ご質問
Access Control を認証先としている Microsoft 365 または Google Workspace (以下、グループウェア)を IdP として、他の外部サービス(SP)と SSO 連携した場合、認証フローはどうなりますか?
回答
グループウェア側の認証先が Access Control に設定されている場合、他サービスへのサインイン時も最終的には Access Control での認証が必要となります。
具体的なログインの流れは以下のようになります。
- 外部サービス(SP)へアクセスし、グループウェアのアカウントでログインを試行します。
- 認証のため、SP からグループウェアへリダイレクトされます。
- グループウェアからさらに Access Control へリダイレクトされます。
- Access Control の画面で認証を実施します。
- 認証成功後、グループウェアを経由して SP へのログインが完了します。
注意事項
- この構成では、最終的な認証可否は Access Control の[アクセスポリシーグループ]に従います。
- グループウェア側でログインが許可されていても、 Access Control のポリシーで許可されていない IP アドレスや端末からのアクセスは、上記手順 4 の段階で制限されるため、外部サービス(SP)へもログインできません。
そのため、外部サービスを利用される際は、 Access Control 側で適切なアクセス許可設定がなされているか事前にご確認ください。