特権管理者向けのシングル サインオンは、以前の SSO プロファイルを使用している場合にのみサポートされ、 一部のケース(下記を参照)でのみ使用できます。新しい SSO プロファイルではサポートされていません。
特権管理者による SSO の使用には、メリットとリスクの両方があります。すべてのユーザー(管理者を含む)が SSO で認証されるようにすると、ユーザー認証情報が管理される領域を最小限に抑えることができます。 ただし、IdP が侵害された場合、第三者が Google 管理コンソールにアクセスし、組織のアカウントのあらゆる側面を管理できるようになります。
このリスクを軽減するため、特権管理者に対して SSO を有効にする場合は、IdP と Google の両方で特権管理者に対して 2 段階認証プロセスを 有効にすることをおすすめします。
特権管理者 SSO を無効にする方法
特権管理者 SSO を無効にするには、新しい SSO プロファイルを使用します。以前の SSO プロファイルから SSO プロファイルに移行するには、こちらの 説明に沿って操作してください。
特権管理者が SSO でログインできる場合
以前の SSO プロファイルを使用している場合、特権管理者は次のような場合に SSO でログインできます。
- [ドメイン固有のサービスの URL] 設定が、ユーザーをサードパーティの IdP に自動的にリダイレクトするように設定されている場合。
- IdP によって特権管理者のログインが開始された場合(IdP 開始の SSO)。
- 特権管理者が最初に特権管理者以外のアカウントを使用して Google にログインし、IdP にリダイレクトされたときに特権管理者の認証情報を入力した場合。この場合、Google は IdP からの特権管理者 ID アサーションを受け入れます。
特権管理者が SSO でログインできない場合
以前の SSO プロファイルを使用している場合でも、特権管理者は次のような場合に SSO でログインできません。
管理コンソール
特権管理者が SSO 対応のドメインに admin.google.comからログインする際は、(SSO のユーザー名とパスワードではなく)Google 管理者アカウントの完全なメールアドレスと 関連付けられた Google パスワードを入力する必要があります。 [ログイン]をクリックすると、管理コンソールに直接アクセスできます。SSO ログインページにはリダイレクトされません。
Google ドライブ同期クライアント
特権管理者が Google ドライブ同期クライアントにログインすると、SSO はバイパスされます。特権管理者は SSO ログインページにリダイレクトされません。ブラウザ、モバイルアプリ(iOS のドライブ アプリや Gmail アプリなど)、Android でのアカウント有効化の処理などでログインしようとした場合も、同様に SSO ログインページにリダイレクトされません。