SSO の設定

組織のニーズに応じて、Google をサービス プロバイダとしてさまざまな方法で SSO を設定できます。Google Workspace は、以下の SAML ベースと OIDC ベースの両方の SSO をサポートしています。

ユーザーがドメイン固有のサービスの URL を使用して Google サービス (https://mail.google.com/a/example.com など)にアクセスしている場合、SSO とこれらの URL をどのように連携させるかを管理することも できます

組織で IP アドレスに基づく条件付き SSO リダイレクトまたは 特権管理者向けの SSO が必要な場合は、以前の SSO プロファイルを設定することもできます。

SAML を使用して SSO を設定する

始める前に

SAML の SSO プロファイルを設定するには、IdP のサポートチームに問い合わせるかドキュメントを参照して、次のような基本的な設定を行う必要があります。

  • IdP エンティティ ID: IdP が Google と通信する際に自身を識別する方法です。
  • ログインページの URL: SSO URL や SAML 2.0 エンドポイント (HTTP)とも呼ばれているものです。ユーザーはこのページから IdP にログインします。
  • ログアウト ページの URL: ユーザーが Google アプリやサービスを閉じた後にアクセスするページの URL です。
  • パスワード変更用 URL: SSO ユーザーは Google のパスワード変更ページではなく、このページで パスワードを変更します。
  • 証明書: ご利用の IdP が発行する X.509 の PEM 形式の証明書です。証明書には、IdP からのログインを確認する公開鍵が含まれています。

証明書の要件

  • 証明書は、公開鍵が埋め込まれた PEM または DER 形式の X.509 証明書である必要があります。
  • 公開鍵は DSA または RSA のアルゴリズムで作成する必要があります。
  • 証明書の公開鍵は、SAML レスポンスの署名に使用される秘密鍵と一致する必要があります。

通常、これらの証明書はご利用の IdP から取得します。ただし、自分で生成することもできます

SAML SSO プロファイルを作成する

サードパーティの SSO プロファイルを作成する手順は次のとおりです。組織で作成できるプロファイルは 1,000 個までです。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**認証**] 次に [**サードパーティの IdP による SSO**] にアクセスします。

    アクセスするにはセキュリティ設定の管理者権限が必要です。

  2. [サードパーティの SSO プロファイル] セクションで、[SAML プロファイルを追加] をクリックします。
  3. [SAML SSO プロファイル] に、プロファイル名を入力します。
  4. (省略可)[**メールアドレスの自動入力**] で、IdP がサポートするログインヒントの形式に一致するオプションを選択します。詳しくは、メールアドレスの自動入力を使用して SSO ログインを簡素化するをご覧ください。
  5. [IdP の詳細] で、次の手順を完了します。
    1. IdP から取得した [IdP エンティティ ID]、[ログインページの URL]、および [ログアウト ページの URL] を入力します。
    2. [**パスワード変更用 URL**] に、IdP のパスワード変更用 URL を入力します。ユーザーはこの URL にアクセスしてパスワードを再設定します。

  6. [証明書をアップロード] をクリックします。

    最大 2 つの証明書をアップロードでき、必要に応じて証明書をローテーション できます

  7. [保存] をクリックします。

  8. [SP の詳細] で、[エンティティ ID] と [ACS の URL] をコピーして保存します。これらの値は、IdP 管理コントロール パネルで Google での SSO を設定するときに必要になります。

  9. (省略可)IdP がアサーションの暗号化をサポートしている場合は、証明書を生成して IdP と共有することで、暗号化を有効にできます。各 SAML SSO プロファイルには最大 2 つの SP 証明書を設定できます。

    1. [SP の詳細] セクションをクリックして、編集モードに入ります。
    2. [**SP 証明書**] で [**証明書を生成**] をクリックします。
    3. [保存] をクリックします。証明書の内容をコピーするか、ファイルとしてダウンロードします。
    4. 証明書を IdP と共有します。
    5. (省略可)証明書をローテーションするには、[SP の詳細]に戻って [別の証明書を生成]をクリックし、新しい証明書を IdP と共有します。IdP で新しい証明書が使用されていることを確認したら、元の証明書を削除します。

IdP を設定する

この SSO プロファイルを使用するように IdP を設定するには、プロファイルの [サービス プロバイダ(SP)の詳細] セクションの情報を IdP の SSO 設定の該当するフィールドに入力します。ACS の URL とエンティティ ID はどちらも、このプロファイルに固有のものです。

以前の SSO プロファイルを設定する

以前の SSO プロファイルは、SSO プロファイルに移行していないユーザーを対象にしています。単一の IdP での使用のみがサポートされています。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**認証**] 次に [**サードパーティの IdP による SSO**] にアクセスします。

