SIOS Tech. LabSIOS Tech. Lab | エンジニアのタメになるOSS・クラウド・認証の技術トピックス
新着記事

Azure ADでG Suite(Google Apps)にシングルサインオン(SSO)

2016-10-26 Azure, クラウド, 認証 0
◆ Live配信スケジュール ◆
サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。
⇒ 詳細スケジュールはこちらから
⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください
【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました
生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!!
https://tech-lab.connpass.com/event/315703/

はじめに

こんにちは。facebookのSSOに続き、Azure ADでG Suite(GoogleApps)にシングルサインオンする方法をご紹介します。ゴールは、Azure ADでG Suiteにプロビジョニングし、Azure ADからG SuiteにSSOできる事とします。

facebookと異なりG Suiteは、SAMLを利用したSSOになり、アカウントのプロビジョニング(同期)も可能です。
ただ、プロビジョニングについては1つ注意点があります。仕様なのか不具合なのかわかっていませんが、G Suiteへのアカウントプロビジョニングでアカウントの削除(停止)はできないようです(現時点)
Azure AD上でアカウントを削除してもG Suiteのアカウントは削除(停止)されずアカウントが残り続きます(Azure ADで権限の割り当てを削除した際も同様)。
Azure ADからアカウントを削除するとG Suiteのアカウントが停止になります。「【追加情報】Azure ADでG Suite(Google Apps)にシングルサインオン(SSO) ※G Suite アカウント停止について」を参照ください。
アカウントの更新については、姓名の確認しかしていませんが問題なく更新されました。

下記にG Suiteを既にご利用されている前提でG SuiteへのSSOとプロビジョニング手順を記載します。

Azure ADでG SuiteへのSSOを有効にする

  1. Azureのポータルにログインします。新ポータルのAzure Active Directoryは現時点でプレビュー版のため、旧ポータルを利用します。
    https://manage.windowsazure.com/

    ※Azure ADにログインする管理者アカウントの多要素認証は一時的に無効をお勧めします。
    私の環境の問題かもしれませんが多要素認証を有効にするとG Suiteへのシングルサインオン構成とプロビジョニング構成の実行プロセスが途中でとまりました。。。。。
    設定が完了したら、再度多要素認証を有効にしてください。
  2. 左画面より、Active Directoryをクリックします。
    %e7%94%bb%e9%9d%a21
  3. G Suiteと連携させるAzure Active Directoryを選択します。
  4. 「アプリケーション」をクリックします。
    %e7%94%bb%e9%9d%a22
  5. 画面下の「追加」をクリックします。
    %e7%94%bb%e9%9d%a23
  6. 「ギャラリーからアプリケーションを追加します」をクリックします。
  7. 「Google Apps」を選択し、「表示名」を入力します。
    google1
  8. 「シングルサインオンの構成」をクリックします。
    google2
  9. 「Microsoft Azure ADのシングルサインオン」を選択します。
    google3
  10. 「サインオンURL」にG SuiteのサインオンURLを入力します。
    https://mail.google.com/a/Googleドメイン名
    google4
  11. G Suiteのドメイン名を入力し、「構成」をクリックします。
    google5
  12. G Suiteへのログイン画面が表示されるので、G Suiteの管理者アカウントでログインします。
  13. 「ドメイン設定の管理」に対する許可が求められますので「許可」をクリックします。G SuiteのSSO設定が自動(3分~5分)で行われます。
    google6
  14. 「構成に成功しました」が表示されることを確認し、✓をクリックします。
    google7
  15. 適当のメールアドレスを入力し、SSOの設定は完了になります。

Azure ADでG Suiteへのプロビジョニングを有効にする

  1. 「アカウントプロビジョニングの構成」をクリックします。
    google8
  2. 「アカウントプロビジョニングを有効にする」をクリックします。
    google9
  3. G Suiteの許可リクエスト画面が表示されますので、「許可」をクリックします。
    ・アドレス帳や連絡先情報の管理
    ・ドメインのユーザーのプロビジョニングの表示と管理
    ・ドメインのグループのプロビジョニングの表示と管理
  4. 「承認が成功しました」と表示される事を確認し、「→」をクリックします。
  5. 「テスト開始」をクリックし、「接続が確認されました」と表示される事を確認、「→」をクリックします。
    google10
  6. 同期する属性や通知先を指定し、「→」をクリックします。
    google11
  7. 「今すぐ自動プロビジョニングを開始する」を選択し、クリックします。プロビジョニングの設定完了です。

G Suiteの利用権限をユーザに割り当てる

  1. 「アカウントの割り当て」をクリックします。
    google13
  2. G Suiteの利用権を付与するアカウントを選択し、「割り当て」をクリックします。
  3. G Suiteにアカウントが作成されるまで待ちます。ダッシュボードでプロビジョニングの状況が確認できます。
    google14

G SuiteにSSOする

  1. ブラウザを起動、https://myapps.microsoft.com にアクセスし、先ほどG Suiteの権限を割り当てユーザでログインします。
  2. アプリより、「Google Apps」をクリックします。ユーザ名/パスワードを入力することなくG Suiteにログインできます。

最後に

GUIの操作だけでAzure ADとG SutiteのSSOとプロビジョニングが簡単に設定できます。プロビジョニングについては、作成/更新(姓名変更)であれば問題ありません。削除についてはご注意ください。
また、Azure ADアカウントの姓と名に2バイト文字があるとSSOに失敗します。対応方法及び原因はよく勉強させていただいている以下ブログに記載されています。ご参照ください。

https://idmlab.eidentity.jp/2016/02/azure-adgoogle-appssso.html


sso シングルサインオン や 統合認証 などの導入イメージ については下記をご覧ください!
https://sios.jp/products/oss-integration/service/oss_on_cloud/authentication.html

cloud_mailG Suite などのクラウドメール導入メリットについては下記をご覧ください!
https://sios.jp/products/oss-integration/service/oss_on_cloud/cloud.html

 

アバター画像
About サイオステクノロジーの中の人です 88 Articles
サイオステクノロジーで働く中の人です。
Twitter YouTube
ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。


ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!


SIOS Tech Lab

>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!

Related Articles

Be the first to comment

Leave a Reply

Your email address will not be published.


*


Copyright © 2024 | MH Magazine WordPress Theme by MH Themes

質問はこちら 閉じる