Googleが提供するG Suiteはビジネスワークで活躍するさまざまなWebアプリケーションを提供しており、G Suite内でシングルサインオンを実現することも可能です。しかし、別にシングルサインオン製品を導入して、第三者的立場からG Suiteと他のWebサービスのシングルサインオンを実現することも可能です。G Suiteとサードパーティのどちらでシングルサインオンを実現する方が良いのでしょうか?それぞれの仕組みや具体的な実現方法について詳しく解説します。
[RELATED_POSTS]G Suiteでのシングルサインオンの考え方
G Suite とは、Googleが提供するビジネスツールのことで、個人向けにリリースされている無料アプリケーションを、さらにビジネスの場で活用できる機能としてアップグレードしたものです。そのため、G Suiteをシングルサインオンの対象の1つとして扱うこともできますが、G Suiteを使用してシングルサインオン自体を実現することも可能です。G Suiteでのシングルサインオンについて具体的に見ていきましょう。
Chromeのパスワード管理とシングルサインオンは何が違うのか?
Google Chromeなどのモダンブラウザでは、シングルサインオンのようにパスワードを記録する機能があり、再び同じアプリケーションにアクセスした際は、自動でパスワードを入力してくれます。簡単に登録できるという利便性の反面、保存したパスワードが平文で表示することが可能であるため、保存したパスワードが他者に見られてしまう危険性や、送信されたパスワードを不正入手されてしまう危険性があります。
一方シングルサインオンでは、パスワードなどの機密情報が漏えいしないようセキュリティ対策が行われており、さらにはアクセス制限をはじめとしたパスワード管理にとどまらない包括的なセキュリティ対策を行うことができます。
よってシングルサインオンでは、1つのパスワードで複数のクラウドサービスを利用でき、Chromeのパスワード管理と同じようにシームレスな動作環境が確保できる上、Chromeのパスワード管理よりもセキュリティ性を高めることができるのです。
G SuiteとサードパーティのどちらでSSOを実現すべきか
シングルサインオンを実現するにあたり、G Suiteで実現するのか、またはサードパーティで実現するのかという2択で悩まれる方も多いと思います。
Googleが提供するサービスでは、1つのパスワードですべてのGoogleサービスが利用可能です。G Suiteでシングルサインオンを実現した場合、すべてのプランにおいて、そのパスワードのまま、他社のサービスへのシングルサインオンの利用ができるようになります。ただし、2段階認証においては使用できるプランが限定されているため注意が必要です。
一方、サードパーティのシングルサインオン製品から、G Suiteや他社サービスのシングルサインオンを実現する方法も存在します。この場合はG Suiteと他社サービスを第三者として平等に扱うため、さまざまなサービスの利用に向けてセキュリティ対策が行われている上、オプションの充実性など柔軟性が高いのが特徴です。クラウドサービスによるシングルサインオンでは、低価格かつ手軽に導入・運用できる製品もあるため、総合的なコストダウンにも効果的です。Googleサービスを多用しており、他社サービスの利用が限られている場合は、G Suiteのシングルサインオン機能でも十分かもしれませんが、さまざまなWebアプリケーションやクラウドサービスを活用する企業であれば、サードパーティのシングルサインオン製品を導入する方が、利便性とセキュリティ性の両方を維持しやすくなるでしょう。
G Suiteのアカウントでシングルサインオンを実現する方法
G Suiteでシングルサインオンを実現するためには、IDプロバイダとして一連の手順を踏む必要があります。G Suiteのアカウントでシングルサインオンを実現する方法をご紹介します。
G Suite側の設定
G Suite でシングルサインオンを実現するには、まずG Suiteに管理者アカウントでログインします。管理コンソールに移動し、SMALアプリケーションでシングルサインオン機能を有効にします。次に[Google IdP情報]という画面に、シングルサインオンのURLとエンティティIDが自動入力されるので、これらをコピーして証明書をダウンロードし、他社サービス側の設定にある適切な箇所に入力します。また、URLやIDの他に、IDPメタデータを代用しても良いでしょう。
G Suiteの画面に戻り、[カスタムアプリの基本情報]から、アプリケーション名、説明を入力したら、[サービスプロバイダの詳細]から他社サービス側から提供されるACSのURL、エンティティID、開始URLを入力し、マッピング追加を行います。
