フォーム読み込み中
突然ですが、現行のSSOから他のSSOへの切替を検討されることがありますでしょうか?
本番環境のクラウドサービス(GWS、Azure)で一部のユーザーのみその別のSSOによる認証を実現したい場合は、どのように実現できますか?他への影響がありますか?という問題意識を抱える方に向けて、この記事を作成してみました。
はじめに
基本的な実施方法は下記のとおりです。
ルート組織SSOに対しては、組織・グループ単位向けの3rdSSOを設定することで、
1、組織全体がルート組織SSOに割り当てられたもとに、下位組織の1つに対して別のSSOプロファイルを割り当てることができる
2、組織全体がルート組織SSOに割り当てられたもとに、1つのグループに対して別のSSOプロファイルを割り当てることができる。
では、実際に上記の設定によって双方のSSO認証が問題なく通る方法を知りたくはありませんか?
そこで、本記事はGWS、Azure、Cloudgate UNOを例として設定方法と操作手順について簡潔に紹介していきます。
まずは、顧客がGWSを利用し、アカウントをたくさん所有していることを想定しています。
そして、現在利用している3rdのSSOをCloudgateUNOとし、CloudgateUNOからAzure ADのSSOへ切り替えるという流れを想定しています。
上記の移行提案を実現するため、下記のステップを一個ずつクリアする必要があります。
本記事は設定手順を3部分に分けて説明しようかと考えます。
実際の検証結果をご覧になりたい方は、ルート組織SSOと組織向けの3rd SSOの切り替え検証記事を併せて一緒に確認して頂ければ幸いです。
AzureAD SSOの設定
Step1.
Azure ポータル に管理者ユーザーでサインイン後に、「Azure Active Directory」 → 「エンタープライズ アプリケーション」→「すべてのアプリケーション」の順にクリックし、画面上部の「+新しいアプリケーション」をクリックします。
Step2.
Azure AD ギャラリーの参照画面より「Google Cloud Platform」のアイコンをクリックします。画面右下の「作成」をクリックします。「すべてのアプリケーション」の順にクリックし、「Google Cloud / G Suite Connector by Microsoft」をクリックします。
Step3.
シングルサインオンの設定を行います。「シングルサインオンの設定」を選択します。
「基本的なSAML構成」を選択して編集します。
Step4.
左の画面が表示されますが、アスタリスクのマークがついている「識別子」「応答 URL」「サインオン URL」が必須の設定項目になります。
まず、Google Workspace との SAML 連携は、 SP-Initiate になるので、サインオン URL を入力する必要があります。
※ SP-Initiated と IdP-Initiated の違いについてはこの記事が参考になると思います。
Azure AD の SAML 構成に必要な設定項目とその意味、動作の説明についてシングル サインオン先を Gmail にしたい場合、Google Cloud Console にする場合でサインオン URL が異なります。
具体的には以下のように設定してください。
| 番号 | 項目 | サインオン URL |
|---|---|---|
| 1 | シングル サインオン先を Gmail にしたい場合 | https://www.google.com/a/[yourdomain.com]/ServiceLogin?continue=https://mail.google.com |
| 2 | シングル サインオン先を Google Cloud Console にしたい場合
| https://www.google.com/a/[yourdomain.com]/ServiceLogin?continue=https://console.cloud.google.com |
上記 [yourdomain.com] は適宜、ご自身が設定したドメイン名に置き換えてください。
上記内容をみて何となくお分かりかと思いますが、シングル サインオン先を Google Drive にしたいのであれば、「ServiceLogin?continue=」以降の URL を「https://drive.google.com」に指定すれば Google Drive にシングル サインオンします。
同じようにシングル サインオンさせたい Google Workspace 上のサービスの「サインオン URL」を設定できます。
次に、識別子のボックスに、下記 5つの URL を入力します。
・google.com/a/
・google.com
・GWSのSSO設定画面より「エンティティID」をコピー&ペースト
上記 [yourdomain.com] は適宜、ご自身が設定したドメイン名に置き換えてください。
次に、応答 URL のボックスに、下記 3 つの URL を入力します。
・GWSのSSO設定画面より「ACSのURL」をコピー&ペースト
それぞれ必要な値の設定が完了したら画面上部の「保存」ボタンをクリックします。
Step5.
