特権管理者のシングル サインオンは、以前の SSO プロファイルを使用している場合にのみ、一部のケースでサポートされます(下記を参照)。新しい SSO プロファイルではサポートされていません。
特権管理者が SSO を許可することには、メリットとリスクの両方があります。すべてのユーザー(管理者を含む)が SSO 経由で認証されるようにすると、ユーザー認証情報が管理される領域を最小限に抑えることができます。ただし、IdP が不正使用された場合、第三者が Google 管理コンソールと組織のアカウントのあらゆる側面にアクセスできるようになります。
このリスクを軽減するため、特権管理者向けに SSO を有効にする場合は、IdP と Google の両方で特権管理者向けに2 段階認証プロセスを有効にすることをおすすめします。
特権管理者の SSO を無効にする方法
特権管理者 SSO を無効にするには、新しい SSO プロファイルを使用します。以前の SSO プロファイルから SSO プロファイルに移行するには、こちらの手順に沿って操作します。
特権管理者が SSO でログインできる場合
以前の SSO プロファイルを使用している場合、特権管理者は次のような状況で SSO を使用してログインできます。
- [ドメイン固有のサービスの URL] 設定で、ユーザーをサードパーティの IdP に自動的にリダイレクトするように設定されている場合。
- 特権管理者のログインが IdP によって開始された場合(IdP を起点とする SSO)。
- 特権管理者が最初に特権管理者以外のアカウントを使用して Google にログインし、IdP にリダイレクトされたときに特権管理者の認証情報を入力した場合。この場合、Google は IdP からの特権管理者 ID アサーションを受け入れます。
特権管理者が SSO でログインできない場合
以前の SSO プロファイルを使用している場合でも、特権管理者は次のような状況では SSO でログインできません。
管理コンソール
特権管理者が admin.google.com から SSO 対応のドメインにログインする際は、(SSO のユーザー名とパスワードではなく)Google 管理者アカウントの完全なメールアドレスと関連付けられた Google パスワードを入力する必要があります。[ログイン] をクリックすると、管理コンソールに直接アクセスできます。SSO ログインページにはリダイレクトされません。
Google ドライブ同期クライアント
特権管理者が Google ドライブ同期クライアントにログインすると、SSO は省略されます。特権管理者は SSO ログインページにリダイレクトされません。ブラウザ、モバイルアプリ(iOS のドライブ アプリや Gmail アプリなど)、Android でのアカウント有効化の処理などでログインしようとした場合も、同様に SSO ログインページにリダイレクトされません。