SAMLを有効にすると、このアプリケーションを使用しているすべてのユーザーに影響があります。つまり、ユーザーは通常のログインページからサインインできなくなります。ユーザーはOktaサービスを通してのみアプリにアクセスすることができるようになります。ただし、Super Administrator(特権管理者)の権限を割り当てられたGoogle WorkspaceユーザーはSSOをバイパスし、直接https://admin.google.comにログインすることができます。SAMLが正常に機能しなくなった場合に、Google Workspaceの管理者のアクセスを可能にするため、Google WorkspaceのSuper Administrator(特権管理者)アカウントを作成することを強くお勧めします。
Okta/Google WorkspaceのSAML統合では現在、次の機能をサポートしています。
記載されている機能の詳細についてはOkta Glossary(Okta用語集)をご覧ください。
OktaでGoogle Workspaceのユーザー管理API認証情報に使用したのと同じ管理者ユーザー名とパスワードを使用して、Google Workspaceにサインインします。
[Security(セキュリティー)]アイコンをクリックします。
注:[Security(セキュリティー)]アイコンが表示されていない場合、パネルの下部にある[More Controls(その他のコントロール)]をクリックし、[Security(セキュリティー)]アイコンを管理者コンソールのダッシュボードにドラッグします。
[Security(セキュリティー)]メニューで[Set up single sign-on (SSO) with a third party IdP(サードパーティーのIdPでのシングルサインオン(SSO)を設定)]を選択します。
Setup SSO with third party identity provider(サードパーティーのIDプロバイダーでSSOを設定)チェックボックスにチェックを入れ、次を入力します。
Sign-in page URL(サインインページURL):以下をコピーし、貼り付けます。
Okta管理者ダッシュボードにサインインして、この値を生成します。
Sign-out page URL(サインアウトページURL):以下をコピーし、貼り付けます。
Okta管理者ダッシュボードにサインインして、この値を生成します。
Verification certificate(検証証明書):次のファイルをダウンロードして保存し、見つけてアップロードします。
Okta管理者ダッシュボードにサインインして、この変数を生成します。
[Use a domain-specific issuer(ドメイン固有の発行者を使用)]にチェックを入れます。
(任意)[Network masks(ネットワークマスク)]フィールドを使用して、対象となるサブセットのユーザーのみに組織のOktaサイトへのアクセスを許可します。これはアプリケーションをアクセスが制御された段階でロールアウトする際に便利です。
Change password URL(パスワードURLを変更):以下をコピーし、貼り付けます。
Okta管理者ダッシュボードにサインインして、この値を生成します。
[Save(保存)]をクリックします。
完了!
ユーザーがGoogle Workspaceにシングルサインオンする準備ができました!
Oktaの[General(全般)]タブのGoogle Workspaceの会社ドメインのフィールドに正しい値を入力したことを確認してください。間違った値を使用すると、SAMLを介したGoogle Workspaceへの認証が行われません。
Super Administrator(特権管理者)がaccounts.google.comにサインインする際に、Google Workspaceの完全なメールアドレスとパスワードの入力が求められます。GoogleはSuper Administrator(特権管理者)をSSOサーバーにリダイレクトしません。
管理者アカウントがユーザー名とパスワードを使用してログインするためのバックドアURLは常に有効です。https://www.google.com/a/[DOMAIN]にてアクセスできます。
追加のユーザー管理機能についてはオンラインドキュメントをご覧ください。
https://www.google.com/a/[DOMAIN]/ServiceLogin?continue=[SERVICE]にアクセスします。
場所:
[DOMAIN]は貴社のGoogleドメイン(Oktaで入力した値と同じ)です
[SERVICE]は認証後にリダイレクトするGoogleのサービスです。
例:https://www.google.com/a/acme.com/ServiceLogin?continue=https://mail.google.com。
[Setup SSO with third party identity provider(サードパーティーのIDプロバイダーでSSOを設定)]のチェックボックスのチェックを外します。
[Sign-in page URL(サインインページURL)]、[Sign-out page URL(サインアウトページURL)]、[Change password URL(パスワード変更URL)]のテキストボックスの値を削除します。これにより、サインインURLのプロパティが引き続き有効になっているため、ユーザーがログインのためにOktaにリダイレクトされることがなくなります。