Google Workspaceを利用してSAML認証によるSSOを実装する

Google Workspaceを利用してSSOを実装する方法を説明します。
Google WorkspaceをIdP, KurocoをSPとしたSAML認証によるシングルサインオンになります。

前提条件

このチュートリアルはGoogle Workspaceのアカウントを所持していることが前提となります。

Kurucoの管理画面でSP設定を追加

まずはKurocoの管理画面でSP設定を行います。

1. SSO SAML SP設定の画面へ遷移する
SSO SAML SP編集を参考にSAML SP編集画面に遷移します。 Image (fetched from Gyazo)

2. SPの設定を追加する
SSO SAML SP編集画面で下記を入力し、[追加する]をクリックします。

  • ログインSAML SP Name: お好きな名前
  • エンティティID:半角英数字でお好きなID
  • 有効:チェックを外す
  • (API用) Grantトークン生成:チェックする
  • 自動ユーザ登録:チェックする
  • Allow IDP Initiated Flow:チェックする

Image (fetched from Gyazo)

SSO SAML SP一覧画面に、作成したSP設定が追加されます。 Image (fetched from Gyazo)

3. SPの設定を確認する
SSO SAML SP一覧画面より、先ほど追加したSP設定の「ログインSAML SP Name」をクリックします。
Image (fetched from Gyazo)

編集画面より「ログインSAML SP ACS URI」「エンティティID」を確認し、コピーしておきます。
次のGoogle Workspaceの管理画面の設定で利用します。 Image (fetched from Gyazo)

Google Workspaceの管理画面の設定

次に、Google Workspaceの管理画面からSAML連携の設定を行います。

以下の作業は必ずGoogle Workspaceの管理者の権限でログインをお願いします。

Googleの仕様によりキャプチャの内容が変わる可能性がございます。

1. Google Workspaceの管理画面からAppsの設定画面へ遷移する
管理画面より[アプリ]をクリックします。 Image (fetched from Gyazo)

2. SAML appsの設定画面へ遷移する
アプリ一覧画面より、[SAML アプリ]をクリックします。 Image (fetched from Gyazo)

3. SAML appsを追加する
[アプリを追加]->[カスタム SAML アプリの追加]をクリックします。 Image (fetched from Gyazo)

4. カスタムアプリを作成する
下記2点を設定し、[続行]をクリックします。

  • アプリ名
  • アプリのアイコン

Image (fetched from Gyazo)

5. IdP情報をダウンロードする
[メタデータをダウンロード]をクリックし、IdPメタデータをダウンロードします。 Image (fetched from Gyazo)

ダウンロードしたら[続行]をクリックします。 Image (fetched from Gyazo)

6. サービス プロバイダの情報を入力する
下記内容を入力します。

  • ACSのURL: Kurocoの管理画面で確認した「ログインSAML SP ACS URI」
  • エンティティID: Kurocoの管理画面で確認した「エンティティID」
  • 開始URL: / など、ログイン後のページURL
  • 署名付き応答: チェックを入れる
  • 名前IDの形式: 「EMAIL」を選択する
  • 名前ID: 「Basic Information > Primary Email」を選択する

Image (fetched from Gyazo)

入力したら[続行]をクリックします。

7. マッピング情報を設定する
[マッピングを追加]をクリックします。 Image (fetched from Gyazo)

下記内容を設定します。

  • Basic Information / Last name:name1
  • Basic Information / First name:name2

Image (fetched from Gyazo)

設定したら[完了]をクリックします。

カスタムSAMLアプリが追加されました。
Image (fetched from Gyazo)

8. ユーザーアクセスをオンにする
初期設定ではユーザーアクセスが「オフ」になっているので、「オン」に変更します。
[ユーザーアクセス]の下矢印をクリックします。 Image (fetched from Gyazo)

サービスのステータスで「オン」にチェックを入れ、[保存]をクリックします。 Image (fetched from Gyazo)

以上でGoogle Workspaceの設定が完了です。

Kurucoの管理画面でSP設定にIdP情報を設定する

Kuroco管理画面に移動し、SSO SAML SP編集を参考にSAML SP編集画面に遷移します。
Image (fetched from Gyazo)

[2-5. IdP情報をダウンロードする]でダウンロードしたIdP情報のXMLファイルをアップロードし、有効にチェックを入れます。
Image (fetched from Gyazo)

設定完了後、[更新する]ボタンをクリックしたら設定は完了です。 Image (fetched from Gyazo)

利用方法

作成したSAML SP画面を確認します。
SSO SAML SP一覧画面より、先ほど追加したSP設定の「ログインSAML SP Name」をクリックします。
Image (fetched from Gyazo)

「ログインSAML SP ACS URI」が確認できます。 Image (fetched from Gyazo)

アクセスすると、Google ログイン画面に遷移します。 Image (fetched from Gyazo)

こちらでSAMLログインができるようになります。

お探しのページは見つかりましたか?解決しない場合は、問い合わせフォームからお問い合わせいただくか、Slackコミュニティにご参加ください。