Google Workspaceのアプリ連携

シングルサインオン

SingleIDのアプリ登録およびIdPエンドポイントメタデータのダウンロード

1. SingleID 管理者ポータル＞アプリ連携＞アプリ一覧画面へ移動します。

2. カタログ表示ボタンをクリックします。

   

3. アプリカタログが表示されるので、Google Workspaceの登録ボタンをクリックします。

   

4. アプリ登録画面がポップアップします。情報タブの名前に、アプリを識別できるような名前を、半角小文字の英数字、-（ハイフン）、_（アンダースコア）で設定します。

5. シングルサインオンタブに移動します。

   

6. SSO 有効/無効を有効に設定します。

7. IdP エンドポイントメタデータのダウンロードボタンをクリックし、メタデータを取得します。このメタデータは、Google Workspaceの設定を行うときに必要となります。

8. 以下の内容で設定し、登録ボタンをクリックします。

   設定項目	設定内容
   パスワード認証	パスワード認証の有効/無効の設定です。
   証明書認証	証明書認証の有効/無効の設定です。
   SSO Cookie認証	Cookie認証の有効/無効の設定です。
   NameIDフォーマット	email

   Info

   • パスワード認証：有効、証明書認証：有効の場合、ログイン時に、パスワード認証または証明書認証の認証方式の選択が可能です。証明書がデバイスにインストールされていない場合には、自動的に、パスワード認証方式が選択されます。
   • パスワード認証：無効、証明書認証：有効の場合、ログイン時に、証明書認証のみが可能です。証明書がインストールされていないデバイスからのログインはできません。
   • SSO Cookie認証：無効の場合、他のアプリで認証済みであっても、認証が要求されます。つまり、SSOではなくなります。

   

Google WorkspaceのSAML認証設定

1. Google Workspace 管理コンソールへログインします。
2. 左サイドメニューからセキュリティ＞認証＞サードパーティのIdPによるSSOを選択してサードパーティのIdPによるSSO設定画面へ移動します。

3. 組織向けのサードパティのSSOプロファイルセクションのSSOプロファイルを追加をクリックし、SSOプロファイルを設定します。

   

4. 以下の内容で設定し、保存をクリックします。

   Google Workspaceの設定項目	設定内容
   サードパーティの ID プロバイダで SSO を設定する	有効
   ログインページの URL	SingleIDのIdPエンドポイントメタデータのファイルを開きます。 <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=　から始まる行のURLを入力します。 （例：https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/protocol/saml）
   ログアウト ページの URL	SingleIDのIdPエンドポイントメタデータのファイルを開きます。 <md:EntityDescriptor entityID=　から始まる行のURLを参照し、以下のように入力します。 <entityIDの値>/protocol/openid-connect/logout?redirect_uri=<entityIDの値>/account/ （例：https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/protocol/openid-connect/logout?redirect_uri=https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/account/）
   ドメイン固有の発行元を使用	使用しない
   パスワード変更用 URL	SingleIDのIdPエンドポイントメタデータのファイルを開きます。 <md:EntityDescriptor entityID=　から始まる行のURLを参照し、以下のように入力します。 <entityIDの値>/account/ （例：https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/account/）
   確認用の証明書	SingleIDのIdPエンドポイントメタデータのファイルを開きます。 <ds:X509Certificate>タグ内のMIIで始まる文字列（例：MIICnzCCAYcCBgF/zubcKTANBgkqhkiG9w0BAQsFADATMREwDwYDVQQDDAg3MDAwMDA4MTA……..）をコピーして、-----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----のテキストの間に張り付けて、テキストファイル（PEM形式の証明書）として保存します。そのファイルをアップロードします。

   

プロビジョニング

SingleIDおよびGoogle Workspaceの両方に存在するユーザのみが、シングルサインオン可能です。SingleIDのメールアドレスとGoogle Workspaceのメールアドレスが一致する必要があります。

Google Cloud Directory Sync(GCDS)によるユーザ同期を行うことで、SingleIDのユーザをGoogle Workspaceへ同期することができます。

Warning

クラウドLDAPが、Google Workspaceと同期できるのはユーザ情報のみです。グループ同期はできません。

アプリにユーザ追加

1. SingleID 管理者ポータル＞アプリ連携＞アプリ一覧画面へ移動します。
2. 登録したアプリの列にあるチェックボックスを選択します。

3. ユーザ追加ボタンをクリックします。

   

4. ユーザ追加画面がポップアップします。アプリへ追加したいユーザ名を選択し、登録ボタンをクリックして、アプリへユーザを追加します。

   

動作確認

1. Googleへアクセスします。
2. ログインボタンをクリックします。

3. 特権管理者の権限を持たないユーザのメールアドレスを入力し、次へボタンをクリックします。

   

4. SingleIDのログイン画面が表示されます。すでに、SingleIDへログイン中であれば、ログイン画面は表示されず、Google Workspaceへログインできます。