SAML 署名証明書欄にて、証明書(Base64) のダウンロードのリンクをクリックし、任意のフォルダに保存します。
次に 「Google Cloud / G Suite Connector by Microsoft のセットアップ」の欄にある「ログイン URL」「Azure AD 識別子」「ログアウト URL」の値がそれぞれGoogle Workspace 管理コンソール側の設定をするために必要な値になるので、それぞれクリップボードにコピーして控えておきます。
Step6.
Step6.を実施完了後、GWSコンソールにてコピーした情報をペーストします。
SSOのテストを実施するために、ユーザーへアプリケーションの割り当てを行います。
Azureポータルから [Azure AD] → [エンタープライズアプリケーション] を選択し、[Google Cloud / G Suite Connector by Microsoft] を選択し、[ユーザーとグループ] をクリックします。
[+ ユーザーの追加] をクリックします。
Step7.
[ユーザー] をクリックし、[目標のユーザー] を選択して [選択] をクリックします。
[割り当て] をクリックします。
[ユーザーとグループ] に選択したユーザーが表示されていることを確認します。
マイアプリポータルへアクセスし、割り当てたユーザーでログインし、割り当てたGsuiteのアイコンをクリックします。
以上をもって、AzureAD SSOの設定が完了します。
CloudGate UNO SSOの設定
CluodGate SSOの設定手順についてCloudGate UNOの公式ヘルプサイトにて細かく記載されています。ご説明の手順は分かりやすいため、内容を抜粋して説明を併せてここに転記します。
Step1. CloudGate UNOとGWSとの連携:プロビジョニングを初期設定する
CloudGate UNOはGoogle Workspaceのアカウントやグループに対して作成・更新・削除(停止)といった処理を行うことができます。これらの処理を行うためには、お客様のGoogle Workspace環境からGoogleが提供するAPIの設定が必要です。
1.1 管理者アカウントでの操作
このガイドに記載されている作業を行う際に利用するGoogle Workspace特権管理者はCloudGateを利用するにあたりGoogle Workspace上に存在している必要がありますので、削除しないようお願いします。
削除、変更をご希望の場合には、新しいGoogle Workspace特権管理者で再度本作業を行う必要があります。詳しくは【Google Workspace】API接続情報を変更する をご覧ください。
2.1 事前準備
Google管理コンソールにGoogle特権管理者でログインして、「アプリ」>「その他のGoogleサービス」をクリックします。
主なGoogleサービスが一覧表示されます。
Google Cloud Platform 項目の「ステータス」が「オン」になっていることを確認します。
オンになっていない場合は、右側の三本線のメニューから「すべてのユーザーに対してオンにする」を選択して設定します。
2.2 プロジェクトの作成
Google Cloud Platform に、Google特権管理者でログインします。
2.3 APIを有効にする
プロジェクトの作成が完了したら、プロジェクト「CloudGate」を選択した状態で、ナビゲーションメニュー(画面左上の「三本線のアイコン」)から「APIとサービス」>「ライブラリ」をクリックします。
(※「このページを表示するには、プロジェクトを選択してください。」と表示される場合:「選択」ボタンをクリックして、作成したプロジェクト「CloudGate」を選択します。)
検索窓に以下のAPIを入力して検索し、APIを有効化します。ナビゲーションメニューから「APIとサービス」>「ライブラリ」をクリックし、残り2つのAPIについても有効化する操作を繰り返します。
Admin SDK API
Contacts API
Google People API
ナビゲーションメニューから「APIとサービス」>「ダッシュボード」をクリックし、画面下部の一覧表に、有効にしたAPIがリスト表示されていることを確認してください。
左メニューから「認証情報」>「認証情報を作成」>「サービスアカウント」をクリックします。
3.1 サービス アカウントの詳細
サービス アカウント名に「CloudGate」を入力して「作成」をクリックします。
3.2 このサービス アカウントにプロジェクトへのアクセスを許可する
「ロールを選択」のプルダウンから「Project」>「オーナー」を選択して、「続行」をクリックします。
3.3 ユーザーにこのサービス アカウントへのアクセスを許可
画面下の「完了」をクリックするとサービスアカウントが作成されます。
サービスアカウントの作成が完了すると、認証情報画面が表示されます。
画面右側の「サービスアカウントを管理」をクリックし、作成したサービスアカウント表の右端のメニューから「鍵を管理」を選択します。
「鍵を追加」>「新しい鍵を作成」>「P12」を選択して「作成」をクリックすると「CloudGate-**************.p12」という名称のプライベートキーが自動でダウンロードされます。
(※ダウンロードされるまで少し時間がかかります。)
「秘密鍵がパソコンに保存されました」と表示されたら「閉じる」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーー
