第22回

Google Workspaceシングルサインオン
（SSO）の設定ステップと運用のコツを解説

Google Workspaceを利用している企業では、「SSOを導入したいが、どこから手をつければいいかわからない」「SAMLやIdPなどの用語の意味がわからず、設定に踏み出せない」「設定後に問題が起きたとき、どう対処すればいいか不安」といった悩みを抱えるケースが少なくありません。

Google Workspaceのシングルサインオンには、2つの方式があり、自社の運用目的に合った正しい設計が重要です。

本記事では、Google WorkspaceのSSOの仕組みや設定手順、導入時に失敗しないための対策について詳しく解説します。

Google Workspaceのシングルサインオン（SSO）とは？

SSOの基本的な仕組み

SSOとは、一度の認証で複数のサービスへ続けてアクセスできる仕組みです。ここで欠かせないのが、認証（誰であるか）と認可（何をしてよいか）を分けて考える発想です。

SSOは認証の部分を一カ所に集約し、確認できた事実を各サービスへ受け渡します。認証を引き受ける側をIdP（認証元）、結果を受け取って利用を許可する側をSP（サービス利用先）と呼びます。Google WorkspaceはこのIdPにもSPにもなります。

SSOが求められる背景

業務で使うSaaSの急増こそが、SSOが求められる背景です。サービスを拡大すれば従業員が管理するIDとパスワードも増え、使い回しや付箋へのメモといった情報漏えいのリスクが高まります。

また、退職者が出るたびに、各アカウントを手作業で止めていく負担も見過ごせません。

SSOで認証元を集約すれば、IdP側のアカウントを止めるだけで各サービスへのアクセスをまとめて遮断できます。入り口に多要素認証（MFA）をかけて全体の守りを底上げすることも可能です。

Google Workspaceでシングルサインオンを設定する方法

方法1.Google WorkspaceをIdP（認証元）として利用する

1つ目は、Google WorkspaceのアカウントでSlackやSalesforceなど外部サービスへログインする方式です。例えば、SlackやSalesforceのログイン画面で組織アカウントとしてGoogleを選び、Google Workspaceの認証情報でそのままサインインできるようにするイメージです。

Google Workspace側でカスタムSAMLアプリを作成して連携先を登録するため、Google Workspaceを社内の認証基盤にしている企業に適した選択肢です。

方法2.外部IdPを利用してGoogle Workspaceへログインする

もう一つの方法は、OktaやMicrosoft Entra ID（旧Azure AD）などの外部IdPで認証し、その結果でGoogle Workspaceへログインする方式です。ここではGoogle WorkspaceはSPとして動きます。

設定する管理画面や登録する項目が、方法1とはまったく別物です。まずはGoogle Workspaceを認証元にしたいのか、ログイン先にしたいのかをはっきりさせることをおすすめします。

シングルサインオン「SAML」と「OIDC」の違い

SAMLとは

SAML（Security Assertion Markup Language）は、企業向けシステムで長く使われてきた認証連携方式です。認証情報をXML形式でやり取りし、実績の長さからエンタープライズ向けSaaSで標準的に採用されています。

Google WorkspaceをIdPとして外部サービスへつなぐカスタムSAMLアプリも、この方式に基づいています。

OIDCとは

OIDC（OpenID Connect）は、OAuth 2.0を土台にした比較的新しい認証方式です。やり取りにJSON形式を用い、モバイルアプリやモダンなWebサービスと相性がよいとされています。

Google Workspaceでも、Microsoft Entra IDを外部IdPとして使う場合などにOIDCプロファイルを選べます。

SAMLとOIDCのどちらを選べばよいか

判断軸はシンプルで、連携したいサービスがどちらに対応しているかを確認することに尽きます。傾向として、長く使われてきた業務システムではSAMLが、新しめのクラウドサービスではOIDCが目立ちます。

方式の優劣で選ぶというより、連携相手が何に対応しているかに合わせると、判断を誤りにくくなるでしょう。

Google WorkspaceでSSOをIdPとして設定するステップ

ステップ1.設定前に確認すること

まず確認したいのが利用中のエディションです。カスタムSAMLアプリによる連携はBusiness Starter以上で利用でき、個人向けの無料Googleアカウントでは提供されません。

後から該当メニューが見当たらず時間を浪費しないよう、自社の契約内容を先に押さえておきましょう。

ステップ2.カスタムSAMLアプリを追加する

設定は、管理コンソールのアプリからウェブアプリとモバイルアプリへ進み、カスタムSAMLアプリを追加して行います。

ここでGoogle Workspace側のSSO URLやエンティティID、証明書を取得して連携先サービス側へ登録し、逆に連携先が指定するACS URLやエンティティIDをGoogle Workspace側へ入力します。

IdPとSPがお互いの住所と身分証明書を交換し合う作業だと捉えると、流れをつかみやすいでしょう。

ステップ3.属性マッピングとアクセス権を設定する

最後に、Google Workspace側のユーザー属性と連携先が受け取りたい属性を対応付ける属性マッピングを行います。

Google側が別の値を渡していると、連携先がメールアドレスで照合したくても、本人を特定できずに弾かれます。

設定後はテスト用アカウントで必ずログインを試し、まず一部の組織部門だけに公開してから範囲を広げると安全です。

外部IdPからGoogle WorkspaceへSSO設定するステップ

ステップ1.SSOプロファイルを作成する

最初に行う設定は、管理コンソールのセキュリティにあるサードパーティIdPでのSSO項目です。外部IdPのログインURL・ログアウトURL・パスワード変更URL・検証用の証明書を登録し、認証を外部のIdPに任せる設定にします。

