こんにちは、サイオステクノロジーの有村です。
前置き
AzureAD(Azure Active Directory)はIdP(Identity Provider)としてSP(Service Provider)の認証基盤として利用することができます。今回は一般的なSAMLベースのシングルサインオンが設定可能なGSuiteについて設定します。過去にも同様の記事がありますが、今回は2019年7月現在の設定方法となります。
本設定の前提条件は以下のとおりです。
- AzureADに独自ドメインを登録済み(所有確認済み)
- 同じ独自ドメインでGSuiteを構成済み(同じく所有確認済み)
- AzureADとGSuiteの両方に同じIDのアカウントが存在する
手順
手順は以下の通りです。
- Azureポータルのサイドバーから[Azure Active Directory]を開き、続いて[エンタープライズ アプリケーション]を選択します。
- [新しいアプリケーション]を選択します。
- ギャラリーから[GSuite]を検索し、表示された[GSuite]を選択します。
- そのまま[追加]を選択します。
- 表示されたアプリケーションの設定画面から[シングルサインオン]を選択します。
- シングルサインオン方式は[SAML]を選択します。
- ①基本的なSAML構成の鉛筆アイコンを選択します。
- 識別子は下記内容を追加して既存の設定を削除し、サインオンURLは入力して、[保存]を選択します。
- Validateに関する誘導ダイアログが表示されますが、[いいえ、後でvalidateします。]を選択します。
- ②ユーザー属性とクレームの鉛筆アイコンを選択します。
- … アイコンから削除可能なクレームをすべて削除します。鉛筆アイコンから名前識別子を表示します。
- ユーザークレームの管理から、ソース属性を変更します。今回は user.mail へ変更しました。
- Base64形式の証明書をダウンロードします。
- ④GSuiteのセットアップを表示した状態にしておきます。
- GSuite管理コンソールでログインし、[セキュリティ]-[設定]を選択します。[シングルサインオン(SSO)の設定]を選択します。[サードパーティのIDプロバイダでSSOを設定する]をチェックします。AzureAD側の[ログインURL]からコピーして[ログインページのURL]にペーストします。AzureAD側の[ログアウトURL]からコピーして[ログアウトページURL]にペーストします。[ファイルを選択]を選択して、先ほどダウンロードした証明書を選択します。[アップロード]を選択します。[ドメイン固有の発行元を使用]をチェックします。[保存]を選択します。
- 続いてユーザー割り当てを行うため、[ユーザーとグループ]を選択します。
- [ユーザーの追加]を選択します。
- [ユーザーとグループ]を選択します。
- [メンバーの選択または外部ユーザーの招待]に割り当てる対象の名前かメールアドレスを入力します。検索して表示されたアカウントを選択し、[選択]を選択します。
- [割り当て]を選択します。
- 割り当てられたユーザーを確認します。
識別子: google.com/a/yourdomain.com
サインオンURL: https://www.google.com/a/yourdomain.com/ServiceLogin?continue=https://mail.google.com
これでAzureADの情報でGSuiteにログイン可能となりました!
よいSSOライフを!