ナビゲーションメニューから「APIとサービス」>「認証情報」をクリックし、表示された画面で、作成したサービスアカウントをクリックします。
作成されたサービスアカウントの情報が画面上に表示されます。画面上で確認できる「メール」と「一意の ID」の値をテキストエディタなどにコピー&ペーストして控えます。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
ナビゲーションメニューから「IAMと管理」>「IAM」をクリックし、表示された画面で、「CloudGate」プロジェクトの役割が、「オーナー」もしくは「編集者」であることを確認します。
役割の設定を確認できたら、Google Cloud Platform での作業は完了です。画面を閉じて「4. APIスコープの承認」の手順に進みます。
Google管理コンソールにGoogle特権管理者でログインします。
ダッシュボードから、「セキュリティ」>「API の制御」>「ドメイン全体の委任を管理」>「新しく追加」をクリックします。(※ダッシュボードの一覧に「セキュリティ」が無い場合は、画面下の「その他の設定」をクリックすることで表示されます。)
クライアントID:「3. OAuthのクライアントID作成」の作業で確認した「一意の ID」を入力
OAuth スコープ:以下の4つのURLすべてをコピー&ペーストして入力
https://www.googleapis.com/auth/admin.directory.group,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/admin.directory.orgunit,
https://www.googleapis.com/auth/contacts
上記の値を入力し、「承認」をクリックします。「詳細を表示」より、入力した内容が追加されたことを確認します。
上記情報を入力したら、「テスト」をクリックします。画面内に「Google Workspaceのプロビジョニングテストが成功しました。」と表示されましたら、「保存」をクリックします。
以上で事前設定は完了ですので、お客様任意のタイミングで プロビジョニングをOn に切り替えていただきますと、CloudGate UNOからGoogle Workspaceへのプロビジョニングをご利用いただけるようになります。
Step2. CloudgateとGWSとの連携:プロビジョニングの対象と動作を設定する
プロビジョニングの初期設定 が完了したら、プロビジョニング対象の各項目を On / Off 切り替えます。
(左メニュー)サービスプロバイダー >Google Workspace[編集] >プロビジョニング設定 タブ >対象とマッピング
プロビジョニングは SSO と連動していませんので、プロビジョニング Off のままでも SSO はご利用いただけますが、アカウント管理の手間を減らせる機能ですのでご活用下さい。後から設定することも可能です。
・組織プロビジョニング
・アカウントプロビジョニング
本機能を On にすると、CoudGate UNO ユーザーの「姓」「名」「Google Workspace アカウントID」情報を利用して、Google Workspace にアカウントを作成・更新・停止もしくは削除します。
・グループプロビジョニング
本機能を On にすると、CoudGate UNO グループの「表示名」「説明」「Google Workspace グループID」情報を利用して、Google Workspace にグループを作成・更新・メンバー削除もしくはグループ削除します。
Step3. CloudgateとGWSとの連携:ユーザーに Google Workspace アカウント ID を指定する
本記事は、Google Workspace 連携スタートアップガイド でご案内している必要作業の1つです。初回に限らず、Google Workspace を利用するユーザーが増える都度対応する必要があります。
CloudGate UNO にユーザー未作成の場合は、まずは ユーザーを新規作成 してから、もしくはユーザー新規作成と同時に本操作を進めて下さい。
1. Google Workspace アカウントを指定する
CloudGate UNO ユーザーに指定する Google Workspace アカウント ID は、Google Workspace ユーザーの「メールアドレス」です。
1.1 1ユーザーずつ作業する
CloudGate UNO管理者サイトの(左メニュー)ユーザー >対象ユーザーID をクリック >サービス:Google Workspace のチェックを On にして、Google Workspace アカウント ID(メールアドレス)を指定して保存します。
1.2 CSVファイルで一括作業する
CSVファイルを作成して、CloudGate UNO管理者サイトの(左メニュー)一括処理 >ユーザー タブ >サービスアカウント一覧 にアップロードして処理を開始します。
2. Google Workspace へのユーザー情報反映
アカウントプロビジョニング On にして上記操作を実施した際、指定したアカウント ID が Google Workspace 上でどのような状態なのかによって、下記の通り Google Workspace に反映します。
2.1 指定アカウントが Google Workspace に存在しない状態だった場合