同時にGoogle Workspace側の情報を外部IdP側にも設定し、双方向の信頼関係を結びます。

ステップ2.SSOプロファイルを割り当てる

作成したプロファイルは、組織全体だけでなく部門やグループ単位で割り当てられ、特定のIPアドレス範囲はSSOを経由させないネットワークマスクによる例外設定も可能です。

誰にどの経路で、どのプロファイルを適用するのかを割り当て前に整理しておくと、運用開始後の手戻りを減らせます。

Google WorkspaceでSSOを導入するメリットとデメリット

導入するメリット

最も実感しやすいのは、パスワード関連の問い合わせの減少です。

さらに、IdP側のアカウントを止めれば連携先へのアクセスをまとめて遮断できるため退職者管理が効率化し、MFAや認証ポリシーも全社で統一しやすくなります。

利便性とセキュリティを同時に押し上げられる、数少ない打ち手だといえるでしょう。

知っておくべきデメリット

認証を一カ所に集約するということは、裏を返すと、そこが止まれば影響が広範囲に及ぶということです。IdP障害時には複数サービスへ一斉にログインできなくなり、たった一枚の証明書の期限切れがSSO全体を止めてしまったりする場合もあります。

SSO非対応のシステムは統合できない点も含め、すべてのログインが一つにまとまるとは限りません。ただし、こうしたデメリットは次の運用上の備えで多くを緩和できます。

Google WorkspaceでSSO運用を失敗しない4つのポイント

証明書の有効期限を管理する

SSOで使う証明書には有効期限があり、過ぎると認証が成立しなくなります。ある日突然、誰もログインできなくなる事故が起こるケースもあります。

更新手順をドキュメント化し、期限の数週間前に通知が飛ぶよう仕組み化しておくと安心です。

SSO対象外の管理者アカウントを残す

見落とされがちですが、実務上きわめて重要です。IdP障害や設定ミスで全員がログインできなくなったとき、管理者まで同じ仕組みでログインしていると、修正に入れません。

スーパー管理者のうち少なくとも一つはSSOの対象から外し、通常のGoogleログインを使えるようにしておきます。

段階的に切り替えを実施する

全社員を一度に切り替えると、設定の見落としがそのまま全員へ及びます。

まずは情報システム部門など一部のチームをテストグループとして先行させ、可能なら旧来のログイン方法と一定期間併用するとよいでしょう。何かあればすぐ戻せる退路を残しておくのが無難です。

コンテキストアウェアアクセスを活用する

Google Workspaceに備わっているのが、端末の状態やアクセス元に応じて可否を制御するコンテキストアウェアアクセスという仕組みです。

会社が管理する端末からのみ許可するといった制御が可能で、SSOで高めた利便性とセキュリティのバランスを取り直せます。

この機能はEnterpriseなどの上位エディションで利用できます。

Google WorkspaceのSSOはどのエディションで利用できる？

活用したい機能が定まっている場合は、それを実現できるエディションかどうかを契約前に突き合わせておきましょう。

参考記事：Google Workspaceの料金を徹底解説｜無料版との違いからプラン別費用まで

Google WorkspaceへのSSO導入はサテライトオフィスへ

SSOの構成から緊急時の備えまで考えると、自社だけで設計しきれるか不安に思われたのではないでしょうか？

SSOは設定して終わりではなく、運用を続けるなかで判断が必要になる場面が多くあります。

サテライトオフィスでは、サテライトオフィス・シングルサインオン for Google Workspaceを提供しています。接続元のIPアドレスによるアクセス制御をはじめ、標準機能だけでは届きにくい部分を補える点が特徴です。

SSOログインイメージ

外部システム連携イメージ

（引用：サテライトオフィス）

Google Workspaceを認証する側にするか、される側にするか、どのエディションが合うかといった上流の設計から導入後の運用まで一貫してご相談いただけます。ぜひお気軽にお問い合わせください。

※プライバシーポリシはこちら

Google WorkspaceのSSOに関するよくある質問

Q. SSOを設定してもGoogleへ直接ログインされてしまう場合は？

まず、SSOを強制する設定が有効になっているかを確認してください。任意のままだと従来のログイン経路が残ります。

ブラウザに保存済みのパスワードや、特定のログイン画面のブックマークが原因になることもあります。そのため、設定変更後は複数の経路からアクセスを試しておくと安心です。

Q. サービスアカウントにもSSOは適用されますか？

システム間連携やAPI認証に使うサービスアカウントは、SSOの対象から外すのが一般的です。対話的なSSO認証を適用すると自動処理が止まる原因になりかねません。

人が使う利用者アカウントとは性質が異なるため、分けて管理することがトラブル回避につながります。

Q. Google WorkspaceのメールアドレスとSSO連携IDが異なる場合は？

連携先のログインIDがGoogle Workspaceのメールアドレスと一致しないケースは、属性マッピングで対応できます。

組織変更や社名変更でメールアドレスの体系が変わったときに起こる傾向があります。そのため、マッピングを変更したあとは必ずテストアカウントでログインを確認し、本番へ反映してください。

Google WorkspaceのSSOは運用設計を理解して導入しよう

まずGoogle Workspaceを認証する側にするのか、される側にするのかを決め、次に連携先に合わせてSAMLとOIDCのどちらの方式を使うかを選びます。そして導入後は、証明書の期限管理と緊急用の管理者アカウントを欠かさないようにします。

認証方式と運用ルールを先に固めてから着手することが、遠回りに見えてSSO導入を成功させる近道になります。

Google WorkspaceへのSSO導入でお困りの際は、さまざまなニーズに対応したAIソリューションが強みのサテライトオフィスまでご相談ください。

以下のリンクより、資料請求やご質問を受け付けております。担当者より折り返しご連絡を差し上げますので、ぜひお気軽にお問い合わせください。

※プライバシーポリシはこちら