Google Workspace マルチIdP - SAML認証

本記事では、OneLoginからGoogle Workspace（旧G Suite）へのSAML シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

SAML連携の設定

1. OneLogin側の操作

2. Google Workspace側の設定

3. OneLogin側の設定

SAML SSOの動作確認

SAML SSOの無効化

SSOプロファイル割り当てに関する注意事項

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Google Workspace または G Suite をご契約であること（すべてのプランが対象です）
• Google Workspace における 特権管理者権限 をお持ちであること

SAML連携の設定

1. OneLogin側の操作

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. GoogleWorkspace (Multi IdP) -JP と検索し、該当コネクタを選択します
   
   
    
5. ［Save］をクリックします
   
   
    
6. SSO タブに移動し、Issuer URL, SAML 2.0 Endpoint (HTTP), SLO Endpoint (HTTP) をクリップボードへコピーします
   
   
    
7. View Details をクリックします
   
   
    
8. ［Download］をクリックします
   

2. Google Workspace側の設定

1. Google Workspaceへ管理者アカウントでログインし、管理を開きます
   
   
    
2. セキュリティ > 認証 > サードパーティのIdPによるSSO に移動します
   
   
    
3. サードパーティのSSO プロファイル > SAML プロファイルを追加 をクリックします
   
   
    
4. 任意の SSOプロファイル名 を入力します
   
   
    

5. IdP の詳細 に、1. OneLogin側の操作 で取得した値を以下の通りに入力します

   Google Workspace	OneLogin
   IdP エンティティ ID	Issuer URL
   ログインページの URL	SAML2.0 Endpoint (HTTP)
   ログアウト ページの URL	SLO Endpoint (HTTP)　 または  https://{サブドメイン}.onelogin.com/portal
   パスワード変更用 URL	https://{サブドメイン}.onelogin.com/password/lost_password

   ログアウトURLに SLO Endpoint (HTTP) を設定しますとログアウトした際にOneLoginもログアウトするため、ログアウト ページの URL へ http://{サブドメイン}.onelogin.com/portal と設定しますとOneLoginのポータル画面へリダイレクトされます
   
   
    

6. ［証明書をアップロード］をクリックし、1. OneLogin側の操作 で保存した onelogin.pem を選択します
   
   
    
7. ［保存］をクリックします
   
   
    
8. SP の詳細 の エンティティID の末尾の文字列をクリップボードへコピーします
   例）https://accounts.google.com/samlrp/03m3nb3t4bfztog の場合、03m3nb3t4bfztog をコピー
   
   
   
   
9. ← 戻る をクリックします
   
   
    
10. SSO プロファイルの割り当ての管理 > 使ってみる をクリックします
    
    
     
11. SAML認証を行う組織部門を選択します
    *本記事では組織部門を利用して割り当てを行いますが、グループを利用した割当も可能です。ただし、グループを利用する際はグループがユーザーに対して複数適用可能であるためグループごとに優先順位設定が必要です。
    
    
     
12. 別の SSO プロファイル を選択し、作成したSSO プロファイルを選択後、オーバーライド をクリックします
    

3. OneLogin側の設定

1. Configuration タブに移動し、IDP ID に 2. Google Workspace側の設定 手順8でコピーした値を貼り付けます
   
   
    
2. SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
   
   
    
3. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
   

SAML連携の設定は以上です。

SAML SSOの動作確認

1. OneLoginに対象ユーザーでログインし、設定した Google Workspace (Multi IdP) を選択します
   
   
    
2. SAML認証が完了し、Google WorkspaceにSSOされることを確認します
   

SAML SSOの動作確認は以上です。

SAML SSOの無効化

1. Google Workspaceへ管理者アカウントでログインし、管理を開きます
   
   
    
2. セキュリティ > 認証 > サードパーティのIdPによるSSO をクリックします
   
   
    
3. 削除したいSSOプロファイルをクリックします
   
   
    
4. ［削除］をクリックします
   

SAML SSOの無効化は以上です。

SSOプロファイル割り当てに関する注意事項

ご紹介したGoogle Workspaceが提供する組織部門、グループ別の個別SSOプロファイル割当機能においてご注意いただくべきポイントがございます。

1. 組織部門・グループ別SSOプロファイルで指定したIDプロバイダ以外では認証不可

この機能は、特定の組織部門やグループに所属するユーザーに対して管理者が個別に指定したIdPを利用したGoogle Workspaceへのシングルサインオンを許可、制御する機能です。そのため、1つのユーザーに対して複数のIdPを割り当てることや、複数のIdPからのシングルサインオンを同時に受け入れることはできません。必ず1つのユーザーに対し一つの外部IdPをご利用頂く必要がございます。

具体例として下記画面の設定内容であれば、組織部門「IT管理者」に属するユーザーはGoogleのID・パスワードを利用してログインはできますが、たとえ本人の有効なOneLoginあるいはMicrosoft Entra IDアカウントを利用したシングルサインオンはできません。

また、同様に組織部門「パート・インターン」に属するユーザーはOneLoginからシングルサインオンすることはできますが、GoogleのID・パスワードを利用したログインやMicrosoft Entra IDからのシングルサインオンはできません。

組織部門「社員」については、Microsoft Entra IDからシングルサインオンすることはできますが、同様にGoogleのID・パスワードを利用したログインやOneLoginからのシングルサインオンはできません。

エンドユーザーが上記前提を無視して管理者が設定した組織部門・グループごとのSSOプロファイル（IDプロバイダ）以外でシングルサインオンしようとすると、下記画面のようにエラーが発生してログインできません。