CoudGate UNO ユーザーの「姓」「名」「Google Workspace アカウント ID」情報を利用して、Google Workspace にアカウント ID を新規作成します。アカウント ID のパスワードは、CloudGate UNO がハッシュ化パスワードを自動生成して設定します。
2.2 指定アカウントが Google Workspace に既に存在する状態だった場合
CoudGate UNO ユーザーの「姓」「名」情報を利用して、既存 Google Workspace アカウント ID の「姓」「名」を更新します。アカウント ID のパスワードは変更されずそのままです。
Step4. CloudgateとGWSとの連携:SSO を有効化する
1. 設定に必要な情報を取得する
(左メニュー)アイデンティティプロバイダー にアクセスして、SSO設定に必要な情報の確認と設定ファイルを取得します。
ログインURL
ログアウトURL
パスワード変更画面URL
証明書(.pem)
上記の情報をメモ帳などに控えておきます。証明書はダウンロードします。
2. SSOを有効にする
Google管理コンソール にサインオンして、
セキュリティ >設定 >サードパーティの ID プロバイダ(IdP)によるシングル サインオン(SSO) >組織向けのサードパーティの SSO プロファイルにアクセスします。
以下の情報を設定します。
①「サードパーティの ID プロバイダで SSO を設定する」のチェックをONにします。
② CloudGate UNO管理者サイトからダウンロードした「証明書(.pem)」をアップロードします。
③ CloudGate UNO管理者サイトで確認した以下URLをそれぞれコピー&ペーストします。
ログインURL
ログアウトURL
パスワード変更画面URL
④「ドメイン固有の発行元を使用」のチェックONにします。
⑤[保存]をクリックします。
2. SSOが有効になっているか確認する
Google Workspaceにログイン済みの場合には、一度ログアウトする、別ブラウザを利用する、ブラウザのシークレットモードを利用する等して、以下いずれかご確認下さい。
2.1 Googleログイン画面から
Googleログイン画面(例:https://mail.google.com/)を開いて、Googleログイン画面に一般ユーザーのメールアドレスを入力して[次へ]をクリックした後、CloudGate UNOサインオン画面が表示されたらSSO設定に問題ありません。
2.2 SSO専用URLから
SSO専用URL(例:https://mail.google.com/a/ご利用ドメイン)を開いて、CloudGate UNOサインオン画面が表示されたらSSO設定に問題ありません。
GWS管理コンソール側で必要なシングルサインオンを構成する
Step1. 管理コンソールより「セキュリティ」をクリックします。
画面を下にスクロールさせて「サードパーティの ID プロバイダを使用したシングル サインオン(SSO)の設定」をクリックします。
Step2. [組織向けのサードパーティの SSO プロファイル] で [SSO プロファイルを追加] をクリックします。
[サードパーティの ID プロバイダで SSO を設定する] チェックボックスをオンにします。
シングル サインオンの設定を左側のとおり行い、「保存」をクリックします。
これで Azure AD 側、Google Workspace 管理コンソール側それぞれの設定が完了したので Gmail などに対してシングル サインオンできるか動作を確認します。
| 番号 | 項目 | 値 |
|---|---|---|
| 1 | サードパーティーの ID プロバイダで SSO を設定する | チェックを入れます |
| 2 | ログインページの URL | Azure ポータルの Google Cloud / G Suite Connector by Microsoft のセットアップからコピーした、 ログイン URL を貼り付けます |
| 3 | サインアウトURL | Azure ポータル の Google Cloud / G Suite Connector by Microsoft の セットアップからコピーした、 ログアウト URL を貼り付けます |
| 4 | 認証の確認 | Azure ポータルよりダウンロードした、Base 64 の SAML 署名証明書をアップロードします |
| 5 | パスワードの変更 | パスワード変更ページにアクセスしてパスワードを変更します。
|
Step3. ご利用の IdP の [ログインページの URL] と [ログアウト ページの URL] を入力します。
注: すべての URL を入力する必要があります。また、その際は必ず HTTPS を使用してください(例: https://sso.[ドメイン名].com)。
[証明書をアップロード] をクリックし、IdP から提供された X.509 証明書を見つけてアップロードします。
証明書の生成については、SAML 鍵と確認用の証明書をご覧ください。Google からの SAML リクエストでドメイン固有の発行元を使用するかどうかを選択します。
まとめ
本記事はルート組織SSOと組織向けの3rd SSOの設定手順を紹介しました。
詳細の検証手順については次の記事「ルート組織SSOと組織向けの3rd SSOの切り替え検証」をご確認いただければ幸いです。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
