オプションの SSO 設定と管理

証明書をローテーションする方法

SAML シングル サインオン(SSO)プロファイルに 2 つの証明書をアップロードすると、Google はどちらの証明書でも IdP からの SAML レスポンスを検証できます。これにより、IdP 側で期限切れの証明書を安全にローテーションできます。証明書の有効期限が切れる 24 時間以上前に、次の手順を行います。

  1. IdP で新しい証明書を作成します。
  2. 証明書を 2 番目の証明書として管理コンソールにアップロードします。手順については、SAML プロファイルを作成するをご覧ください。
  3. 新しい証明書で Google ユーザー アカウントが更新されるまで、24 時間待ちます。
  4. 期限切れの証明書の代わりに新しい証明書を使用するように IdP を構成します。
  5. (省略可)ユーザーがログインできることを確認したら、管理コンソールから古い証明書を削除します。その後、必要に応じて新しい証明書をアップロードできます。

自動入力のメールアドレスを使用して SSO ログインを簡素化する

ユーザーがログインしやすくなるように、インバウンド SAML シングル サインオン(SSO)プロファイルを作成または更新する際に、[メールの自動入力] を有効にします。

メールアドレスの自動入力機能を使用すると、サードパーティの ID プロバイダ(IdP)のログインページのメールアドレス欄に自動的に入力されます。そのため、ユーザーはパスワードを入力するだけで済みます。[メールの自動入力] は、新しいインバウンド SAML SSO プロファイルを作成するとき、または既存のプロファイルを更新するときに有効にできます。

メールアドレスの自動入力では、ログインヒント パラメータを使用して、ユーザーのメールアドレスを IdP に安全に送信します。このパラメータは、多くのサードパーティ製 IdP が IdP で開始されるログインでサポートしている一般的な機能です。

ログインヒント パラメータは標準化されていないため、IdP に応じて以下のようなさまざまなパターンが使用されます。

  • login_hint: (Microsoft Entra などの IdP でサポートされています)
  • LoginHint: (Okta などの IdP でサポートされています)

このようなさまざまなパターンがあるため、IdP がサポートしている形式を確認し、Google 管理コンソールで対応する設定を選択する必要があります。

メールアドレスの自動入力を有効にするオプション

新しいプロファイルでメールの自動入力を有効にする

  1. 管理者アカウントで Google 管理コンソールにログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [認証] 次に [サードパーティの IdP による SSO] に移動します。

    アクセスするには、セキュリティ設定の管理者権限が必要です。

  3. [サードパーティの SSO プロファイル] セクションで、[SAML プロファイルを追加] をクリックします。
  4. [SAML SSO プロファイル] に、プロファイル名を入力します。
  5. [メールアドレスの自動入力] で、IdP がサポートするログインヒントの形式に一致するオプションを選択します。
  6. [IdP の詳細] セクションで、次の手順を完了します。
    1. IdP から取得した [IdP エンティティ ID]、[ログインページの URL]、[ログアウト ページの URL] を入力します。
    2. [パスワード変更用 URL] に、IdP のパスワード変更用 URL を入力します。
      ユーザーは、この URL にアクセスしてパスワードを再設定できるようになります。
  7. [保存] をクリックして、プロファイルの作成を続行します。

既存のプロファイルでメールの自動入力を有効にする

  1. 管理者アカウントで Google 管理コンソールにログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [認証] 次に [サードパーティの IdP による SSO] に移動します。

    アクセスするには、セキュリティ設定の管理者権限が必要です。

  3. [サードパーティの SSO プロファイル] セクションで、更新するプロファイルをクリックします。
  4. [SP の詳細] をクリックします。
  5. [メールアドレスの自動入力] で、IdP がサポートするログインヒントの形式に一致するオプションを選択します。
  6. [保存] をクリックします。

ドメイン固有のサービス URL を管理する

[ドメイン固有のサービスの URL] 設定では、ユーザーが https://mail.google.com/a/example.com などのサービス URL を使用してログインしたときの動作を管理できます。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [認証] 次に [サードパーティの IdP による SSO] に移動します。

    アクセスするには、セキュリティ設定の管理者権限が必要です。

  2. [ドメイン固有のサービス URL] をクリックして設定を開きます。

選択肢は 2 つです。

  • ユーザーをサードパーティ IdP にリダイレクトする。SSO プロファイルのプルダウン リストで選択したサードパーティの IdP にユーザーを常にリダイレクトするには、このオプションを選択します。組織向けの SSO プロファイルまたは追加済みの別のサードパーティのプロファイル(追加してある場合)を使用できます。

    重要: SSO を使用していない組織部門またはグループがある場合は、この設定を選択しないでください。SSO を使用していないユーザーが自動的に IdP にリダイレクトされ、ログインできなくなります。

  • 最初にユーザーに Google のログインページでのユーザー名の入力を要求する。このオプションを使用すると、ドメイン固有の URL を入力したユーザーはまず Google ログインページにリダイレクトされます。これらのユーザーが SSO を使用している場合、IdP ログインページにリダイレクトされます。

