

   

3. 「新しいアプリケーション」をクリックします。
   

   

4. 「Google Cloud Platform」をクリックします。
   

   

5. 画面が切り替わったらもう一度「Google Cloud Platform」をクリックします。
   

   

6. 「作成」をクリックします。
   

   

7. エンタープライズアプリケーションに「Google Cloud」が追加されるのでブレードメニューの中から「シングルサインオン」→「SAML」をクリックします。
   

   

8. 基本的なSMAL構成の「編集」をクリックします。
   

   

9. 識別子の箇所に必要な情報を入力します。
   

   入力内容

   google.com

   google.com/a/自分のドメイン

   http://google.com

   http://google.com/a/自分のドメイン

   

10. 応答URLに必要情報を入力します。
    

    入力内容

    https://www.google.com

    https://www.google.com/a/自分のドメイン

    
    

    

11. サインオンURLに必要情報を入力します。
    

    入力内容	サインイン後の初期画面
    https://www.google.com/a/自分のドメイン/ServiceLogin?continue=https://mail.google.com	GMailにする場合
    https://www.google.com/a/自分のドメイン/ServiceLogin?continue=https://console.cloud.google.com	Goole Cloud Platformにする場合

    

12. 「保存」をクリックします。
    

    

13. 画面上部にてテストを勧める表示が出ますがここでは「いいえ」をクリックします。
    

    

14. ユーザー属性とクレームを編集します。
    デフォルトの設定では「追加の要求」の箇所に4つほど属性が追加されていますがこの部分は削除します。
    理由としてはユーザー名が英数字の場合、このままでも認証が通るのですが、全角の場合、認証が取らず、ログインができないためです。
    

    
    
    

15. SAML署名証明書でbase64の証明書をダウンロードします。
    

    

16. 下記情報(ログインURLとログアウトURL)をコピーしておきます。
    (メモ帳などにコピーしておきましょう)
    

    

17. SSOを利用するユーザーの割当を行う為、ブレードメニューに戻り、「ユーザーとグループ」をクリックします。
    

    

18. 「ユーザーまたはグループの追加」をクリックします。
    

    

19. ユーザーの「選択されていません」をクリックします。
    

    

20. 追加するユーザーを選択し「選択」をクリックします。
    

    

21. 「割り当て」をクリックします。
    

    

22. ユーザーが追加されていれば完了です。
    

    

ここまででひとまずAAD側の設定画完了です。
引き続きGoogle Workspace側の設定を行います。

Google Workspace側の設定

1. Google Workspaceの管理コンソールから「セキュリティ」をクリックします。
   

   

2. 「サードパーティのIDプロバイダを使用したシングルサインオン(SSO)の設定」をクリックします。
   

   

3.  各項目をチェック、入力します。
   

   項目	内容
   サードパーティのIDプロバイダでSSOを設定する	チェックをオンにする
   ログインページのURL	AADでコピーした「ログインURL」
   ログアウトページのURL	AADでコピーした「ログアウトURL」
   確認用の証明書	Goole Cloud Platformにする場合
   パスワード変更用 URL	https://account.activedirectory.windowsazure.com/ChangePassword.aspx

   

 

これでGoogle Workspaceの設定は完了です。
ちなみにSSO連携すると自動プロビジョニングも可能です。
プロビジョニングの設定についてはまた後日、記事にしようと思います。
それでは皆さん、良い業務ハックライフを～