SAML(Security Assertion Markup Language)を利用して、Google Cloud の認証情報で企業向けクラウド アプリケーションにログインできます。
AgileApps Cloud 用に SAML 経由での SSO を設定する
注: SSO を設定するには、AgileApps Cloud ドメインが必要です。たとえば、貴社のドメインはyourcompany.agileappscloud.comになります。AgileApps ドメインがない場合は、AgileApps サポートにお問い合わせください。
手順 1: Google を SAML ID プロバイダ(IdP)として設定する
-
Google 管理コンソールで、メニュー アイコン
[**アプリ**][**ウェブアプリとモバイルアプリ**] にアクセスします。この操作を実施するには、特権管理者としてログインする必要があります。
-
[アプリを追加][アプリを検索] をクリックします。
- 検索フィールドに「AgileApps Cloud 」と入力します。
- 検索結果で、[AgileApps] SAML アプリにカーソルを合わせ、[選択] をクリックします。
-
[Google ID プロバイダの詳細] ページで、次の操作を行います。
- [SSO の URL] と [エンティティ ID] の値をコピーして保存します。
- 証明書 をダウンロードします。
- [**続行**] をクリックします。
- On the [Service provider details] page, edit the [ACS URL] and [Entity ID] replacing {your-domain} with your AgileApps domain.
- [**続行**] をクリックします。
- [**属性のマッピング**] ページで、[**フィールドを選択**] メニューをクリックし、次の Google ディレクトリの属性を対応する AgileApps の属性にマッピングします。
Google ディレクトリの属性 AgileApps の属性 [Basic Information] > [Primary email] メール [Basic Information] > [First name] fname [Basic Information] > [Last name] lname -
(省略可)このアプリに関連するグループ名を入力するには:
- [グループ メンバーシップ(省略可)] で [グループを検索] をクリックし、グループ名の文字を 1 つ以上入力して、グループ名を選択します。
- 必要に応じてグループを追加します(最大 75 グループ)。
- [**アプリの属性**] に、サービス プロバイダの対応するグループ属性名を入力します。
入力したグループ名の数に関係なく、SAML レスポンスには、ユーザーが(直接的または間接的に)メンバーになっているグループのみが含まれます。詳しくは、グループ メンバーシップのマッピングの概要をご覧ください。
- [**完了**] をクリックします。
手順 2: AgileApps Cloud を SAML 2.0 のサービス プロバイダ(SP)として設定する
- シークレット モードで新しいブラウザ ウィンドウを開きます。
- 組織の AgileApps アカウントに管理者としてログインします。
- 右上の設定アイコンをクリックし、[Account Management] を選択します。
- [Single Sign-On Settings] をクリックします。
- [**編集**] ボタンをクリックします。
- 次の図のように、入力フィールドに値を入力します。
- Sign-On Using: SAML
- SAML Version: 2.0
- 発行者: 手順 1 でコピーしたエンティティ ID。
- SAML Third party authentication URL: 手順 1 でコピーした SSO の URL。
- SAML Request Issuer URL: https://{your-domain}。{your-domain} は AgileApps ドメインです。
- User Id Type: Platform User Id
- User Id Location: Attribute
- Attribute for User ID: email
- Create Users: オン
- Attribute for First Name: fname
- Attribute for Last Name: lname
- Attribute for Email: email
- Default User Type: Platform User
- Default Team、Access Profile、Application、Role: 新規作成ユーザーのデフォルトを選択します。
- Issuer Certificate: 手順 1 でダウンロードした証明書をアップロードします。
- [**保存**] をクリックします。
手順 3: AgileApps Cloud アプリを有効にする
-
Google 管理コンソールで、メニュー アイコン
[**アプリ**][**ウェブアプリとモバイルアプリ**] にアクセスします。この操作を実施するには、特権管理者としてログインする必要があります。
- [AgileApps Cloud] を選択します。
- [User access] をクリックします。
-
組織内のすべてのユーザーに対してサービスを有効または無効にするには、[オン(すべてのユーザー)] または [オフ(すべてのユーザー)] をクリックし、[保存] をクリックします。
-
(省略可)特定の組織部門に対してサービスを有効または無効にするには:
- 左側で組織部門を選択します。
- サービスのステータスを変更するには、[オン] または [オフ] を選択します。
- 次のいずれかを選択します。
- [サービスのステータス] が [**継承**] になっており、親組織の設定が変更されても現在の設定を維持したい場合は、[**オーバーライド**] をクリックします。
- [サービスのステータス] が [**オーバーライド**] になっている場合は、[**継承**] をクリックして親と同じ設定に戻すか、[**保存**] をクリックして新しい設定を維持します(親組織の設定が変更された場合でも、現在の設定を維持します)。
詳しくは、組織構造についての説明をご覧ください。
- (省略可)組織部門全体または組織部門内の一部のユーザーに対してサービスを有効にするには、アクセス グループを使用します。詳しくは、アクセス グループを使用してサービスへのアクセスをカスタマイズするをご確認ください。
- AgileApps Cloud のユーザー アカウントのメール ID が Google ドメイン内のものと一致することを確認します。
手順 4: SSO の動作を確認する
AgileApps では、ID プロバイダ(IdP)を起点とする SSO とサービス プロバイダ(SP)を起点とする SSO の両方がサポートされています。どちらのモードでも、次の手順で SSO を確認できます。
IdP を起点とする SSO
-
Google 管理コンソールで、メニュー アイコン
[**アプリ**][**ウェブアプリとモバイルアプリ**] にアクセスします。この操作を実施するには、特権管理者としてログインする必要があります。
- [AgileApps] を選択します。
- 左上の [**SAML ログインをテスト**] をクリックします。
AgileApps が別のタブで開きます。開かない場合は、表示された SAML エラー メッセージの情報を参考にして、必要に応じて IdP と SP の設定を更新し、SAML ログインをもう一度テストします。
SP を起点とする SSO
- ブラウザ ウィンドウをすべて閉じます。
- 新しいブラウザ ウィンドウで、AgileApps ログイン ページに移動し、アカウントにログインします。Google のログインページに自動的にリダイレクトされます。
- ログイン認証情報を入力します。
- ログイン認証情報が認証されると、AgileApps Cloud に自動的にリダイレクトされます。
注: Google によって認証されたユーザー アカウントが AgileApps に存在しない場合、AgileApps のジャストインタイム プロビジョニング システムにより自動的にユーザーが作成されます。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。