以前の SSO から SSO プロファイルへの移行

Google Workspace では、Google を ID プロバイダの信頼できるパーティとして使用してシングル サインオン(SSO)を設定できます。方法は 2 つあります。

  • 以前の SSO プロファイル - 組織に設定できる IdP は 1 つだけです。
  • SSO プロファイル - SSO を設定するための新しい推奨方法。組織内のさまざまなユーザーに異なる SSO 設定を適用できます。SAML と OIDC の両方をサポートし、より最新の API を備えています。Google は今後、新機能を追加していく予定です。

これらのメリットを活用するには、すべてのお客様に SSO プロファイルに移行することをおすすめします。SSO プロファイルは組織の SSO プロファイルと共存できるため、組織全体を移行する前に新しい SSO プロファイルをテストできます。

移行プロセスの概要

  1. 管理コンソールで、IdP の SSO プロファイルを作成し、新しいプロファイルを IdP に登録します。
  2. 新しいプロファイルを使用するテストユーザーを割り当て、プロファイルが機能することを確認します。
  3. 最上位の組織部門を新しいプロファイルに割り当てます。
  4. 新しいプロファイルを使用するように、ドメイン固有の URL を更新します。
  5. クリーンアップ: 古いサービス プロバイダの登録を解除し、ユーザーの自動プロビジョニングが引き続き機能することを確認します。

ステップ 1: SSO プロファイルを作成する

  1. 新しい SAML SSO プロファイルを作成するには、こちらの手順に沿って操作してください。新しいプロファイルでは、組織の既存の SSO プロファイルと同じ IdP を使用する必要があります。
  2. 新しい SSO プロファイルを、新しいサービス プロバイダとして IdP に登録します。

    IdP では、新しいプロファイルが個別のサービス プロバイダとして認識されます(「アプリ」または「リライング パーティ」と呼ばれることもあります)。新しいサービス プロバイダの登録方法は IdP によって異なりますが、通常は、新しいプロファイルのエンティティ ID と Assertion Consumer Service(ACS)URL を設定する必要があります。

API ユーザー向けの注意事項
  • 組織の SSO プロファイルを使用する場合は、Google Workspace Admin Settings API のみを使用して SSO 設定を管理できます。
  • Cloud Identity API では、SSO プロファイルを inboundSamlSsoProfiles として管理し、inboundSsoAssignments を使用してグループまたは組織部門に割り当てることができます。
SSO プロファイルと以前の SSO プロファイルの違い

特権管理者のアサーション

SSO プロファイルでは、特権管理者に関するアサーションを受け付けません。組織の SSO プロファイルを使用する場合、アサーションは受け付けられますが、特権管理者は IdP にリダイレクトされません。たとえば、次のアサーションは無効です。

  • ユーザーが IdP からアプリ ランチャーのリンクをたどる(IdP を起点とする SAML)
  • ユーザーがドメイン固有のサービス URL(https://drive.google.com/a/your_domain.com など)に移動する
  • ユーザーが、IdP に直接移動するように設定された Chromebook にログインします。詳細

SSO 後の検証の設定

SSO 後の検証を制御する設定(ログイン時の本人確認や 2 段階認証プロセスなど)は、SSO プロファイルと組織の SSO プロファイルで異なります。混乱を避けるため、両方の設定を同じ値に設定することをおすすめします。詳細

ステップ 2: プロファイルにテストユーザーを割り当てる

すべてのユーザーに切り替える前に、まず 1 つのグループまたは組織部門のユーザーで新しい SSO プロファイルをテストすることをおすすめします。既存のグループまたは組織部門を使用するか、必要に応じて新しいグループまたは組織部門を作成します。

管理対象の ChromeOS デバイスがある場合は、組織部門ベースのテストを推奨します。ChromeOS デバイスは組織部門に割り当てることはできますが、グループには割り当てることができないためです。

  1. (省略可)新しい組織部門または設定グループを作成し、テストユーザーを割り当てます。
  2. こちらの手順に沿って、新しい SSO プロファイルにユーザーを割り当てます。
管理対象の ChromeOS デバイスを持つ組織向けの注意事項

ユーザーが IdP に直接移動するように ChromeOS デバイスの SSO を設定している場合は、これらのユーザーに対して SSO の動作を個別にテストする必要があります。

なお、ログインが成功するには、デバイスの組織部門に割り当てられた SSO プロファイルが、デバイス ユーザーの組織部門に割り当てられた SSO プロファイルと一致している必要があります。

たとえば、現在、管理対象の Chromebook を使用して IdP に直接ログインする従業員向けに営業部門の組織部門がある場合は、「sales_sso_testing」などの組織部門を作成し、新しいプロファイルを使用するように割り当て、一部のユーザーとそのユーザーが使用する Chromebook をその組織部門に移動します。

ステップ 3: 最上位の組織部門を割り当て、サービス URL を更新する

テストグループまたは組織部門で新しい SSO プロファイルのテストに成功したら、他のユーザーに切り替える準備が整います。

  1. [セキュリティ] 次へ [サードパーティの IdP による SSO] 次へ [SSO プロファイルの割り当ての管理] に移動します。
  2. [管理] をクリックします。
  3. 最上位の組織部門を選択し、新しい SSO プロファイルに割り当てます。
  4. (省略可)組織の SSO プロファイルに他の組織部門またはグループが割り当てられている場合は、それらを新しい SSO プロファイルに割り当てます。

ステップ 4: ドメイン固有の URL を更新する

組織でドメイン固有の URL(https://mail.google.com/a/your_domain.com など)を使用している場合は、新しい SSO プロファイルを使用するように設定を更新します。

  1. [セキュリティ] 次へ [サードパーティの IdP による SSO] 次へ [ドメイン固有のサービスの URL] に移動します。
  2. [ユーザーを以下の SSO プロファイルに含まれるサードパーティ IdP に自動的にリダイレクトする] で、プルダウン リストから新しい SSO プロファイルを選択します。

ステップ 5: クリーンアップする

  1. [セキュリティ] 次へ [サードパーティの IdP による SSO] 次へ [SSO プロファイル] で、[以前の SSO プロファイル] をクリックしてプロファイル設定を開きます。
  2. [以前の SSO プロファイルを有効にする] のチェックボックスをオフにして、以前のプロファイルを無効にします。
  3. IdP で設定した「ユーザーの自動プロビジョニング」が、新しい SSO プロファイルで正しく機能していることを確認します。
  4. IdP から古いサービス プロバイダの登録を解除します。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
メインメニュー
7456230774799065958
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false
false
false