メインコンテンツへスキップ
English (United States) 简体中文 繁體中文

[Access Control] シングルサインオン (SSO) 接続手順 (Google Workspace)

概要

Access Control と Google Workspace のシングル サインオン(SSO)を構成し、Google Workspace へのログインを Access Control から行うようにするための手順です。

注意事項

  1. 本記事の手順を実施すると、対象者の Google Workspace へのログインが Access Control 経由に変更されます。
    そのため、影響範囲、作業時間帯は十分ご検討の上作業してください。
  2. Access Control の管理者アカウントの情報(ユーザー名・パスワード)が必要です。
  3. Google Workspace テナントの特権管理者アカウントの情報(ユーザー名・パスワード)が必要です。
  4. 特権管理者権限を持つ Google Workspace アカウントは、シングル サインオン(SSO)対象外です。
    https://support.google.com/a/answer/6341409?hl=ja(外部リンク)
  5. 本作業実施前に、必ず Google Workspace・Access Control 両方に同じメールアドレスを持つユーザーが作成されていることを確認してください。
    メールアドレスの不一致や、ユーザーがどちらかで存在していない場合、ユーザーは Google Workspace へのログインができなくなります。
  6. 想定通りの動作にならない場合、Google 社へお問い合わせをお願いする場合があります。
  7. 一部のユーザーのみ HENNGE One 製品を利用する場合であっても Google Workspace のライセンス数と同じ数の購入が必要です。
    HENNGE One のライセンスの考え方
  8. 本記事の内容は 2026 年 4 月時点での製品仕様に基づき作成しており、予告なく変更される場合があります。

手順

Google Workspace の新しい組織部門を作成

本手順は、一部ユーザーのみに Access Control と SSO 連携をしたい場合に実施します。
全ユーザーに対して SSO 連携を行う場合は、次の Access Control のサービスプロバイダーを設定する の手順に進んでください。

  1. 親組織の配下に対象アカウントを登録する組織部門を作成します。
    組織部門を追加する(外部リンク)
  2. シングル サインオン(SSO)の対象としたいアカウントを手順 1 で追加した組織部門に登録します。
    組織部門へのユーザーの移動(外部リンク)

Access Control のサービスプロバイダーを設定する

以下の手順を実施します。

HENNGE One サービスプロバイダーの仮設定(外部リンク)
※ STEP 6 メタデータの取得は不要です。

Google Workspace の SSO プロファイルを作成する

  1. [Google Admin 管理コンソール]-[セキュリティ]-[認証]-[サードパーティの IdP による SSO]にアクセスします。
  2. [サードパーティの SSO プロファイル]-[SAML プロファイルを追加]から以下を設定します。
    ※「Access Control のサービスプロバイダーを設定する」で取得した値を使用します。
    • [SSO プロファイル名]:任意の名前
    • [メールアドレスを自動入力]:[URL 内のメールアドレスを login_hint パラメータとして送信する]にチェック
    • [IdP エンティティ ID]:コピーした IdP Issuer
    • [ログインページの URL]:コピーしたシングルサインオン URL
    • [ログアウトページの URL]:コピーしたサインアウト URL
    • [パスワード変更用 URL]:コピーしたシングルサインオン URL
    • [証明書をアップロード]:取得した SAML 署名証明書
  3. [保存]をクリック後、[SP の詳細]に[エンティティ ID]と[ACS の URL]が表示されます。
    Access Control への転記が必要になるので、控えてください。

Access Control のサービスプロバイダー設定を編集する

  1. 「Access Control のサービスプロバイダーを設定する」で作成したサービスプロバイダーを編集します。
  2. 「Access Control のサービスプロバイダーを設定する」で作成したサービスプロバイダーへのアクセス許可設定を行います。
    以下の手順を参考に SSO 対象のユーザー、もしくは SSO 対象のユーザーが格納されたアクセスポリシーグループへ作成したサービスプロバイダーへのアクセス許可設定を行います。
    SPサービスへのアクセス許可設定(外部リンク)
    ※ デフォルトのサービスプロバイダー[Gmail]は利用しないため、必要に応じて全体のアクセスポリシーグループから、デフォルトで設定されている[Gmail]のサービスプロバイダーのチェックを外します。

Google Workspace の SSO 設定を実施する

全ユーザーに対して SSO 連携を行う場合

  1. [Google Admin 管理コンソール]-[セキュリティ]-[認証]-[サードパーティの IdP による SSO]にアクセスし、[SSO プロファイルの割り当ての管理]-[使ってみる]をクリックします。
    ※ [使ってみる]が表示されない場合は[管理]をクリックします。
  2. 最上位の組織部門を選択し、[SSO プロファイルを選択]のプルダウンリストから「Google Workspace の SSO プロファイルを作成する」手順で用意したプロファイルを指定します。
  3. [Google でユーザー名の入力を求めた後、このプロファイルの IdP ログインページにリダイレクトする]にチェックして[保存]をクリックします。

一部ユーザーのみに SSO 連携を行う場合

  1. [Google Admin 管理コンソール]-[セキュリティ]-[認証]-[サードパーティの IdP による SSO]にアクセスし、[SSO プロファイルの割り当ての管理]-[使ってみる]をクリックします。
    ※ [使ってみる]が表示されない場合は[管理]をクリックします。
  2. 「Google Workspace の新しい組織部門を作成」で用意した組織部門を選択し、[SSO プロファイル]よりプルダウンリストから「Google Workspace の SSO プロファイル」手順で用意したプロファイルを指定します。
  3. [Google でユーザー名の入力を求めた後、このプロファイルの IdP ログインページにリダイレクトする]にチェックして[保存]をクリックします。
  4. [サードパーティの IdP による SSO]-[ドメイン固有のサービスの URL]をクリックし、「最初にユーザーに Google のログインページでのユーザー名の入力を要求する」を選択後に[保存]をクリックします。
    ※ SSO を使用していない組織部門またはグループがある場合は、必ずこの設定を選択してください。
    この設定を行わない場合、SSO を使用していないユーザーが自動的に Access Control にリダイレクトされ、ログインできなくなるおそれがあります。

接続の確認

  • SSO 対象ユーザーでの確認
    SSO 用の組織に参加するユーザーにて Google Workspace サービスへアクセスし、ログインを行い Access Control の認証画面が表示されることを確認します。
    ※ 特権管理者権限を持つ Google Workspace アカウントは、シングル サインオン(SSO)対象外です。
  • SSO 対象外ユーザーでの確認
    SSO 用の組織に参加していないユーザーにて Google Workspace サービスへアクセスし、ログインを行い Access Control の認証画面は表示されずにログインできることを確認します。

参考