Azure ADでG Suite(Google Apps)にシングルサインオン(SSO)

SHARE

目次

はじめに

こんにちは。facebookのSSOに続き、Azure ADでG Suite(GoogleApps)にシングルサインオンする方法をご紹介します。ゴールは、Azure ADでG Suiteにプロビジョニングし、Azure ADからG SuiteにSSOできる事とします。

facebookと異なりG Suiteは、SAMLを利用したSSOになり、アカウントのプロビジョニング(同期)も可能です。
ただ、プロビジョニングについては1つ注意点があります。仕様なのか不具合なのかわかっていませんが、G Suiteへのアカウントプロビジョニングでアカウントの削除(停止)はできないようです(現時点)
Azure AD上でアカウントを削除してもG Suiteのアカウントは削除(停止)されずアカウントが残り続きます(Azure ADで権限の割り当てを削除した際も同様)。
Azure ADからアカウントを削除するとG Suiteのアカウントが停止になります。「【追加情報】Azure ADでG Suite(Google Apps)にシングルサインオン(SSO) ※G Suite アカウント停止について」を参照ください。
アカウントの更新については、姓名の確認しかしていませんが問題なく更新されました。

下記にG Suiteを既にご利用されている前提でG SuiteへのSSOとプロビジョニング手順を記載します。

Azure ADでG SuiteへのSSOを有効にする

  1. Azureのポータルにログインします。新ポータルのAzure Active Directoryは現時点でプレビュー版のため、旧ポータルを利用します。
    https://manage.windowsazure.com/

    ※Azure ADにログインする管理者アカウントの多要素認証は一時的に無効をお勧めします。
    私の環境の問題かもしれませんが多要素認証を有効にするとG Suiteへのシングルサインオン構成とプロビジョニング構成の実行プロセスが途中でとまりました。。。。。
    設定が完了したら、再度多要素認証を有効にしてください。
  2. 左画面より、Active Directoryをクリックします。
    %e7%94%bb%e9%9d%a21
  3. G Suiteと連携させるAzure Active Directoryを選択します。
  4. 「アプリケーション」をクリックします。
    %e7%94%bb%e9%9d%a22
  5. 画面下の「追加」をクリックします。
    %e7%94%bb%e9%9d%a23
  6. 「ギャラリーからアプリケーションを追加します」をクリックします。
  7. 「Google Apps」を選択し、「表示名」を入力します。
    google1
  8. 「シングルサインオンの構成」をクリックします。
    google2
  9. 「Microsoft Azure ADのシングルサインオン」を選択します。
    google3
  10. 「サインオンURL」にG SuiteのサインオンURLを入力します。
    https://mail.google.com/a/Googleドメイン名
    google4
  11. G Suiteのドメイン名を入力し、「構成」をクリックします。
    google5
  12. G Suiteへのログイン画面が表示されるので、G Suiteの管理者アカウントでログインします。
  13. 「ドメイン設定の管理」に対する許可が求められますので「許可」をクリックします。G SuiteのSSO設定が自動(3分~5分)で行われます。
    google6
  14. 「構成に成功しました」が表示されることを確認し、✓をクリックします。
    google7
  15. 適当のメールアドレスを入力し、SSOの設定は完了になります。

Azure ADでG Suiteへのプロビジョニングを有効にする

  1. 「アカウントプロビジョニングの構成」をクリックします。
    google8
  2. 「アカウントプロビジョニングを有効にする」をクリックします。
    google9
  3. G Suiteの許可リクエスト画面が表示されますので、「許可」をクリックします。
    ・アドレス帳や連絡先情報の管理
    ・ドメインのユーザーのプロビジョニングの表示と管理
    ・ドメインのグループのプロビジョニングの表示と管理
  4. 「承認が成功しました」と表示される事を確認し、「→」をクリックします。
  5. 「テスト開始」をクリックし、「接続が確認されました」と表示される事を確認、「→」をクリックします。
    google10
  6. 同期する属性や通知先を指定し、「→」をクリックします。
    google11
  7. 「今すぐ自動プロビジョニングを開始する」を選択し、クリックします。プロビジョニングの設定完了です。

G Suiteの利用権限をユーザに割り当てる

  1. 「アカウントの割り当て」をクリックします。
    google13
  2. G Suiteの利用権を付与するアカウントを選択し、「割り当て」をクリックします。
  3. G Suiteにアカウントが作成されるまで待ちます。ダッシュボードでプロビジョニングの状況が確認できます。
    google14

G SuiteにSSOする

  1. ブラウザを起動、https://myapps.microsoft.com にアクセスし、先ほどG Suiteの権限を割り当てユーザでログインします。
  2. アプリより、「Google Apps」をクリックします。ユーザ名/パスワードを入力することなくG Suiteにログインできます。

最後に

GUIの操作だけでAzure ADとG SutiteのSSOとプロビジョニングが簡単に設定できます。プロビジョニングについては、作成/更新(姓名変更)であれば問題ありません。削除についてはご注意ください。
また、Azure ADアカウントの姓と名に2バイト文字があるとSSOに失敗します。対応方法及び原因はよく勉強させていただいている以下ブログに記載されています。ご参照ください。

https://idmlab.eidentity.jp/2016/02/azure-adgoogle-appssso.html

sso シングルサインオン や 統合認証 などの導入イメージ については下記をご覧ください!
https://sios.jp/products/oss-integration/service/oss_on_cloud/authentication.html

cloud_mailG Suite などのクラウドメール導入メリットについては下記をご覧ください!
https://sios.jp/products/oss-integration/service/oss_on_cloud/cloud.html

 

ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事

VPN(Point To Site)接続する際の注意点

次の記事

【第10回】 Linux/OSS エヴァンジェリスト古賀政純の…