シングルサインオンをGoogle Workspace(旧 G Suite)
で実現する方法とは
Googleが提供するGoogle Workspace(旧 G Suite)はビジネスワークで活躍するさまざまなWebアプリケーションを提供しており、Google Workspace内でシングルサインオン(SSO)を実現することも可能です。しかし、別にシングルサインオン製品を導入して、第三者的立場からGoogle Workspaceと他のWebサービスのシングルサインオンを実現することも可能です。Google Workspaceとサードパーティのどちらでシングルサインオンを実現する方が良いのでしょうか?それぞれの仕組みや具体的な実現方法について詳しく解説します。
目次
- Google Workspaceでのシングルサインオンの考え方
- Google Workspaceのアカウントでシングルサインオンを実現する方法
- シングルサインオンサービスからGoogle Workspaceへのログインを実現する方法
- まとめ
Google Workspaceでのシングルサインオンの考え方
Google Workspaceは、GmailやGoogleドキュメントといった個人向けサービスをビジネス向けに強化したツール群です。
このツールをシングルサインオンの対象とすることも、あるいはシングルサインオンの基盤として利用することも可能です。Google Workspaceを活用したシングルサインオンについて、詳しく見ていきましょう。
Chromeのパスワード管理とシングルサインオンは何が違うのか?
Chromeなどのモダンブラウザでは、シングルサインオンのようにパスワードを記録する機能があり、再び同じアプリケーションにアクセスした際は、自動でパスワードを入力してくれます。簡単に登録できるという利便性の反面、保存したパスワードが平文で表示することが可能であるため、保存したパスワードが他者に見られてしまう危険性や、送信されたパスワードを不正入手されてしまう危険性があります。
一方シングルサインオンでは、パスワードなどの機密情報が漏えいしないようセキュリティ対策が行われており、さらにはアクセス制限をはじめとしたパスワード管理にとどまらない包括的なセキュリティ対策を行うことができます。
よってシングルサインオンでは、1つのパスワードで複数のクラウドサービスを利用でき、Chromeのパスワード管理と同じようにシームレスな動作環境が確保できる上、Chromeのパスワード管理よりもセキュリティ性を高めることができるのです。
Google WorkspaceとサードパーティのどちらでSSOを実現すべきか
シングルサインオンを実現するにあたり、Google Workspaceで実現するのか、またはサードパーティで実現するのかという2択で悩まれる方も多いと思います。
Googleが提供するサービスでは、1つのパスワードですべてのGoogleサービスが利用可能です。Google Workspaceでシングルサインオンを実現した場合、すべてのプランにおいて、そのパスワードのまま、他社のサービスへのシングルサインオンの利用ができるようになります。ただし、2段階認証においては使用できるプランが限定されているため注意が必要です。
一方、サードパーティのシングルサインオン製品から、Google Workspaceや他社サービスのシングルサインオンを実現する方法も存在します。この場合はGoogle Workspaceと他社サービスを第三者として平等に扱うため、さまざまなサービスの利用に向けてセキュリティ対策が行われている上、オプションの充実性など柔軟性が高いのが特徴です。クラウドサービスによるシングルサインオンでは、低価格かつ手軽に導入・運用できる製品もあるため、総合的なコストダウンにも効果的です。Googleサービスを多用しており、他社サービスの利用が限られている場合は、Google Workspaceのシングルサインオン機能でも十分かもしれませんが、さまざまなWebアプリケーションやクラウドサービスを活用する企業であれば、サードパーティのシングルサインオン製品を導入する方が、利便性とセキュリティ性の両方を維持しやすくなるでしょう。
勢いで決めてはいけない!自社にあった認証・許可の仕組みIDaaSの選定ポイントをご紹介
Google Workspaceのアカウントでシングルサインオンを実現する方法
Google Workspaceでシングルサインオンを実現するためには、IDプロバイダとして一連の手順を踏む必要があります。Google Workspaceのアカウントでシングルサインオンを実現する方法をご紹介します。
Google Workspace側の設定
Google Workspaceでシングルサインオンを実現するには、まずGoogle Workspaceに管理者アカウントでログインします。管理コンソールに移動し、SAMLアプリケーションでシングルサインオン機能を有効にします。次に[Google IdP情報]という画面に、シングルサインオンのURLとエンティティIDが自動入力されるので、これらをコピーして証明書をダウンロードし、他社サービス側の設定にある適切な箇所に入力します。また、URLやIDの他に、IdPメタデータを代用しても良いでしょう。
Google Workspaceの画面に戻り、[カスタムアプリの基本情報]から、アプリケーション名、説明を入力したら、[サービスプロバイダの詳細]から他社サービス側から提供されるACSのURL、エンティティID、開始URLを入力し、マッピング追加を行います。
