Google Google WorkspaceでのSAML設定方法
ここでは具体的にGoogle WorkspaceのSAMLアプリとしてDeployGateを登録する方法を解説します。 この操作には「管理者」権限が必要です。
まず、Google Workspaceの管理コンソールにログインし、「アプリ」の項目を選択後、「SAMLアプリ」を選択して右下の「追加」ボタンをクリックします。
するとSAMLアプリのセットアップウィザードが表示されます。 Step 1では下のカスタムアプリの設定登録を選択してください。
Step 2ではGoogleのIdP情報が表示されるので、この情報を前述のDeployGate側のSAML認証設定ウィザードで入力します。 「SSO URL」を「IdP SSO ターゲットURL」に、「エンティティID」を「IdP エンティティID」に入力し、ダウンロードした証明書をDeployGateにアップロードして使用します。IdP名はわかりやすい任意の名前を設定してください。 DeployGateの設定画面をStep 2に進めたあと、Google Workspace側の設定画面も「次へ」を押してStepにすすめてください。
Step 3ではSAMLアプリの基本情報を入力します。 アプリ名には「DeployGate」、ロゴ画像にはDeployGateの設定画面Step 3からダウンロードできる画像を使用してください。
Step 4ではDeployGateのSPとしての各種情報を入力します。この各種情報はDeployGateの設定画面Step 3に表示されています。 「ACS URL」に「ACS URL」を、「エンティティID」に「エンティティID」を、「開始URL「に「SSO URL」を入力してください。 署名付き応答にチェックを入れ、Name IDは「基本情報-プライマリメールアドレス」を選択し、Name ID Formatは「PERSISTENT」を選択してください。 すべての入力が完了したらGoogle Workspaceの設定画面をStep 5に進めます。DeployGateの設定画面はStep 3のまま待機しておいてください。
Google Workspaceの設定画面 Step 5ではユーザーのマッピングを設定します。 email という名称でユーザーのメールアドレスを提供してください。設定が終わりましたら、完了を押してください。
以前はメールアドレスを用いて該当エンタープライズ内のユーザーを特定していましたが、2021年8月より永続IDを利用するようになりました。該当するお客様には別途古い設定での認証可能期限についてご連絡しております。早めのご移行を宜しくお願い申し上げます。
正しく設定が行われると、この時点でGoogle Workspace側でのSAMLアプリの設定が有効化されます。 この状態でDeployGate側の設定画面で「SAML認証を有効にする」をクリックすると、Google Workspaceのログイン画面にリダイレクトされ、SAML認証が有効化されます。
しかし、この時点ではDeployGateのSAML認証を利用できるのは管理者に限定されています。 組織内の全部または特定の組織でのSAML認証を有効にするためには、SAMLアプリの設定からサービスの編集をクリックし、設定画面からDeployGateを提供したい対象に対してサービスの利用を有効化してください。 有効化後は、DeployGate側のエンタープライズ専用ログインページからDeployGateにログインすることが可能です。