    アクセスするにはセキュリティ設定の管理者権限が必要です。

  2. [サードパーティの SSO プロファイル] で、[SAML プロファイルを追加] をクリックします。
  3. [IdP の詳細] ページの下部にある [以前の SSO プロファイル設定に移動] をクリックします。
  4. [以前の SSO プロファイル] ページで、[サードパーティの ID プロバイダで SSO を有効にする] チェックボックスをオンにします。
  5. IdP の次の情報を入力します。
    • ご利用の IdP の [ログインページの URL] と [ログアウト ページの URL] を入力します。

      : すべての URL を入力する必要があります。また、その際は必ず HTTPS を使用してください(例: https://sso.example.com)。

    • [証明書をアップロード] をクリックし、IdP から提供された X.509 証明書を選択してアップロードします。詳細については、証明書の要件をご覧ください。
    • Google からの SAML リクエストでドメイン固有の発行元 を使用するかどうかを選択します。

      IdP で SSO を使用しているドメインが複数ある場合は、ドメイン固有の発行元を使用して、SAML リクエストを発行する正しいドメインを特定します。

      • オン - ドメイン固有の発行元 (google.com/a/example.com、example.com はメインの Google Workspace ドメイン名)が Google から送信されます。
      • オフ - 標準の発行元(google.com)が SAML リクエストで Google から送信されます。
    • (省略可)特定の IP アドレス範囲の一連のユーザーに SSO を適用するには、ネットワーク マスクを入力します。詳しくは、ネットワーク マッピングの結果をご覧ください。

      注: 特定の組織部門またはグループに SSO プロファイルを割り当てることにより、部分的に SSO を設定することもできます。

    • IdP のパスワード変更用 URL を入力します。ユーザーはこの URL(Google のパスワード変更ページではなく)にアクセスしてパスワードを再設定します。https://myaccount.google.com/ でパスワードを変更しようとするユーザー(特権管理者を除く)は、指定した URL にリダイレクトされます。この設定は、SSO を有効にしていない場合でも適用されます。また、ネットワーク マスクは適用されません。

      注: ここに URL を入力すると、組織で SSO を有効にしていなくても、ユーザーはこのページにリダイレクトされます。

  6. [保存] をクリックします。

保存すると、以前の SSO プロファイルが [SSO プロファイル] の表に表示されます。

IdP を設定する

この SSO プロファイルを使用するように IdP を設定するには、プロファイルの [サービス プロバイダ(SP)の詳細] セクションの情報を IdP の SSO 設定の該当するフィールドに入力します。ACS の URL とエンティティ ID はどちらも、このプロファイルに固有のものです。

形式
ACS の URL https://accounts.google.com/a/{domain.com}/acs
ここで、{domain.com} は組織の Workspace ドメイン名です。
エンティティ ID 次のいずれか:
  • google.com
  • google.com/a/customerprimarydomain(以前のプロファイル設定時にドメイン固有のカード発行会社の使用を選択する場合)。

以前の SSO プロファイルを無効にする

  1. [サードパーティの SSO プロファイル] リストで、[以前の SSO プロファイル] をクリックします。
  2. [以前の SSO プロファイル] の設定で、[サードパーティの ID プロバイダで SSO を有効にする] チェックボックスをオフにします。
  3. 続行することを確認し、[保存] をクリックします。

[SSO プロファイル] リストで、[以前の SSO プロファイル] が [無効] と表示されるようになります。

  • 以前の SSO プロファイルが割り当てられている組織部門では、[割り当てられたプロファイル] 列にアラートが表示されます。
  • 最上位の組織部門の [割り当てられたプロファイル] 列には [なし] と表示されます。
  • In [SSO プロファイルの割り当ての管理] で、以前の SSO プロファイルが [非アクティブ] と表示されます。

以前の SAML から SSO プロファイルに移行する

組織で以前の SSO プロファイルを使用している場合は、SSO プロファイルに移行することをおすすめします。SSO プロファイルには、OIDC のサポート、より最新の API、ユーザー グループへの SSO 設定の柔軟な適用など、いくつかの利点があります。 詳細

OIDC を使用して SSO を設定する

OIDC ベースの SSO を使用する手順は次のとおりです。

  1. OIDC オプションを選択します。OIDC パートナーへの情報を提供するカスタム OIDC プロファイルを作成するか、事前設定した Microsoft Entra OIDC プロファイルを使用します。
  2. SSO を使用するユーザーを決定するの手順に沿って、事前構成済みの OIDC プロファイルを選択した組織部門またはグループに割り当てます。

組織部門( サブ組織部門など)に SSO を必要としないユーザーがいる場合も、割り当ての機能を使用して、それらのユーザーに対して SSO を無効にすることができます。

注: Google Cloud コマンドライン インターフェースは現在、OIDC を使用した再認証をサポートしていません。

始める前に

カスタム OIDC プロファイルを設定するには、IdP のサポートチームに問い合わせるかドキュメントを参照して、次のような基本的な設定を行う必要があります。

  • カード発行会社 URL : IdP 認証サーバーの完全な URL。
  • クライアント ID で識別され、クライアント シークレット で認証される OAuth クライアント。
  • パスワード変更用 URL : SSO ユーザーは Google のパスワード変更ページではなく、このページでパスワードを変更します。

