オプションの SSO 設定と管理

証明書をローテーションする方法

SAML シングル サインオン(SSO)プロファイルに 2 つの証明書をアップロードすると、Google はどちらの証明書でも IdP からの SAML レスポンスを検証できます。これにより、IdP 側で期限切れの証明書を安全にローテーションできます。証明書の有効期限が切れる少なくとも 24 時間前に、次の手順を行います。

  1. IdP で新しい証明書を作成します。
  2. 証明書を 2 番目の証明書として管理コンソールにアップロードします。手順については、SAML プロファイルを作成するをご覧ください。
  3. Google ユーザー アカウントが新しい証明書で更新されるまで 24 時間待ちます。
  4. 期限切れの証明書の代わりに新しい証明書を使用するように IdP を設定します。
  5. (省略可)ユーザーがログインできることを確認したら、管理コンソールから古い証明書を削除します。その後、必要に応じて新しい証明書をアップロードできます。

メールアドレスの自動入力を使用して SSO ログインを簡素化する

ユーザーがログインしやすくなるように、インバウンド SAML シングル サインオン(SSO)プロファイルを作成または更新する際に、[メールアドレスの自動入力] を有効にします。

メールアドレスの自動入力機能を使用すると、サードパーティの ID プロバイダ(IdP)のログインページのメールアドレス欄に自動的に入力されます。そのため、ユーザーはパスワードを入力するだけで済みます。[メールアドレスの自動入力] は、新しいインバウンド SAML SSO プロファイルを作成するとき、または既存のプロファイルを更新するときに有効にできます。

メールアドレスの自動入力では、ログインヒント パラメータを使用して、ユーザーのメールアドレスを IdP に安全に送信します。このパラメータは、多くのサードパーティ製 IdP が IdP で開始されるログインでサポートしている一般的な機能です。

ログインヒント パラメータは標準化されていないため、IdP に応じて以下のようなさまざまなパターンが使用されます。

  • login_hint: (Microsoft Entra などの IdP でサポートされています)
  • LoginHint: (Okta などの IdP でサポートされています)

このようなさまざまなパターンがあるため、IdP がサポートしている形式を確認し、Google 管理コンソールで対応する設定を選択する必要があります。

メールアドレスの自動入力を有効にするオプション

新しいプロファイルでメールアドレスの自動入力を有効にする

  1. 管理者 アカウントで Google 管理コンソールに ログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**認証**]次に[**サードパーティの IdP による SSO**] にアクセスします。

    アクセスするにはセキュリティ設定の管理者権限が必要です。

  3. [サードパーティの SSO プロファイル] セクションで、[SAML プロファイルを追加] をクリックします。
  4. [SAML SSO プロファイル] に、プロファイル名を入力します。
  5. [**メールアドレスの自動入力**] で、IdP がサポートするログインヒントの形式に一致するオプションを選択します。
  6. [**IdP の詳細**] で、次の手順を完了します。
    1. IdP から取得した [**IdP エンティティ ID**]、[**ログインページの URL**]、および [**ログアウト ページの URL**] を入力します。
    2. [**パスワード変更用 URL**] に、IdP のパスワード変更用 URL を入力します。
      ユーザーは、この URL にアクセスしてパスワードをリセットします。
  7. [**保存**] をクリックして、プロファイルの作成を続行します。

既存のプロファイルでメールアドレスの自動入力を有効にする

  1. 管理者 アカウントで Google 管理コンソールに ログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**認証**]次に[**サードパーティの IdP による SSO**] にアクセスします。

    アクセスするにはセキュリティ設定の管理者権限が必要です。

  3. [サードパーティの SSO プロファイル] セクションで、更新するプロファイルをクリックします。
  4. [**SP の詳細**] をクリックします。
  5. [**メールアドレスの自動入力**] で、IdP がサポートするログインヒントの形式に一致するオプションを選択します。
  6. [**保存**] をクリックします。

ドメイン固有のサービス URL を管理する

[ドメイン固有のサービスの URL] 設定では、ユーザーが https://mail.google.com/a/example.com などのサービス URL を使用してログインしたときの動作を管理できます。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**認証**]次に[**サードパーティの IdP による SSO**] にアクセスします。

    アクセスするにはセキュリティ設定の管理者権限が必要です。

  2. [**ドメイン固有のサービス URL**] をクリックして設定を開きます。

選択肢は 2 つです。

  • ユーザーをサードパーティ IdP にリダイレクトする。SSO プロファイルのプルダウン リストで選択したサードパーティの IdP にユーザーを常にリダイレクトするには、このオプションを選択します。これは、組織の SSO プロファイルにすることも、別のサードパーティ プロファイル(追加した場合)にすることもできます。

    重要: SSO を使用していない 組織部門またはグループがある場合は、この設定を選択しないでください。SSO を使用していないユーザーが自動的に IdP にリダイレクトされ、ログインできなくなります。

  • Google のログインページでユーザーにユーザー名の入力を求める。このオプションを選択すると、ドメイン固有の URL を入力したユーザーは、まず Google ログインページにリダイレクトされます。これらのユーザーが SSO を使用している場合、IdP ログインページにリダイレクトされます。

