対象
- HENNGE Access Control と Google Workspace のシングル サインオン (SSO) を構成するお客様
目的
- HENNGE Access Control と Google Workspace のシングル サインオン (SSO) を構成し、Google Workspace へのログインを HENNGE Access Control から行うようにします。
注意事項
- 本記事の手順を実施すると対象者について Google Workspace のログイン画面が HENNGE Access Control に変更されます。
そのため、影響範囲、作業時間帯は十分ご検討の上作業ください。 - HENNGE Access Control の管理者アカウントの情報 (ユーザー名・パスワード) が必要です。
- Google Workspace テナントの特権管理者アカウントの情報 (ユーザー名・パスワード) が必要です。
- 特権管理者権限を持つ Google Workspace アカウントは、シングル サインオン (SSO) 対象外です。
https://support.google.com/a/answer/6341409?hl=ja -
本作業実施前に、必ず Google Workspace・HENNGE Access Control 両方に同じメールアドレスを持つユーザーが作成されていることを確認します。
メールアドレスの不一致や、ユーザーがどちらかで存在していない場合、ユーザーは Google Workspace へのログインが出来なくなります。 - 想定通りの動作にならない場合、Google 社にお問い合わせをいただくようお願いする場合がございます。
- 一部のユーザーのみ HENNGE One 製品をご利用いただく場合であっても Google Workspace のライセンス数と同じ数のご購入が必要です。
HENNGE One のライセンスの考え方 - 本記事の内容は 2024 年 11 月時点で製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
手順
Google Workspace の新しい組織部門を作成
本手順は、一部ユーザーのみに HENNGE Access Control と SSO 連携をしたい場合に実施します。
全ユーザーに対して SSO 連携を行う場合は、次の「HENNGE Access Control のサービスプロバイダーを設定する」の手順に進んでください。
1. 親組織の配下に対象アカウントを登録する組織部門を作成します。
組織部門を追加する
※ Google のサポートページに遷移します。
2. シングル サインオン (SSO) の対象としたいアカウントを 1. で追加した組織部門に登録します。
組織部門へのユーザーの移動
※ Google のサポートページに遷移します。
HENNGE Access Control のサービスプロバイダーを設定する
以下の手順を実施します。
※ STEP 6 メタデータの取得は不要です。
Google Workspace の SSO プロファイルを作成する
1. [Google Admin 管理コンソール] - [セキュリティ] - [認証] - [サードパーティの IdP による SSO] にアクセスします。
2. [サードパーティの SSO プロファイル] - [SAML プロファイルを追加] から以下を設定します。
※「HENNGE Access Control のサービスプロバイダーを設定する」で取得した値を使用します。
- SSO プロファイル名:任意の名前
- IdP エンティティ ID:コピーした IdP Issuer
- ログインページの URL:コピーしたシングルサインオン URL
- ログアウトページの URL:コピーしたサインアウト URL
- パスワード変更用 URL :コピーしたシングルサインオン URL
- 証明書をアップロード:取得した SAML 署名証明書
3. [保存] の押下後、[SP の詳細] に [エンティティ ID] と [ACS の URL] が表示されるため手元のメモ帳等に控えます。
HENNGE Access Control のサービスプロバイダー設定を編集する
1.「HENNGE Access Control のサービスプロバイダーを設定する」で作成したサービスプロバイダーを編集します。
- ACS URL :「Google Workspace の SSO プロファイルを作成する」の手順 3. でコピーした ACS の URL
- SP Issuer (Audience) :「Google Workspace の SSO プロファイルを作成する」の手順 3. でコピーしたエンティティ ID
2.「HENNGE Access Control のサービスプロバイダーを設定する」で作成したサービスプロバイダーへのアクセス許可設定を行います。
以下の手順を参考に SSO 対象のユーザー、もしくは SSO 対象のユーザーが格納されたアクセスポリシーグループへ作成したサービスプロバイダーへのアクセス許可設定を行います。
※ デフォルトのサービスプロバイダー [Gmail] は利用しないため、必要に応じて全体のアクセスポリシーグループから、デフォルトで設定されている [Gmail] のサービスプロバイダーのチェックを外します。
Google Workspace の SSO 設定を実施する
全ユーザーに対して SSO 連携を行う場合
1. [Google Admin 管理コンソール] - [セキュリティ] - [認証] - [サードパーティの IdPによる SSO] にアクセスし、[SSO プロファイルの割り当ての管理] - [使ってみる] ※ を押下します。
※ [使ってみる] が表示されない場合は [管理] を押下します。
2. 最上位の組織部門を選択し、 [SSO プロファイルを選択] よりプルダウンリストから「Google Workspace の SSO プロファイルを作成する」手順で用意したプロファイルを指定します。
3. [Google でユーザー名の入力を求めた後、このプロファイルの IdP ログインページにリダイレクトする] - [保存] を押下します。
一部ユーザーのみに SSO 連携を行う場合
1. [Google Admin 管理コンソール] - [セキュリティ] - [認証] - [サードパーティの IdPによる SSO] にアクセスし、[SSO プロファイルの割り当ての管理] - [使ってみる] ※ を押下します。
※ [使ってみる] が表示されない場合は [管理] を押下します。
2.「Google Workspace の新しい組織部門を作成」で用意した組織部門を選択し、 [SSO プロファイル] よりプルダウンリストから「Google Workspace の SSO プロファイル」手順で用意したプロファイルを指定します。
3. [Google でユーザー名の入力を求めた後、このプロファイルの IdP ログインページにリダイレクトする] - [保存] を押下します。
4. [サードパーティの IdPによる SSO] - [ドメイン固有のサービスのURL] をクリックし、「最初にユーザーに Google のログインページでのユーザー名の入力を要求する」を選択後に [保存] を押下します。
※ SSO を使用していない組織部門またはグループがある場合は、必ずこの設定を選択してください。この設定を行わない場合、SSO を使用していないユーザーが自動的に HENNGE Access Control にリダイレクトされ、ログインできなくなるおそれがあります。
接続の確認
- SSO 対象ユーザーでの確認
SSO 用の組織に参加するユーザーにて Google Workspace サービスへアクセスし、ログインを行いHENNGE Access Control の認証画面が表示されることを確認します。
※ 特権管理者権限を持つ Google Workspace アカウントは、シングル サインオン (SSO) 対象外です。 - SSO 対象外ユーザーでの確認
SSO 用の組織に参加していないユーザーにて Google Workspace サービスへアクセスし、ログインを行いHENNGE Access Control の認証画面は表示されずにログインできることを確認します。
参考
- 組織の SSO を設定する(Google Workspace 管理者ヘルプ)