このページについて
Google WorkspaceをIdPとして利用し、ZUNDA IDとSAML連携させるための手順を説明します。この設定を完了すると、Google Workspaceにサインインしているユーザーが、その認証情報を用いてZUNDA IDへシングルサインオンでログインできるようになります。
設定に必要なもの
事前に以下を揃えておいてください。
-
Google Workspaceのアプリを管理できる権限を持つユーザー
カスタムSAMLアプリの作成・設定を行うため、管理者権限を持つGoogleアカウントが必要です。
-
ZUNDA IDの認証方法の管理権限を持つユーザー
SAMLプロバイダーの作成と設定を行うため、ZUNDA IDの管理権限を持つユーザーが必要です。
-
事前にリカバリーキーを発行・保管していること
設定不備やIdP障害によるロックアウトを防ぐため、ログイン方法のリカバリー設定の設定方法を参照し、リカバリーキーを事前に発行してください。
設定手順
ZUNDA IDとGoogle Workspaceの両方を交互に操作して設定を進めます。両方の画面を同時に開いておくとスムーズです。
- ZUNDA IDの「ログイン方法設定」画面を開き、「SAMLプロバイダーを追加」ボタンをクリックしてください
表示されたダイアログに、このプロバイダーを識別するための任意の表示名(例:Google Workspace)を入力し、「作成」をクリックしてプロバイダー詳細画面へ進んでください。ここで付けた名前は、ログイン画面や設定画面で表示されます。
- Google Workspaceの管理コンソールを開き、「Webとモバイルアプリ」から「カスタムSAMLアプリ」を追加してください
Google Workspaceの管理コンソール(admin.google.com)にログインし、「アプリ」→「Webとモバイルアプリ」と進み、「アプリを追加」から「カスタムSAMLアプリを追加」を選択してください。
アプリ名には「ZUNDA ID」などのわかりやすい名前を入力してください。この名前はGoogle Workspaceユーザーのアプリ一覧に表示されるため、ユーザーが識別しやすい名前にしてください。必要に応じてアイコンをアップロードした上で、「続行」でウィザードを進めます。
- Google IDプロバイダの詳細画面が表示されたら、「IdPメタデータ」をダウンロードして保存してください
IdPメタデータには、SSO URL、エンティティID、公開鍵証明書など、ZUNDA ID側で必要となる情報がXML形式で含まれています。このファイルは後の手順でZUNDA IDにインポートするため、一時的にアクセスしやすい場所に保存しておいてください。
- 「次へ」をクリックするとサービスプロバイダ(SP)の詳細設定画面が表示されますので、以下のパラメータを入力してください
ここで設定する値は、Google WorkspaceがZUNDA IDに対して認証レスポンスを送信する際の宛先や識別子になります。誘導されるままに設定してください。
- ACSのURL
https://id.zunda.co.jp/auth/saml/acs
- エンティティID
https://id.zunda.co.jp/saml/sp
- 名前IDの形式
EMAIL
- 名前ID
Basic Information > Primary email
- 「次へ」をクリックすると属性のマッピング画面が表示されますので、以下の属性を追加してください
ここで、Google Workspaceユーザーの名前・姓の情報をZUNDA ID側へ届けるためのマッピングを設定します。「ディレクトリ属性」には「First Name」・「Last Name」を、「App属性」には以下のURLを入力してください。
- First Name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- Last Name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
全てのマッピングを入力したら、「完了」をクリックして作成ウィザードを終了してください。アプリが作成され、この時点でGoogle Workspace側のセットアップは一旦完了となります。
- ZUNDA IDのプロバイダー詳細画面に戻り、「メタデータXMLをインポート」ボタンをクリックして、先ほどGoogle WorkspaceからダウンロードしたIdPメタデータXMLをインポートしてください
IdPメタデータをインポートすることで、ZUNDA IDがGoogle Workspaceからのレスポンスを検証するために必要なSSO URL・エンティティID・IdP証明書などが一括で設定されます。
表示されたダイアログで「ファイルから読み込む」をクリックし、先ほど保存したIdPメタデータXMLファイルを選択してください。
ファイルが読み込まれたことを確認し、「メタデータXMLをインポート」ボタンをクリックしてください。ファイルが不正な場合はエラーが表示されますので、その場合は再度Google Workspace側でIdPメタデータをダウンロードしてやり直してください。
IdP Entity ID、SSO URL、IdP証明書などの項目がすべてインポートされていることを確認してください。これでZUNDA ID側のSAMLプロバイダー設定は完了です。次のステップで、実際にログインテストを行い、設定が正しく動作するかを確認します。
ログインテスト
設定が完了したら、プロバイダーを有効化する前に必ずログインテストを実施して、設定が正しいか、Google Workspaceユーザーの情報が正しく取り込めるかを確認してください。
- ZUNDA IDのGoogle Workspaceプロバイダー詳細画面より、「テスト」ボタンをクリックしてください
テストボタンをクリックすると、ポップアップウィンドウでGoogleのログイン画面が開きます。ポップアップがブロックされている場合は、ブラウザのポップアップブロッカーを一時的に無効化してください。
- Google Workspaceで認証を完了させると、「SSOログインテストに成功しました」と表示されます。NameID・メールアドレス・姓・名のチェック結果がすべて緑のチェックになっていれば設定完了です
もしエラーが表示されたり、チェック項目が赤いマークになっている場合は、以下を確認してください。
- IdPメタデータXMLが正しくインポートされているか
- Google Workspace側の属性マッピング(First Name / Last Name)が正しく設定されているか
- Google Workspace側のサービスプロバイダー詳細(ACSのURL、エンティティID)が正しいか
テストが成功したら、プロバイダー詳細画面に戻り、「状態」をONに切り替えることで、Google WorkspaceによるSAMLログインが有効になります。その後、ドメイン設定でこのプロバイダーをログイン方法として選択することで、実際のユーザーがSAML認証でログインできるようになります。
| ログイン方法が利用できなくなった場合に備えて、ログイン方法のリカバリー設定の設定方法を事前に行っておくことを強く推奨します。設定完了後は作成したSAMLプロバイダーをログイン方法として利用する方法を参照し、ログイン方法として有効化してください。 |