Google WorkspaceのSAML認証設定を行うことで、EVECLOUDをIdentity Provider(以下、IdP)、Google WorkspaceをService Provider(以下、SP)として、EVECLOUDユーザーでGoogle Workspaceにシングルサインオン(SSO)することができます。
手順は以下の通りです。
- SAML連携アプリケーションの登録(IdP)(EVECLOUDの設定)
- アプリケーションへの認証セット設定(EVECLOUDの設定)
- Google Workspaceへのシングルサインオン設定(SP)
- EVECLOUDへのシングルサインオン設定
- EVECLOUDユーザーのSAMLログイン設定
SAML連携アプリケーションの登録(IdP)
- はじめに[アプリケーションの管理]ページにてアプリケーションの登録を行います。登録の際、[アプリケーションの種類]は[SAML]を選択します。
登録方法の詳細は「アプリケーションの管理>アプリケーションの登録」を参照してください。
- 作成したアプリケーション「Google Workspace」をクリックし、設定画面を開きます。
- 設定画面では、シングルサインオン用のエンドポイントや証明書を確認できます。
これらはGoogle Workspace側への登録時に必要になります。
| 項目 | 内容 |
|---|---|
| SSO URL | Google Workspaceのログイン時に使用するエンドポイントです。 |
| ログアウトURL | Google Workspaceからのログアウト時に使用するエンドポイントです。 |
| メタデータURL | EVECLOUDのSAML IdPメタデータをダウンロードするURLです。 |
| X.509証明書のダウンロード | Google Workspaceに登録するX.509形式の証明書をダウンロードします。 |
アプリケーションへの認証セット設定
アプリケーションへの認証セットはグループ単位で行います。
グループ管理から該当のグループを選択し、[グループの認証方法]タブにて対象のアプリケーションを選択し設定を行います。
設定方法の詳細は「アプリケーションの管理>アプリケーションへの認証セット設定」を参照してください。
Google Workspaceへのシングルサインオン設定(SP)
Google Workspaceの管理コンソールに管理者用アカウントでログオンし、「セキュリティ」→「認証」→「サードパーティのIdPによるSSO」へと進みます。
[組織向け] の場合
- 組織向けサードパーティのSSOプロファイルを開きます。サードパーティのIDプロバイダに以下の情報を設定します。
➀「サードパーティのIDプロバイダでSSOを設定する」にチェックを入れます。
➁「ログインページのURL」にEVECLOUDの「SSO URL」を設定します。
➂「ログアウトページのURL」にEVECLOUDの「ログアウトURL」を設定します。
➃ EVECLOUDの管理ツールからダウンロードしたX.509証明書をアップロードします。
➄「ドメイン固有の発行元を使用」にチェックを入れます。 - 「保存」をクリックし、設定を保存します。
[複数IdP対応] の場合
- サードパーティの SSO プロファイルの「SAMLプロファイルを追加」をクリックします。
- 新規のSAML SSO設定ページが開くので、以下の情報を設定します。
➀SAML SSO プロファイルの「SSO プロファイル名」に任意の名称(例では”EVECLOUD”)を入力します。
➁IdPの詳細の「IdPエンティティID」にEVECLOUDの「メタデータURL」を設定します。
③IdPの詳細の「ログインページのURL」にEVECLOUDの「SSO URL」を設定します。
➃IdPの詳細の「ログアウトページのURL」にEVECLOUDの「ログアウトURL」を設定します。
➄IdPの詳細の「確認用の証明書」に、EVECLOUDの管理ツールからダウンロードしたX.509証明書をアップロードします。 - 「保存」をクリックし、設定を保存します。
- 先ほど設定した「EVECLOUD」を選択します。
- SPの詳細の「ACSのURL」をコピーし控えておきます(EVECLOUDへのシングルサインオン設定で利用します)。
[注意事項]Google Workspace管理コンソールの操作手順はアップデートにより変化する場合があります。
EVECLOUDへのシングルサインオン設定
管理ツール>アプリケーションの管理にて、作成したアプリケーション「Google Workspace」を選択します。
[組織向け] の場合
[Service Provider] タブを開き、[サービスプロバイダーの設定情報を直接入力する]にチェックを入れ、以下の箇所に設定を入力します。設定を終えたら「保存」ボタンをクリックして登録します。
| 項目 | 内容 |
|---|---|
| Issuer(必須) | 「google.com/a/[Google Workspaceへ設定したドメイン名]」を入力します。 ドメイン名はGoogle Workspaceアカウントの「@以降の部分」です。 |
| ログアウトURL | 「ログアウトURL」に以下のURLを入力することで、Googleからのログアウト後にログイン画面に戻ることができます。 https://accounts.google.com/InteractiveLogin/signinchooser? 何も入力しなければ、EVECLOUDのログアウト画面が表示されます。 |
[複数IdP対応] の場合
[Service Provider] タブを開き、[サービスプロバイダーの設定情報を直接入力する]にチェックを入れ、以下の箇所に設定を入力します。設定を終えたら「保存」ボタンをクリックして登録します。
| 項目 | 内容 |
|---|---|
| Issuer(必須) | 「google.com/a/[Google Workspaceへ設定したドメイン名]」を入力します。 ドメイン名はGoogle Workspaceアカウントの「@以降の部分」です。 |
| ACS URL | Google WorkspaceのSAML SSO設定でコピーした「ACSのURL」を入力します。 |
| ログアウトURL | 「ログアウトURL」に以下のURLを入力することで、Googleからのログアウト後にログイン画面に戻ることができます。 https://accounts.google.com/InteractiveLogin/signinchooser? 何も入力しなければ、EVECLOUDのログアウト画面が表示されます。 |
[補足事項]必要に応じて [SSO設定] タブから、SSOに関する設定を行ってください。
詳細は「アプリケーションの管理>共通の設定項目」を参照してください。
EVECLOUDユーザーのSAMLログイン設定
- EVECLOUD管理ツールにて、「グループの管理」>「ユーザー管理」からSAMLログイン設定をさせたいユーザーを選択し、「ユーザー設定」画面を開きます。左メニューの[SAML]を選択し、SAMLアプリケーション一覧から登録済みのSAML「Google Workspace」を選択します。
- 表示されたダイアログの「SAMLログインユーザー1」の項目にシングルサインオンを行いたいGoogle Workspaceのユーザー名を入力します。
SAMLユーザー複数登録に対応しています。必要に応じて「SAMLログインユーザー2」の項目に情報を入力します。[決定]ボタンをクリックします。
名称 内容 SAMLログインユーザー1
SAMLログインユーザー2SAMLサービスプロバイダーへのログインに使用するIDを入力してください。
必要となるIDの種類はサービスプロバイダーによって異なります。
(例 : メールアドレス、ランダムなUUID、一時的に発行されたランダム文字列など)Chromebookの
パスワードChromeOSログイン時の暗号化パスワードを設定する項目です。Chromebookを利用する際、通常は GoogleWorkspaceのパスワード、または以前ログインした際に使用したパスワードを設定します。
設定しない場合、Chromebookへのログイン時に明示的にパスワードの入力を求められることがあります。コメント 設定内容がわかるような任意の文字列を入力可能です。(256文字以内) - [保存]ボタンをクリックし登録内容を保存してシングルサインオンの設定は完了です。
- Google Workspaceへアクセスし、一般ユーザーアカウントでログオンを試みるとEVECLOUDへリダイレクトされ、シングルサインオンを行うことができます。
[注意事項]管理者アカウントでログオンを行う場合、シングルサインオンは発生しません。