また、Google は IdP に次のことを要求します。

  • IdP の email クレームは、Google 側のユーザーのメインのメールアドレスと一致している必要があります。
  • 認可コードフローを使用する必要があります。

カスタム OIDC プロファイルを作成する

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**認証**] 次に [**サードパーティの IdP による SSO**] にアクセスします。

    アクセスするにはセキュリティ設定の管理者権限が必要です。

  2. [サードパーティの SSO プロファイル] で、[OIDC プロファイルを追加] をクリックします。
  3. OIDC プロファイルに名前を付けます。
  4. OIDC の詳細(クライアント ID、カード発行会社の URL、クライアント シークレット)を入力します。
  5. [保存] をクリックします。
  6. 新しいプロファイルの OIDC SSO 設定ページで、リダイレクト URI をコピーします。この URI を使用してリクエストに応答するように、IdP で OAuth クライアントを更新する必要があります。

設定を編集するには、[OIDC の詳細] にカーソルを合わせて、編集 をクリックします。

Microsoft Entra OIDC プロファイルを使用する

組織の Microsoft Entra ID テナントで次の OIDC の前提条件が設定されているかどうか確認します。

  • Microsoft Entra ID テナントではドメインの所有権の証明が必要です。
  • エンドユーザーには Microsoft 365 ライセンスが必要です
  • SSO プロファイルを割り当てる Google Workspace 管理者のユーザー名(メインのメールアドレス)は、Azure AD テナント管理者アカウントのメインのメールアドレスと一致している必要があります。

SSO を使用するユーザーを指定する

SSO プロファイルとそれに関連付けられた IdP を割り当て、組織部門またはグループに対して SSO を有効にします。または、SSO プロファイルに [なし] を割り当てて SSO を無効にします。 組織部門またはグループ内で SSO ポリシーを混合して適用することもできます。たとえば、組織部門全体に対して SSO をオンにしてから、下位組織部門に対して SSO をオフにすることができます。

SAML プロファイルまたは OIDC プロファイルを作成していない場合は、作成してから続行してください。または、事前設定済みの OIDC プロファイルを割り当てることもできます。

  1. [SSO プロファイルの割り当ての管理] をクリックします。
  2. SSO プロファイルを初めて割り当てる場合は、[使ってみる] をクリックします。 それ以外の場合は、[割り当ての管理] をクリックします。
  3. 左側で、SSO プロファイルを割り当てる組織部門またはグループを選択します。
    • 組織部門またはグループの SSO プロファイルの割り当てがドメイン全体のプロファイル割り当てと異なる場合、その組織部門またはグループを選択するとオーバーライドに関する警告が表示されます。
    • SSO プロファイルをユーザー単位で割り当てることはできません。[ユーザー] ビューで特定のユーザーの設定を確認することはできます。
  4. 選択した組織部門またはグループに対し、[SSO プロファイルの割り当て] を選択します。
    • 組織部門またはグループを SSO から除外するには、[なし] を選択します。 組織部門またはグループのユーザーは、Google に直接ログインします。
    • 組織部門またはグループに別の IdP を割り当てるには、 [別の SSO プロファイル] を選択し、プルダウン リストから SSO プロファイルを選択します。

  5. (SAML SSO プロファイルのみ)SAML プロファイルを選択したら、最初に SSO プロファイルのサードパーティの IdP にログインせずに Google サービスに直接アクセスするユーザー向けのログイン オプションを選択します。ユーザーに Google ユーザー名を入力するよう求めて IdP にリダイレクトするか、ユーザーに Google ユーザー名とパスワードの入力を要求します。

    注: ユーザーに Google のユーザー名とパスワードの入力を要求する場合は、この SAML SSO プロファイルの [パスワード変更用 URL] 設定([SSO プロファイル] > [IDP の詳細] で確認できます)は無視されます。これにより、ユーザーは必要に応じて Google パスワードを変更できます。

  6. [保存] をクリックします。

  7. (省略可)必要に応じて、SSO プロファイルを他の組織部門またはグループに割り当てます。

[SSO プロファイルの割り当ての管理] カードを閉じると、[SSO プロファイルの割り当ての管理] に、組織部門とグループに対する更新済みの割り当てが表示されます。

SSO プロファイルの割り当てを削除する

  1. グループまたは組織部門の名前をクリックして、プロファイルの割り当て設定を開きます。
  2. 既存の割り当て設定を親組織部門の設定に置き換えます。
    • 組織部門の割り当てについては、[継承] をクリックします。
    • グループの割り当ての場合は、[設定解除] をクリックします。

: プロファイルが [なし] に設定されている場合でも、最上位の組織部門は常にプロファイル 割り当てリストに表示されます。

関連情報


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。