IdP として Google Workspace をご利用のお客様が、edamame にシングルサインオンできるようにするには、SAML (Security Assertion Markup Language) のカスタムIDプロバイダー設定が必要です。
SAML ログインの設定を誤った場合、管理者を含めて全員がログインできなくなる場合があります。その場合は、弊社営業担当に SAML 設定の解除をご依頼ください。
契約の開始や更新を間近に控えている場合など、edamame にログインできない状態を許容しがたい場合は設定作業をお控えください。
Google Workspace でのログイン連携のみ必要で、高度なアクセス制御 (コンテキストアウェア アクセスなど) が不要な場合、edamame の設定画面に標準で用意されている「既定のプロバイダー」から [Google] を選択するだけで利用できます。
SAMLプロファイルを追加する
組織のマイページへアクセスし、設定を行うドメインをクリックし、[カスタムプロバイダー] タブにある [SAML プロファイルを追加] ボタンをクリックします
「IDプロバイダー設定」「サービスプロバイダー情報」を含む画面が表示されます。この画面は続きの手順で利用するので、開いたまま続行して下さい。
Google Workspace でカスタム SAML アプリを追加する
この作業は Google Workspace の管理コンソール で行います。前の手順で表示させた edamame の SAML プロファイル画面を残したまま、新しいタブまたはウインドウで作業してください。
-
[アプリ] > [ウェブアプリとモバイルアプリ]を選択します。
-
[アプリを追加] > [カスタムSAMLアプリの追加] を押します。
- 「カスタム SAML アプリの追加」画面を進めます
-
[アプリの詳細]
-
アプリ名: 任意に入力できます。例えば「edamame」と入力しましょう。
-
アイコン: 任意です。こちらの画像をご利用いただくことができます。
-
-
[Google ID プロバイダの詳細]
-
そのまま [続行] をクリックし、先に進んでください。
-
-
[サービス プロバイダの詳細]
-
edamame のモーダルに表示されている、「サービスプロバイダー情報」を元に以下の項目を設定し、[続行] を押してください。
-
ACS の URL: 「サービスプロバイダー情報」に表示されている、[ACS (Assertion Consumer Service) URL] を転記してください。
-
エンティティ ID: 「サービスプロバイダー情報」に表示されている、[SP エンティティ ID] を転記してください。
-
-
-
[属性のマッピング]
-
そのまま [完了] をクリックしてください。
-
-
Google Workspace の管理コンソール、edamame の画面ともに使いますので、そのまま次の手順に進んでください。
edamame で ID プロバイダー設定を行う
Google Workspace 管理画面での操作
-
作成したアプリの詳細画面を開き 「ユーザー アクセス」をクリックし、edamame の利用を許可するユーザーの組織部門またはグループを指定します。
-
ここでアクセスを許可した場合であっても、edamame 側でアカウントが作成されていない場合は edamame の利用がブロックされます。
-
-
詳細画面に戻り、[メタデータをダウンロード] を押します。
-
ID プロバイダー設定に必要な枠線で示した箇所の項目が表示されていることを確認します。
edamame での操作
-
edamame の ID プロバイダー設定に戻り、以下の項目について設定し、[保存] を押してください。
-
プロファイル名 (必須): 本プロファイルを識別可能な任意の名称 (全角・半角文字、数字、記号) をご入力ください。例えば「Google Workspace」などと入力します。
-
IdPエンティティ ID (Issuer) (必須): Google Workspace の管理画面に表示されている「エンティティ ID」を入力してください。
-
SSO (Endpoint) URL (必須): Google Workspace の管理画面に表示されている「SSO の URL」を入力してください。
-
X.509 証明書 (必須): Google Workspace の管理画面に表示されている「証明書」を入力してください。
-
備考欄 (任意): 任意の情報を記入できるフィールドです。証明書の有効期限などの情報を記入しておくことができます。空欄でも構いません。
-
-
画面上部に 「SAMLプロバイダーが追加されました!」 と表示されることを確認してください。
-
プロファイル一覧から、追加したプロファイルを選択し、[保存] ボタンを押してください。
-
自動的にログアウトされ、「ログインプロバイダーが更新されました!」と表示されることを確認してください。
その後、追加したIdP (Google Workspace) に存在するユーザでのシングルサインオンをお試しください。
SSO によるログインができない場合、プロファイルの設定項目に誤りがある可能性がございます。カスタムログインプロバイダによるログイン設定を解除する必要がございますので、弊社の営業担当までご連絡ください。