Google Workspace - SAML認証 – ペンティオヘルプセンター

本記事では、OneLoginからGoogle Workspace（旧G Suite）へのSAML シングルサインオン（SSO）の設定手順をご案内します。

前提条件

OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
Google Workspace または G Suite をご契約であること（すべてのプランが対象です）
Google Workspace における 特権管理者権限 をお持ちであること

SAML連携の設定

OneLoginに管理者でログインし、［管理］をクリックします
Applications メニューから［Applications］を選択します
［Add App］をクリックします
G Suite と検索し、SAML2.0 のコネクタを選択します
SAML2.0 - user provisioning が選択されていることを確認し、［Save］をクリックします
Configuration タブに移動し、Domain に Google Workspace のプライマリドメインを入力します
例）merakan.pentio-dev.com
Configuration タブに移動し、［Authenticate］をクリックします
G Suite をクリックします
Google Workspace アカウントログイン画面が表示されるので、 Google Workspace の特権管理者アカウントでログインします
OneLogin.comがGoogleアカウントへのアクセスをリクエストしています という確認画面が表示されます。確認して［許可］をクリックします
Parameters タブに移動し、Email フィールドを選択します
Value を Email に変更し、［Save］をクリックします
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
SSO > Automatic Configuration > Enable automatic SAML configuration: のトグルをクリックします
*下記4項目が満たされている場合、トグルが有効になります。
- API接続
- Accessタブの設定
- パラメーターの設定
- 一度は［Save］をクリックして保存していること
［Got it. Continue］をクリックします
［Next］をクリックします
［Got it. Thanks.］をクリックします
Enable automatic SAML configuration: を有効にし、［Save］をクリックします

SAML連携の設定は以上です。

SAML SSOの動作確認

OneLoginに対象ユーザーでログインし、設定した Google Workspace を選択します
SAML認証が完了し、Google WorkspaceにSSOされることを確認します

SAML SSOの動作確認は以上です。

SAML SSOの無効化

1. OneLogin側の設定

OneLoginに管理者でログインし、［管理］をクリックします
Applications メニューから［Applications］を選択します
Google Workspace と検索し、設定したコネクタを選択します
SSO タブに移動し、Enable automatic SAML configuration: を無効にします
［Ok］をクリックします
［Save］をクリックします

2. Google Workspace側の設定

セキュリティ > 認証 >［サードパーティのIdPによるSSO］をクリックします
サードパーティのSSO プロファイル >［Legacy SSO Profile］をクリックします
以前の SSO プロファイルを有効にする を［無効］にします
パスワード変更用 URL を削除し、空にします
［保存］をクリックします

SAML SSOの無効化は以上です。

SAML連携の再設定

1.SAML連携の設定の手順14〜17の処理が2回目以降の設定の際には下記のようになります。

SSO > Automatic Configuration > Enable automatic SAML configuration: のトグルをクリックします
※説明に書かれている下記の４項目が満たされているとトグルが有効になります
・API接続
・Accessタブの設定
・パラメーターの設定
新規タブでGmailが開かれます。OneLoginのがページに戻ります。
［Verify］をクリックします
OneLoginのページに表示されているポップアップの［Yes. I'm Done］をクリックします
Enable automatic SAML configuration のトグルが緑色に切り替わったことを確認します
［Save］をクリックして保存します

組織部門別のSAML連携の設定

1. SAML連携の設定〜 3. SAML連携の再設定において、Google WorkspaceのSAML認証の設定をしてきましたが、SAML認証できる人とできない人をGoogle Workspaceの組織部門ごとにおいて設定することができます

つまり、3. SAML連携の再設定までの設定では、ユーザー全員におけるSSO設定が強制になっていましたが、一部のユーザーにおいて解除することができるようになります

例として、「鈴木四郎」さんというユーザーが「経理」という組織に属し、鈴木四郎さんを含めた「経理」の組織に所属しているメンバーのみSAML認証を解除する手順を紹介します

※こちらのBETA版となります

Google Workspaceの特権管理者権限をもつユーザーでログインし、管理画面の左のタブから セキュリティ > ［設定］をクリックします
セキュリティの設定項目から サードパーティのIDプロバイダを使用したシングルサインオン(SSO)の設定 を開きます
サードパーティのIDプロバイダによるSSOの設定画面が表示されますので、ページ下部の SSOプロファイルの割り当ての管理 から 使ってみる をクリックします
画面左部から、以下の画面のように割り当てる組織を選択します
(ここでは経理という名の組織に割り当てるものとします)
SSOプロファイルの割り当て でなしを選択し、オーバーライド または保存をクリックします

以上で設定は完了です
設定が完了しているかの確認をするため、経理に所属している鈴木四郎さんのOneLogin環境にログインし、Google Workspaceにアクセスします
下記の画面が表示されますので、OneLoginによるSAML認証が無効化されていることを確認します
OneLoginからSAML認証でSSOすることができなくなった鈴木四郎さんが、メールアドレスとパスワードでGoogle Workspaceにログインできるか確認します
ログインできたことを確認します
鈴木四郎さんのSAML認証の無効化が確認出来次第、管理者は管理画面から Usersタブより、鈴木四郎さんのユーザーページを開き、Applications をクリックします
鈴木四郎さんが含まれるロールを外し、［Save User］をクリックします

補足

SAML連携前のロール選択にご注意ください

SAML連携の設定の手順12でロールを割り当てる際に、Google Workspaceのユーザーも含まれるロールを設定した場合、Google Workspaceのアカウントを持たないユーザーのOneLoginのポータルページにGoogle Workspaceのアプリアイコンが表示されますので、ご注意ください。
ロールが割りあたっているため、下画像の様にアプリアイコンが表示されます。

Google Workspaceをクリックすると、下記のようなエラーが発生します

Google Workspaceのアプリアイコンをポータルサイトにおいて非表示にします
Google Workspaceの管理画面を開きます
Info > Protal > Visible in portal を変更します

Visible in portal が赤色に変わったら、［Save］します

ポータルサイトを開いて、アプリアイコンが非表示になったことを確認します

トラブルシュート

プライマリドメインを設定する際に注意してください

下記のようなエラーが発生した場合はプライマリドメインが間違っている可能性があります
正しいプライマリドメインを登録してください

プライマリドメインとは、Google Workspaceを登録する際に設定したドメインのことです
＊プライマリドメイン確認手順
Google Workspaceの管理コンソール > ドメイン > ドメインの管理

目次