Google Workspace用SAML 2.0の構成方法

目次

• 対応機能
• 構成手順
• 注

---

対応機能

現在、Okta/Google WorkspaceのSAML統合では次の機能がサポートされます。

• SPが起点となるSSO
  • ルート組織のSSOプロファイル（RPID未設定）
  • 単一のマルチIdP SSOプロファイル（RPID設定済み）
• IdPが起点となるSSO
  • ルート組織のSSOプロファイル（RPID未設定）
  • 単一のマルチIdP SSOプロファイル（RPID設定済み）

記載されている機能の詳細については、Okta用語集を参照してください。

---

RPID値とSSO

Okta orgのGoogle Workspaceインスタンスでは、使用するSSOプロファイルは［サインオン］タブの［RPID］フィールドの値によって決定されます。

［RPID］に値が指定されていない場合、ルート組織のSSOプロファイルが使用されます。

［RPID］に値が指定されている場合、その値を使ってマルチIdPプロファイルのリクエストが作成されます。

構成手順

Google Workspaceのシングルサインオン設定に移動します

Google Workspaceにサインインします。OktaでGoogle Workspaceのユーザー管理API資格情報で使用したのと同じ管理者ユーザー名とパスワードを使用します。 

1. セキュリティアイコンをクリックします。

   

   注：セキュリティアイコンが表示されないときは、パネルの下部にある［その他のコントロール］をクリックし、セキュリティアイコンを管理者コントロールダッシュボードにドラッグします。

2. ［セキュリティ］メニューで［サードパーティIdPでシングルサインオン（SSO）をセットアップ］を選択します。

   

［シングルサインオン］画面を完了します

次の手順に従います。

• ルート組織のSSOプロファイル（RPID未設定）
• マルチIdP SSOプロファイル（RPID設定済み）

SSOプロファイルの値

Google WorkspaceでSSOプロファイルを構成する際に必要になる次の値をコピーします。

• IDPエンティティID：

  この変数は、Okta管理者ダッシュボードにサインインすると生成されます。

• サインインページのURL：

  この値は、Okta管理者ダッシュボードにサインインすると生成されます。

• サインアウトページのURL：

  この値は、Okta管理者ダッシュボードにサインインすると生成されます。

• 検証証明書：次のファイルをダウンロードして保存し、探してアップロードします。

  この変数は、Okta管理者ダッシュボードにサインインすると生成されます。

• パスワード変更のURL：

  この値は、Okta管理者ダッシュボードにサインインすると生成されます。

ルート組織のSSOプロファイル（RPID未設定）

1. ［組織のサードパーティSSOプロファイル］に移動して［サードパーティIDプロバイダーでSSOをセットアップ］をチェックし、次の情報を入力します。

   • ［サインインページのURL］：「SSOプロファイルの値」の値をコピーして貼り付けます。

   • ［サインアウトページのURL］：「SSOプロファイルの値」の値をコピーして貼り付けます。

   • ［検証証明書］」「SSOプロファイルの値」の値をコピーして貼り付けます。

   • ［ドメイン固有の発行者を使用］をチェックします。

   • （任意）［ネットワークマスク］]フィールドを使用して、組織のOktaサイトへのアクセスをターゲットユーザーのサブセットのみに許可します。これはコントロールされたフェーズでアプリケーションアクセスをロールアウトする上で有用です。

   • ［パスワード変更のURL］：「SSOプロファイルの値」の値をコピーして貼り付けます。

   • ［保存］をクリックします。

   

2. これで完了です。

ユーザーがGoogle Workspaceにシングルサインオンする準備が整いました。

マルチIdP SSOプロファイル（RPID設定済み）

1. ［サードパーティSSOプロファイル］に移動して［SAMLプロファイルを追加］をクリックし、次の情報を入力します。

   • 有効な［SSOプロファイル名］を入力します。

   • ［IDPエンティティID］：「SSOプロファイルの値」の値をコピーして貼り付けます。

   • ［サインインページのURL］：「SSOプロファイルの値」の値をコピーして貼り付けます。

   • ［サインアウトページのURL］：［SSOプロファイルの値］の値をコピーして貼り付けます。

   • ［パスワード変更のURL］：「SSOプロファイルの値」の値をコピーして貼り付けます。

   • ［検証証明書］」「SSOプロファイルの値」の値をコピーして貼り付けます。

   • ［保存］をクリックします。

   

   • ［SPの詳細］セクション：rpidクエリパラメーターの値をコピーし、Oktaでアプリインスタンスの［サインオン］の［RPID］フィールドの値に設定します。

     次の例では、rpidの値は「03gat3kx0uxkf0g」です。

   

2. これで完了です。

ユーザーがGoogle Workspaceにシングルサインオンする準備が整いました。

---

注

• Oktaの［一般］タブで、［Google Workspace］企業ドメインフィールドに正しい値が入力されていることを確認します。入力した値に誤りがあると、SAMLを介したGoogle Workspaceへの認証は行われません。
• スーパー管理者がaccounts.google.comにサインインする際に、Google Workspaceの完全なメールアドレスとパスワードの入力が求められます。Googleは、スーパー管理者をSSOサーバーにリダイレクトしません。
• 管理者アカウントがユーザー名とパスワードを使ってログインするためのバックドアURLは常に有効です。これには、https://www.google.com/a/[DOMAIN]でアクセスできます。
• ［SSOプロファイル割り当てを管理］に移動して［管理］をクリックすることで、事前に作成したマルチIdP SAMLプロファイルが組織単位またはグループに割り当てられていることを確認します。［サインオン］タブにRPID値が設定されているOkta内のGoogle Workspaceアプリインスタンスを利用できるのは、その組織単位またはグループのユーザーのみです。GoogleからOkta内のアプリインスタンスにすべての組織ユーザーをインポートしても、事前に作成したSSOプロファイル割り当てで使用されている組織単位またはグループのユーザーのみが割り当てられます。
• ［ドメイン固有サービスのURL］が［ユーザーは最初にGoogleのサインインページでユーザー名を入力する必要がある］に設定されていることを確認します。
• 追加のユーザー管理機能については、オンラインドキュメントで確認できます。

SPが起点となるSSO

https://www.google.com/a/[DOMAIN]/ServiceLogin?continue=[SERVICE]に移動します。ここで、

• [DOMAIN]は、自分のGoogleドメインです（Oktaで入力した値と同じ）。

• [SERVICE]は、認証後のリダイレクト先となるGoogleサービスです。

例：https://www.google.com/a/acme.com/ServiceLogin?continue=https://mail.google.com。

SAMLを無効にする

1. ［サードパーティIDプロバイダーでSSOをセットアップ］チェックボックスのチェックを外します。

2. ［サインインページのURL］、［サインアウトページのURL］、［パスワード変更のURL］フィールドの値を削除します。これにより、サインインURLのプロパティは引き続き有効であるため、ユーザーはログイン時にOktaにリダイレクトされなくなります。