ネットワーク マッピングの結果

ネットワーク マスクはクラスレス ドメイン間ルーティング(CIDR)で表記される IP アドレスです。CIDR は、IP アドレスのビット数がいくつ含まれるかを指定します。組織の SSO プロファイルでは、ネットワーク マスクを使用して、SSO サービスに通知する IP アドレスまたは IP アドレスの範囲を特定できます。

[注]: ネットワーク マスクの設定上、現在のところ、ドメイン固有のサービスの URL([サービス名].google.com/a/[ドメイン名].com などの URL)のみが SSO のログインページにリダイレクトされます。

各ネットワーク マスクで正しい形式を使用することが重要です。次の IPv6 の例では、スラッシュ(/)とそれに続く数字が CIDR を表します。アドレスの下位 96 ビットは考慮されず、そのネットワーク範囲のすべての IP アドレスが影響を受けます。

  • 2001:db8::/32

次の IPv4 の例では、下位 8 ビット(0)は考慮されず、64.233.187.0 から 64.233.187.255 の範囲にあるすべての IP アドレスが影響を受けます。

  • 64.233.187.0/24

ドメインでネットワーク マスクを使っていない場合は、特権管理者ではないユーザーを ID プロバイダ(IdP)に追加する必要があります。

Google サービスの URL にアクセスする際の SSO ユーザー エクスペリエンス

次の表に、ネットワーク マスクの有無による Google サービスの URL への直接アクセス時のユーザー エクスペリエンスを示します。

ネットワーク マスクなし 特権管理者 ユーザー:
[service].google.com Google のメールアドレスとパスワードの入力を求められます。 メールアドレスの入力を求められ、SSO ログインページにリダイレクトされます。
ネットワーク マスクあり 特権管理者とユーザー
[service].google.com メールアドレスとパスワードの入力を求められます。
[サービス名].google.com
/a/[ドメイン名]*
(ネットワーク マスク内)		 SSO ログインページにリダイレクトされます。
[サービス名].google.com
/a/[ドメイン名]
(ネットワーク マスク外)
 メールアドレスとパスワードの入力を求められます。
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

OAuth 2.0 エンドポイントを使用して Google の login_hint URL パラメータにアクセスするユーザーは、SSO ログインページにリダイレクトされます。

* すべてのサービスがこの URL パターンをサポートしているわけではありません。Gmail やドライブなどがサポートしています。

ネットワーク マスク設定時のセッション有効期限

ユーザーのアクティブな Google セッションが終了し、再認証を求められる場合があります。

  • ユーザー セッションが、[Google のセッション管理] の管理コンソール設定で指定されたセッション継続時間の上限に達した。
  • 管理者がユーザー アカウントのパスワードを変更した、あるいは(管理コンソールまたは Admin SDK を使用して)次回ログイン時にパスワードを変更するようユーザーに求める設定を行った。

ユーザー エクスペリエンス

ユーザーがサードパーティの IdP でセッションを開始した場合、セッションは削除され、ユーザーは Google ログインページにリダイレクトされます。

ユーザーはサードパーティの IdP で Google セッションを開始したため、アカウントに再びアクセスするために Google へのログインが必要な理由を理解できない可能性があります。他の Google URL に移動しようとした場合でも、Google ログインページにリダイレクトされることがあります。

アクティブなユーザー セッションの終了を含むメンテナンスを計画している場合は、ユーザーの混乱を避けるため、セッションからログアウトし、メンテナンスが完了するまでログアウトしたままにするようユーザーに伝えてください。

ユーザー アカウントへの再アクセス

アクティブなセッションが終了したために Google ログインページが表示された場合は、次のいずれかの方法でアカウントに再びアクセスできます。

  • 「このページに誤ってアクセスした場合は、こちらをクリックしてログアウトし、もう一度ログインしてください」というメッセージが表示された場合は、メッセージ内のリンクをクリックします。
  • メッセージやリンクが表示されない場合は、https://accounts.google.com/logout にアクセスしてログアウトし、もう一度ログインします。
  • ブラウザの Cookie を削除します。

いずれかの再アクセス方法を使用すると、Google セッションが完全に終了し、ログインできるようになります。

SSO で 2 段階認証プロセスを設定する

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**認証**]次に[**ログイン時の本人確認**] にアクセスします。

    アクセスするには、ユーザー セキュリティの管理の管理者権限が必要です。

  2. 左側で、ポリシーを設定する組織部門を選択します。

    全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。

  3. [SSO 後の本人確認] をクリックします。

  4. 組織での SSO プロファイルの使用方法に応じて設定を選択します。この設定は、以前の SSO プロファイルを使用するユーザーと、他の SSO プロファイルを使用してログインするユーザーに適用できます。

  5. 右下の [Save] をクリックします。

    ポリシーの変更を示すエントリが管理コンソールの監査ログに作成されます。

SSO 後の検証設定のデフォルトは、SSO のユーザータイプによって異なります。

  • 以前の SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスがバイパス されます。
  • SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスが適用 されます。

関連情報


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他の会社名、製品名は各社の商標です。