コンテンツにスキップ

Google Workspaceのアプリ連携

シングルサインオン

SingleIDのアプリ登録およびIdPエンドポイントメタデータのダウンロード

  1. SingleID 管理者ポータル>アプリ連携>アプリ一覧画面へ移動します。
  2. カタログ表示ボタンをクリックします。

    Screenshot

  3. アプリカタログが表示されるので、Google Workspaceの登録ボタンをクリックします。

    Screenshot

  4. アプリ登録画面がポップアップします。情報タブの名前に、アプリを識別できるような名前を、半角小文字の英数字-(ハイフン)_(アンダースコア)で設定します。

  5. シングルサインオンタブに移動します。

    Screenshot

  6. SSO 有効/無効有効に設定します。

  7. IdP エンドポイントメタデータダウンロードボタンをクリックし、メタデータを取得します。このメタデータは、Google Workspaceの設定を行うときに必要となります。
  8. 以下の内容で設定し、登録ボタンをクリックします。

    設定項目 設定内容
    パスワード認証 パスワード認証の有効/無効の設定です。
    証明書認証 証明書認証の有効/無効の設定です。
    SSO Cookie認証 Cookie認証の有効/無効の設定です。
    NameIDフォーマット email

    Info

    • パスワード認証:有効、証明書認証:有効の場合、ログイン時に、パスワード認証または証明書認証の認証方式の選択が可能です。証明書がデバイスにインストールされていない場合には、自動的に、パスワード認証方式が選択されます。
    • パスワード認証:無効、証明書認証:有効の場合、ログイン時に、証明書認証のみが可能です。証明書がインストールされていないデバイスからのログインはできません。
    • SSO Cookie認証:無効の場合、他のアプリで認証済みであっても、認証が要求されます。つまり、SSOではなくなります。

    Screenshot

Google WorkspaceのSAML認証設定

  1. Google Workspace 管理コンソールへログインします。
  2. 左サイドメニューからセキュリティ>認証>サードパーティのIdPによるSSOを選択してサードパーティのIdPによるSSO設定画面へ移動します。
  3. 組織向けのサードパティのSSOプロファイルセクションのSSOプロファイルを追加をクリックし、SSOプロファイルを設定します。

    Screenshot

  4. 以下の内容で設定し、保存をクリックします。

    Google Workspaceの設定項目 設定内容
    サードパーティの ID プロバイダで SSO を設定する 有効
    ログインページの URL SingleIDのIdPエンドポイントメタデータのファイルを開きます。
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location= から始まる行のURLを入力します。

    (例:https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/protocol/saml
    ログアウト ページの URL SingleIDのIdPエンドポイントメタデータのファイルを開きます。
    <md:EntityDescriptor entityID= から始まる行のURLを参照し、以下のように入力します。

    <entityIDの値>/protocol/openid-connect/logout?redirect_uri=<entityIDの値>/account/

    (例:https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/protocol/openid-connect/logout?redirect_uri=https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/account/
    ドメイン固有の発行元を使用 使用しない
    パスワード変更用 URL SingleIDのIdPエンドポイントメタデータのファイルを開きます。
    <md:EntityDescriptor entityID= から始まる行のURLを参照し、以下のように入力します。

    <entityIDの値>/account/

    (例:https://auth-02-0001.poc.singleid.jp/auth/realms/90000013/account/
    確認用の証明書 SingleIDのIdPエンドポイントメタデータのファイルを開きます。
    <ds:X509Certificate>タグ内のMIIで始まる文字列(例:MIICnzCCAYcCBgF/zubcKTANBgkqhkiG9w0BAQsFADATMREwDwYDVQQDDAg3MDAwMDA4MTA……..)をコピーして、-----BEGIN CERTIFICATE----------END CERTIFICATE-----のテキストの間に張り付けて、テキストファイル(PEM形式の証明書)として保存します。そのファイルをアップロードします。

    Screenshot

プロビジョニング

SingleIDおよびGoogle Workspaceの両方に存在するユーザのみが、シングルサインオン可能です。SingleIDのメールアドレスGoogle Workspaceのメールアドレスが一致する必要があります。

Google Cloud Directory Sync(GCDS)によるユーザ同期を行うことで、SingleIDのユーザをGoogle Workspaceへ同期することができます。

Warning

クラウドLDAPが、Google Workspaceと同期できるのはユーザ情報のみです。グループ同期はできません。

アプリにユーザ追加

  1. SingleID 管理者ポータル>アプリ連携>アプリ一覧画面へ移動します。
  2. 登録したアプリの列にあるチェックボックスを選択します。
  3. ユーザ追加ボタンをクリックします。

    Screenshot

  4. ユーザ追加画面がポップアップします。アプリへ追加したいユーザ名を選択し、登録ボタンをクリックして、アプリへユーザを追加します。

    Screenshot

動作確認

  1. Googleへアクセスします。
  2. ログインボタンをクリックします。
  3. 特権管理者の権限を持たないユーザのメールアドレスを入力し、次へボタンをクリックします。

    Screenshot

  4. SingleIDのログイン画面が表示されます。すでに、SingleIDへログイン中であれば、ログイン画面は表示されず、Google Workspaceへログインできます。

    Screenshot