SAML(Security Assertion Markup Language)を利用して、Google Cloud の認証情報で企業向けクラウド アプリケーションにログインできます。
Amazon Business 用に SAML 経由での SSO を設定する
Amazon Business アプリケーション用に SAML 経由でのシングル サインオン(SSO)を設定する方法は、次のとおりです。
手順 1: Google の ID プロバイダ(IdP)情報を入手する
1.
[アプリを検索] をクリックします。3. 検索欄に「**Amazon Business**」と入力します。
4. 検索結果で、[**Amazon Business**] の SAML アプリにカーソルを合わせ、[**選択**] をクリックします。
5. [**Google ID プロバイダの詳細**] ページで、IdP メタデータ ファイルをダウンロードします。6. 管理コンソールを開いたままにして、Amazon Business アプリケーションで次の手順を実施した後に設定ウィザードを続けられるようにします。
Google 管理コンソールで、メニュー アイコン 
[アプリ] [ウェブアプリとモバイルアプリ] に移動します。
この操作を実施するには、特権管理者としてログインする必要があります。
2. [アプリを追加] [アプリを検索] をクリックします。3. 検索欄に「**Amazon Business**」と入力します。
4. 検索結果で、[**Amazon Business**] の SAML アプリにカーソルを合わせ、[**選択**] をクリックします。
5. [**Google ID プロバイダの詳細**] ページで、IdP メタデータ ファイルをダウンロードします。6. 管理コンソールを開いたままにして、Amazon Business アプリケーションで次の手順を実施した後に設定ウィザードを続けられるようにします。手順 2: Amazon Business を SAML 2.0 のサービス プロバイダ(SP)として設定する
*このタスクを行うには、有効な Amazon Business アカウントが必要です。*1. amazon.com で Amazon Business アカウントにログインします。2. 右上のアカウント名をクリックし、プルダウン メニューから [**アカウント**] を選択します。
3. アカウントのプロフィール ページで、[**Amazon Business の設定**] をクリックします。
4. (省略可)[**システム インテグレーション**] で [**ドメインの所有権の証明**] をクリックし、手順に沿って Google Workspace ドメインを追加して確認します。5. [**システム インテグレーション**] で [**シングル サインオン(SSO)**] を選択します。6. [**IDP Selected**] で [**Change**] をクリックして、確定します。7. [**Change IDP Selection**] リストで [**Google gSuite**] を選択し、[**Reset Configuration**] をクリックします。8. [**デフォルトのグループ**] でデフォルトのグループを選択し、[**デフォルトの購入ロール**] でロールを選択して、[**次へ**] をクリックします。9. 上記の手順 1 でダウンロードした Google IdP メタデータの XML ファイルを見つけてアップロードします。XML ファイルからエンティティ ID、発行者 URL、署名証明書、HTTP リダイレクト URL が自動的に解析されます。10. [**次へ**] をクリックします。11. [**属性のマッピング**] ページで、次のように Amazon 属性を SAML AttributeName の値にマッピングします。
12. [**次へ**] をクリックします。13. [**Amazon の接続データ**] で、[**SSO の URL**] をコピーします。この URL は、下記の手順 3 において管理コンソールで Google 側の設定を完了する際に必要になります。
| Amazon のデータ | SAML 属性名 |
|---|---|
| メール | メール |
| 名 | firstName |
| Last Name | lastName |
手順 3: 管理コンソールで SSO の設定を完了する
1. 管理コンソールのブラウザタブに戻ります。2. [**Google ID プロバイダの詳細**] ページで、[**続行**] をクリックします。3. [**サービス プロバイダの詳細**] ページで、[**ACS の URL**] を、上記の手順 2 の最後に Amazon Business SSO の設定からコピーした SSO の URL に置き換えます。4. 地域の [**エンティティ ID**] を更新します。たとえば、北米の場合は **https://www.amazon.com** を使用します。日本の場合は、**https://www.amazon.jp** を使用します。ヨーロッパの場合は、**https://www.amazon.de** を使用します。5. [**続行**] をクリックします。6. [**属性のマッピング**] ページで、[**フィールドを選択**] メニューをクリックし、次の Google ディレクトリの属性を対応する Amazon Business の属性にマッピングします。firstName、lastName、email 属性は必須です。
7. (省略可)[**マッピングを追加**] をクリックして、必要なマッピングを追加します。8.
(省略可)このアプリに関連するグループの名前を入力するには:
| Google ディレクトリの属性 | Amazon Business の属性 |
|---|---|
| Basic Information > Primary Email | メール |
| [Basic Information] > [First name] | firstName |
| [Basic Information] > [Last Name] | lastName |
- [グループ メンバーシップ(省略可)] で [グループを検索] をクリックし、グループ名の文字を 1 つ以上入力して、グループ名を選択します。
- 必要に応じてグループを追加します(最大 75 個のグループ)。
- [アプリの属性] に、サービス プロバイダの対応するグループ属性名を入力します。
入力したグループ名の数に関係なく、SAML レスポンスには、ユーザーが(直接的または間接的に)メンバーになっているグループのみが含まれます。詳しくは、グループ メンバーシップのマッピングの概要をご覧ください。
9. [完了] をクリックします。手順 4: Amazon Business アプリを有効にする
1.
Google 管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] に移動します。
この操作を実施するには、特権管理者としてログインする必要があります。
2. [**Amazon Business**] を選択します。3. [ユーザー アクセス] をクリックします。4.組織内のすべてのユーザーに対してサービスを有効または無効にするには、[オン(すべてのユーザー)] または [オフ(すべてのユーザー)] をクリックし、[保存] をクリックします。
5. (省略可)特定の組織部門に対してサービスを有効または無効にするには:- 左側で組織部門を選択します。
- サービスのステータスを変更するには、[オン] または [オフ] を選択します。
- 次のいずれかを選択します。
- [サービスのステータス] が [継承] になっており、親組織の設定が変更されても現在の設定を維持したい場合は、[オーバーライド] をクリックします。
- [サービスのステータス] が [オーバーライド] になっている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして新しい設定を維持します(親組織の設定が変更された場合でも、現在の設定を維持します)。
詳しくは、組織構造についての説明をご覧ください。
手順 5: SSO の動作を確認する
Amazon Business では、ID プロバイダ(IdP)およびサービス プロバイダ(SP)を起点とする SSO の両方がサポートされています。以下の手順に沿って、いずれかのモードの SSO を確認します。
**IdP 起動**
1.
Google 管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] に移動します。
この操作を実施するには、特権管理者としてログインする必要があります。
2. [**Amazon Business**] を選択します。3. 左上の [**SAML ログインをテスト**] をクリックします。 Amazon Business が別のタブで開きます。開かない場合は、表示された SAML エラー メッセージの情報を参考にして、必要に応じて IdP と SP の設定を更新し、SAML ログインをもう一度テストします。**SP を起点とする SSO** 1. Amazon で、[**SSO Connection**](SSO 接続)の [**Details**](詳細)ページに移動します。2. [**ステータス**] セクションで、[**テストを開始**] をクリックします。 3. [**テスト**] をクリックします。新しいブラウザ ウィンドウが開き、認証のために Google にリダイレクトされます。4. Amazon Business のアカウントにアクセスできる Google ユーザーとしてログインします。5. 次のことを確認します。 * ユーザー アカウントが Amazon Business に正常にログインしていること。 * SP を起点とする URL と IdP を起点とする URL はどちらも [**SSO 接続の詳細**] ページに表示されます。6. ユーザーが SP を起点とする URL を利用できるようにする準備ができたら、[**有効化**] をクリックします。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。