ネットワーク マッピングの結果

ネットワーク マスクは、クラスレス ドメイン間ルーティング(CIDR)表記を使用して表される IP アドレスです。CIDR は、IP アドレスに含まれるビット数を指定します。組織の SSO プロファイルでは、ネットワーク マスクを使用して、SSO サービスに通知する IP アドレスまたは IP アドレスの範囲を特定できます。

注: ネットワーク マスクの設定上、現在のところ、ドメイン固有のサービスの URL([サービス名].google.com/a/[ドメイン名].com などの URL)のみが SSO のログインページにリダイレクトされます。

各ネットワーク マスクで正しい形式を使用する必要があります。次の IPv6 の例では、スラッシュ(/)とそれに続く数字が CIDR を表します。アドレスの下位 96 ビットは考慮されず、そのネットワーク範囲のすべての IP アドレスが影響を受けます。

  • 2001:db8::/32

次の IPv4 の例では、下位 8 ビット(0)は考慮されず、64.233.187.0 から 64.233.187.255 の範囲にあるすべての IP アドレスが影響を受けます。

  • 64.233.187.0/24

ドメインでネットワーク マスクを使っていない場合は、特権管理者ではないユーザーを ID プロバイダ(IdP)に追加する必要があります。

Google サービスの URL にアクセスする際の SSO ユーザー エクスペリエンス

次の表に、ネットワーク マスクを使う場合と使わない場合の、Google サービス URL に直接アクセスした際のユーザー エクスペリエンスを示します。

ネットワーク マスクを使わない場合 特権管理者: ユーザー:
[サービス名].google.com Google のメールアドレスとパスワードの入力が求められます。 メールアドレスの入力を求められた後、SSO ログインページにリダイレクトされます。
ネットワーク マスクを使用する場合 特権管理者とユーザー
[サービス名].google.com メールアドレスとパスワードの入力が求められます。
[サービス名].google.com
/a/[ドメイン名].com*
(ネットワーク マスク		 SSO ログインページにリダイレクトされます。
[サービス名].google.com
/a/[ドメイン名].com
(ネットワーク マスク
 メールアドレスとパスワードの入力が求められます。
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

login_hint URL パラメータを使用して Google の OAuth 2.0 エンドポイントにアクセスするユーザーは、SSO ログインページにリダイレクトされます。

* すべてのサービスがこの URL パターンをサポートしているわけではありません。これらの URL パターンに対応しているサービスの例としては、Gmail やドライブがあります。

ネットワーク マスク設定時のセッション有効期限

以下の場合は、ユーザーのアクティブな Google セッションが終了し、ユーザーに再認証が求められることがあります。

  • ユーザー セッションが、管理コンソールの [Google のセッション管理] で指定されたセッション継続時間の上限に達した。
  • 管理者がユーザー アカウントのパスワードを変更した、あるいは(管理コンソールまたは Admin SDK を使用して)次回ログイン時にパスワードを変更するようユーザーに求める設定を行った。

ユーザー エクスペリエンス

ユーザーがサードパーティの IdP でセッションを開始した場合、セッションは削除され、ユーザーは Google ログインページにリダイレクトされます。

ユーザーはサードパーティの IdP で Google セッションを開始したため、アカウントに再びアクセスするために Google へのログインが必要な理由を理解できない可能性があります。ユーザーは、Google の他の URL にアクセスしようとした場合にも、Google ログインページにリダイレクトされることがあります。

アクティブなユーザー セッションの終了を伴うメンテナンスを計画している場合、ユーザーの混乱を防ぐには、セッションからログアウトし、メンテナンスが終了するまでログアウトしたままにするようユーザーに案内してください。

ユーザー アカウントへの再アクセス

アクティブ セッションの終了により Google ログインページが表示された場合、ユーザーは次のいずれかの方法で再びアカウントにアクセスできます。

  • [意図せずこのページが開いた場合は、こちらをクリックしてログアウトしてからログインし直してみてください] というメッセージが表示された場合は、メッセージ内のリンクをクリックする。
  • このようなメッセージまたはリンクが表示されない場合は、いったんログアウトして https://accounts.google.com/logout から再びログインします。
  • ブラウザの Cookie を削除する。

以上のいずれかの方法をとることで、Google セッションが完全に終了し、アカウントに再びログインできるようになります。

SSO で 2 段階認証プロセスを設定する

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [認証] 次に [ログイン時の本人確認] に移動します。

    アクセスするには、ユーザー セキュリティの管理の管理者権限が必要です。

  2. 左側で、ポリシーを設定する組織部門を選択します。

    全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。

  3. [SSO 後の本人確認] をクリックします。

  4. 組織での SSO プロファイルの使用方法に応じて設定を選択します。この設定は、以前の SSO プロファイルを使用するユーザーと、他の SSO プロファイルを使用してログインするユーザーに適用できます。

  5. 右下の [保存] をクリックします。

    ポリシーの変更を示すエントリが管理コンソールの監査ログに作成されます。

SSO 後の検証設定のデフォルトは、SSO のユーザータイプによって異なります。

  • 以前の SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスがバイパスされます。
  • SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスが適用されます。

関連情報


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。