これらのカスタムアプリ登録が完了したら、他社サービスの設定画面からシングルサインオンのオン・オフを切り替えます。これでGoogle Workspace側での設定完了となるので、実際にシングルサインオン機能が有効となっているか確認します。
他のシングルサインオン対象側の設定
シングルサインオンの実現には、Google Workspace側で対応済みのSaaSとそれ以外の場合で方法が異なります。対応済みの場合の設定方法は前項で説明した通りですが、対応済みでないSaaSを連携する場合は、以下の設定が必要となります。
Google管理コンソールに管理者アカウントでログインし、 [アプリ] [SAML アプリ]へアクセスし、[新しいSAMLアプリ]を選択します。最上位組織と組織部門の表示の中から、有効または無効を選び、設定を保存します。
組織部門全体または組織部門内における一部のユーザーに対してのみ有効に設定したい場合は、アクセスグループを使用して、サービスの有効化を行います。
最後にユーザーがSAMLアプリへのログイン用のメールアドレスと、Googleドメインへのログイン用のメールアドレスが一致しているか確認できれば完了です。
設定変更は通常数分程度で反映されますが、最長で24時間ほどかかることもあるため注意しましょう。
シングルサインオンサービスからGoogle Workspaceへのログインを実現する方法
次にGoogle Workspaceをサービスプロバイダとして使用する際の手順を解説します。この場合、シングルサインオンサービスからGoogle Workspaceへのログインが必要となります。
シングルサインオン製品の選定
はじめに数あるシングルサインオン製品から、導入する製品を選びます。SAMLに対応したIDaaSであれば、どの製品でもGoogle Workspaceとの連携が可能です。シングルサインオンを選ぶ上で、Google Workspaceに特化した付加価値があるかをチェックするのはもちろん、既存システムとの整合性や導入・運用にまつわるコスト面の問題、セキュリティなどの機能面を比較して選ぶことが大切です。自社のニーズに合わせ、最適なものを選択しましょう。
シングルサインオン製品側の設定
次にシングルサインオン製品の設定を行います。
まずはシングルサインオン製品をインストールします。画面に表示される指示に従い、セットアップを完了させます。シングルサインオンのポータル画面からGoogle Workspaceを選び、Google Workspaceにログインします。Google Workspaceページにある「もっとみる」からアプリケーション一覧に移り、シングルサインオンにアクセスし、利用開始設定を行います。
次に、シングルサインオンのポータルにてドメイン設定を行います。Google Workspaceをマルチドメインで利用する場合は、セカンダリドメインの登録が必要となります。ここでは連絡先メールアドレス、言語設定、タイムゾーンなどの詳細設定と、ログイン制御設定、セキュリティルール、端末申請リンクを入力します。
その後、Google Workspace設定に進み、Google Workspace特権管理者情報を登録したのち、Google Workspaceにシングルサインオンを有効化するために必要な証明書を発行します。
そしてGoogle Workspaceを利用するユーザーを登録または、Google Workspaceに既に登録しているアカウントを取り込みます。
最後にシングルサインオンのログインページにアクセスし、シングルサインオンを有効にすれば完了です。
Google Workspace側の設定
続いてGoogle Workspace側でIDaaSを利用可能にする手順が必要です。まずはGoogle 管理コンソールにログインし、[セキュリティ] から[サードパーティの ID プロバイダを使用したシングルサインオン(SSO)の設定]へと進み、チェックボックスをオンにします。
サードパーティの IdP についての、シングルサインオン製品とGoogle WorkspaceへのログインページのURL、ログアウト後にリダイレクトされるページのURLを入力します。
次に、確認用の証明書をアップロードし、[ドメイン固有の発行元を使用]をオンに変更して、ドメイン固有の発行元を有効にしたら、変更を保存します。その後、特権管理者の権限でログインし、管理コンソールにアクセスすればGoogle Workspace側の設定は完了です。
こちらの記事もご参考にしてください!
シングルサインオン(SSO)の設定方法とは?本当に必要な共通事項を解説
まとめ
Webアプリケーションやクラウドサービスを利用する上で、利便性と高セキュリティを両立することは非常に重要なポイントとなります。シングルサインオンの実現方法は、企業の目的やニーズに合わせて選ぶことが第一ですが、より広範囲のクラウドサービスに対して利便性と高セキュリティを求めるのであれば、シングルサインオン製品を導入するのも良いでしょう。
HENNGE Oneは国内シェアNo.1(※)のクラウドセキュリティサービスで、Google Workspaceをはじめ、Office 365やBoxなど幅広いクラウドサービスに対応しており、IPアドレス制限、デバイス証明書、セキュアブラウザ、二要素認証など豊富な認証機能を提供しています。また、シングルサインオンにとどまらない高クラウドセキュリティを実現し、多様なビジネスワークを包括的にサポートします。ぜひご検討・お気軽にご相談ください。
※ ITR「ITR Market View:アイデンティティ・アクセス管理/個人認証型セキュリティ市場2025」IDaaS市場:ベンダー別売上金額シェアにて2021年度、2022年度、2023年度、2024年度予測の4年連続で1位を獲得
