メインコンテンツへスキップ
English (US) 简体中文 繁體中文

一部ユーザーのみ HENNGE Access Control とシングルサインオン (SSO) したい (Google Workspace)

対象

HENNGE Access Control を Google Workspace にて利用するお客様が対象です。

目的

Google Workspace の一部ユーザーのみ、HENNGE Access Control とシングル サインオン (SSO) を構成し、Google Workspace へのログインを HENNGE Access Control から行うようにします。

注意事項

1. 本記事の手順を実施すると対象者について Google Workspace のログイン画面が HENNGE Access Control に変更されます。そのため、影響範囲、作業時間帯は十分ご検討の上作業ください。

2. HENNGE Access Control の管理者アカウントの情報 (ユーザー名・パスワード) が必要です。

3. Google Workspace テナントの特権管理者アカウントの情報 (ユーザー名・パスワード) が必要です。

4. 特権管理者権限を持つ Google Workspace アカウントは、シングル サインオン (SSO) 対象外です。
https://support.google.com/a/answer/6341409?hl=ja

5. 本作業実施前に、必ず Google Workspace・HENNGE Access Control 両方に同じメールアドレスを持つユーザーが作成されていることを確認します。
メールアドレスの不一致や、ユーザーがどちらかで存在していない場合、ユーザーは Google Workspace へのログインが出来なくなります。

6. 想定通りの動作にならない場合、Google 社にお問い合わせをいただくようお願いする場合がございます。

7. 一部のユーザーのみ HENNGE One 製品をご利用いただく場合であっても Google Workspace のライセンス数と同じ数のご購入が必要です。
HENNGE One のライセンスの考え方

8. 本記事の内容は 2024 年 8 月時点で製品の内容をもとにしたものであり、以後予告なく変更される場合があります。

詳細手順・説明

1. Google Workspace の新しい組織部門を作成

1.1. 親組織の配下に対象アカウントを登録する組織部門を作成します。

組織部門を追加する
* Google のサポートページに遷移します。

1.2.  シングル サインオン (SSO)の対象としたいアカウントを 1.1 で追加した組織部門に登録します。

組織部門へのユーザーの移動
* Google のサポートページに遷移します。

2. HENNGE Access Control のサービスプロバイダーを設定する

以下の手順を実施します。

HENNGE One サービスプロバイダーの仮設定

* STEP6 メタデータの取得は不要です。

3. Google Workspace の SSO プロファイルを作成する

3.1. [ Google Admin 管理コンソール ] → [ セキュリティ ] → [ 認証 ] → [ サードパーティの IdP による SSO ] にアクセスします。

3.2. [ サードパーティの SSO プロファイル ] → [ SAML プロファイルを追加 ] から以下を設定します。

・SSO プロファイル名:任意の名前

・IdP エンティティ ID:手順 2 でコピーした IdP Issuer

・ログインページの URL:手順 2 でコピーしたシングルサインオン URL

・ログアウトページの URL:手順 2 でコピーしたサインアウト URL

・パスワード変更用 URL :手順 2 でコピーしたシングルサインオン URL

・証明書をアップロード:手順 2 で取得した SAML 署名証明書

3.3 [ 保存 ] の押下後、[ SP の詳細 ] に [ エンティティ ID ] と [ ACS の URL ] が表示されるため手元のメモ帳等に控えます。

4. HENNGE Access Control のサービスプロバイダー設定を編集する

4.1. 手順 2 で作成したサービスプロバイダーを編集します。

・ACS URL :手順 4 でコピーした ACS の URL
・SP Issuer (Audience) :手順 4 でコピーしたエンティティ ID

4.2.手順 2 で作成したサービスプロバイダーへのアクセス許可設定を行います。

・以下の手順を参考に SSO 対象のユーザー、もしくは SSO 対象のユーザーが格納されたアクセスポリシーグループへ作成したサービスプロバイダーへのアクセス許可設定を行います。

SPサービスへのアクセス許可設定

*本設定の場合、デフォルトのサービスプロバイダー [ Gmail ] は利用しないため、必要に応じて全体のアクセスポリシーグループから、デフォルトで設定されている [ Gmail ] のサービスプロバイダーのチェックを外します。

5. Google Workspace の SSO 設定を実施する

5.1. [ Google Admin 管理コンソール ] → [ セキュリティ ] → [ 認証 ] → [ サードパーティの IdPによる SSO ] にアクセスし[ SSO プロファイルの割り当ての管理 ] → [ 使ってみる ] * を押下します。

* SSO プロファイルの割り当てが初回でない場合は [ 管理 ] を押下します。

5.2. 手順 1で作成した組織部門を選択し、[ 別の SSO プロファイル ] → [ 手順 3 で作成したSSO プロファイル ] を選択 → [ Google でユーザー名の入力を求めた後、このプロファイルの IdP ログインページにリダイレクトする ] → [ 保存 ] を押下します。

5.3. [ ドメイン固有のサービスのURL ]をクリックし、「最初にユーザーに Google のログインページでのユーザー名の入力を要求する」を選択し、[ 保存 ] を押下します。

※ SSO を使用していない組織部門またはグループがある場合は、必ずこの設定を選択してください。この設定を行わない場合、SSO を使用していないユーザーが自動的に HENNGE Access Control にリダイレクトされ、ログインできなくなるおそれがあります。

 

6. 接続の確認

6.1. 接続が正常に完了しているかどうかを確認します。

・SSO 対象ユーザーでの確認

SSO 用の組織に参加するユーザーにて Google Workspace サービスへアクセスし、ログインを行いHENNGE Access Control の認証画面が表示されることを確認します。

※特権管理者権限を持つ Google Workspace アカウントは、シングル サインオン (SSO) 対象外です。

・SSO 対象外ユーザーでの確認

SSO 用の組織に参加していないユーザーにて Google Workspace サービスへアクセスし、ログインを行いHENNGE Access Control の認証画面は表示されずにログインできることを確認します。

 

参考

組織の SSO を設定する(Google Workspace 管理者ヘルプ)