業務ハックLab

とある社内SEの備忘録的なものです。

【スポンサーリンク】

Google WorkspaceでAzure ADを利用したSSOを設定する

皆さんこんにちは。
業務ハックLabのよ~よんです。

今日はGoogle WorkspaceでSSOを使用する方法についてご案内したいと思います。

SSOとは
シングル・サインオンとは1組のIDとパスワードによる認証を行うだけで複数のWebサービスクラウドサービス、アプリなどにログインができる仕組みのこと。

昨今、色々なサービスがクラウド化されていく中でそれぞれにIDとパスワードの設定が必要となり、ユーザーは非常に多くのID、パスワードを管理しなければならない状況になっています。
これはパスワードの使い回しや単純なパスワードを設定するなどの温床となり、結果的にセキュリティレベルを下げてしまうこともあります。
それらを解消すべく、各システムでSSOを利用できる物が増えてきています。

SSOを導入することで利便性が向上したり、パスワードの漏洩リスクの軽減、管理者の負担の軽減などに繋がります。
その一方で、パスワードが漏洩してしまうと重大なセキュリティリスクにつながったり、SSO用のシステムが停止すると関連サービスにログインできなくなってしまうと言ったリスクもあります。
挿入する上ではこれらのメリット・デメリットを良く理解した上で導入するようにしましょう。

それでは早速設定方法について説明していきましょう!!

 

Google WorkspaceでのSSO設定方法

今回、IdP(Identify Provide)はAzure Active Directory(以下AAD)を使用します。
Azure Active DirectoryはFree版でもSSOできるアプリの数などは制限されますが基本機能は利用できます。
条件付きアクセスや、グループアクセス管理までしたい場合はP1以上のライセンスにしましょう。

AAD側の設定

  1. Azureポータルにアクセスし、「Azure Active Directory」をクリックします。

    f:id:yo-yon:20210405141211p:plain

  2. [エンタープライズアプリケーション」をクリックします。

    f:id:yo-yon:20210405141243p:plain

  3. 「新しいアプリケーション」をクリックします。

    f:id:yo-yon:20210405141354p:plain

  4. Google Cloud Platform」をクリックします。

    f:id:yo-yon:20210405141454p:plain

  5. 画面が切り替わったらもう一度「Google Cloud Platform」をクリックします。

    f:id:yo-yon:20210405141534p:plain

  6. 「作成」をクリックします。

    f:id:yo-yon:20210405141607p:plain

  7. エンタープライズアプリケーションに「Google Cloud」が追加されるのでブレードメニューの中から「シングルサインオン」→「SAML」をクリックします。

    f:id:yo-yon:20210405141752p:plain

  8. 基本的なSMAL構成の「編集」をクリックします。

    f:id:yo-yon:20210405141839p:plain

  9. 識別子の箇所に必要な情報を入力します。
    入力内容
    google.com
    google.com/a/自分のドメイン
    http://google.com
    http://google.com/a/自分のドメイン

    f:id:yo-yon:20210405213136p:plain

  10. 応答URLに必要情報を入力します。
    入力内容
    https://www.google.com
    https://www.google.com/a/自分のドメイン

    f:id:yo-yon:20210405213213p:plain

  11. サインオンURLに必要情報を入力します。
    入力内容 サインイン後の初期画面
    https://www.google.com/a/自分のドメイン/ServiceLogin?continue=https://mail.google.com GMailにする場合
    https://www.google.com/a/自分のドメイン/ServiceLogin?continue=https://console.cloud.google.com Goole Cloud Platformにする場合

    f:id:yo-yon:20210405141955p:plain

  12. 「保存」をクリックします。

    f:id:yo-yon:20210405142013p:plain

  13. 画面上部にてテストを勧める表示が出ますがここでは「いいえ」をクリックします。

    f:id:yo-yon:20210405142035p:plain

  14. ユーザー属性とクレームを編集します。
    デフォルトの設定では「追加の要求」の箇所に4つほど属性が追加されていますがこの部分は削除します。
    理由としてはユーザー名が英数字の場合、このままでも認証が通るのですが、全角の場合、認証が取らず、ログインができないためです。

    f:id:yo-yon:20210406102840p:plain
    f:id:yo-yon:20210406103434p:plain
    f:id:yo-yon:20210406103503p:plain

  15. SAML名証明書でbase64の証明書をダウンロードします。

    f:id:yo-yon:20210405142106p:plain

  16. 下記情報(ログインURLとログアウトURL)をコピーしておきます。
    (メモ帳などにコピーしておきましょう)

    f:id:yo-yon:20210405151442p:plain

  17. SSOを利用するユーザーの割当を行う為、ブレードメニューに戻り、「ユーザーとグループ」をクリックします。

    f:id:yo-yon:20210405143802p:plain

  18. 「ユーザーまたはグループの追加」をクリックします。

    f:id:yo-yon:20210405142813p:plain

  19. ユーザーの「選択されていません」をクリックします。

    f:id:yo-yon:20210405142843p:plain

  20. 追加するユーザーを選択し「選択」をクリックします。

    f:id:yo-yon:20210405143401p:plain

  21. 「割り当て」をクリックします。

    f:id:yo-yon:20210405143702p:plain

  22. ユーザーが追加されていれば完了です。

    f:id:yo-yon:20210405143729p:plain

ここまででひとまずAAD側の設定画完了です。
引き続きGoogle Workspace側の設定を行います。

Google Workspace側の設定

  1. Google Workspaceの管理コンソールから「セキュリティ」をクリックします。

    f:id:yo-yon:20210405144703p:plain

  2. サードパーティのIDプロバイダを使用したシングルサインオン(SSO)の設定」をクリックします。

    f:id:yo-yon:20210405144744p:plain

  3.  各項目をチェック、入力します。
    項目 内容
    サードパーティのIDプロバイダでSSOを設定する チェックをオンにする
    ログインページのURL AADでコピーした「ログインURL」
    ログアウトページのURL AADでコピーした「ログアウトURL」
    確認用の証明書 Goole Cloud Platformにする場合
    パスワード変更用 URL https://account.activedirectory.windowsazure.com/ChangePassword.aspx

    f:id:yo-yon:20210405145556p:plain

 

これでGoogle Workspaceの設定は完了です。
ちなみにSSO連携すると自動プロビジョニングも可能です。
プロビジョニングの設定についてはまた後日、記事にしようと思います。
それでは皆さん、良い業務ハックライフを~

免責事項