これらのカスタムアプリ登録が完了したら、他社サービスの設定画面からシングルサインオンのオン・オフを切り替えます。これでG Suite側での設定完了となるので、実際にシングルサインオン機能が有効となっているか確認します。
他のSSO対象側の設定
シングルサインオンの実現には、G Suite側で対応済みのSaaSとそれ以外の場合で方法が異なります。対応済みの場合の設定方法は前項で説明した通りですが、対応済みでないSaaSを連携する場合は、以下の設定が必要となります。
Google管理コンソールに管理者アカウントでログインし、 [アプリ] [SAML アプリ]へアクセスし、[新しいSAMLアプリ]を選択します。最上位組織と組織部門の表示の中から、有効または無効を選び、設定を保存します。
組織部門全体または組織部門内における一部のユーザーに対してのみ有効に設定したい場合は、アクセスグループを使用して、サービスの有効化を行います。
最後にユーザーがSAMLアプリへのログイン用のメールアドレスと、Googleドメインへのログイン用のメールアドレスが一致しているか確認できれば完了です。
設定変更は通常数分程度で反映されますが、最長で24時間ほどかかることもあるため注意しましょう。
SSOサービスからG Suiteへのログインを実現する方法
次にG Suiteをサービスプロバイダとして使用する際の手順を解説します。この場合、シングルサインオンサービスからG Suiteへのログインが必要となります。
SSO製品の選定
はじめに数あるシングルサインオン製品から、導入する製品を選びます。SAMLに対応したIDaaSであれば、どの製品でもG Suiteとの連携が可能です。シングルサインオンを選ぶ上で、G Suiteに特化した付加価値があるかをチェックするのはもちろん、既存システムとの整合性や導入・運用にまつわるコスト面の問題、セキュリティなどの機能面を比較して選ぶことが大切です。自社のニーズに合わせ、最適なものを選択しましょう。
SSO製品側の設定
次にシングルサインオン製品の設定を行います。
まずはシングルサインオン製品をインストールします。画面に表示される指示に従い、セットアップを完了させます。シングルサインオンのポータル画面からG Suiteを選び、G Suiteにログインします。G Suiteページにある「もっとみる」からアプリケーション一覧に移り、シングルサインオンにアクセスし、利用開始設定を行います。
次に、シングルサインオンのポータルにてドメイン設定を行います。G Suiteをマルチドメインで利用する場合は、セカンダリドメインの登録が必要となります。ここでは連絡先メールアドレス、言語設定、タイムゾーンなどの詳細設定と、ログイン制御設定、セキュリティルール、端末申請リンクを入力します。
その後、G Suite設定に進み、G Suite特権管理者情報を登録したのち、G Suiteにシングルサインオンを有効化するために必要な証明書を発行します。
そしてG Suiteを利用するユーザーを登録または、G Suiteに既に登録しているアカウントを取り込みます。
最後にシングルサインオンのログインページにアクセスし、シングルサインオンを有効にすれば完了です。
G Suite側の設定
続いてG Suite側でIDaaSを利用可能にする手順が必要です。まずはGoogle 管理コンソールにログインし、[セキュリティ] から[サードパーティの ID プロバイダを使用したシングルサインオン(SSO)の設定]へと進み、チェックボックスをオンにします。
サードパーティの IdP についての、シングルサインオン製品とG SuiteへのログインページのURL、ログアウト後にリダイレクトされるページのURLを入力します。
次に、確認用の証明書をアップロードし、[ドメイン固有の発行元を使用]をオンに変更して、ドメイン固有の発行元を有効にしたら、変更を保存します。その後、特権管理者の権限でログインし、管理コンソールにアクセスすればG Suite側の設定は完了です。
こちら「シングルサインオン(SSO)とは何か?導入メリットから実現方法まで」記事もご参考にしてください!
まとめ
Webアプリケーションやクラウドサービスを利用する上で、利便性とセキュリティ性を両立することは非常に重要なポイントとなります。シングルサインオンの実現方法は、企業の目的やニーズに合わせて選ぶことが第一ですが、より広範囲のクラウドサービスに対して利便性とセキュリティ性を求めるのであれば、シングルサインオン製品を導入するのも良いでしょう。HENNGEでは、G Suiteをはじめ、Office 365やBoxなど幅広いクラウドサービスに対応し、IP制限、デバイス証明書、セキュアブラウザ、二要素認証など豊富な認証機能を提供しています。また、シングルサインオンにとどまらず広範囲でバランスの取れたクラウドセキュリティを実現し、多様なビジネスワークを包括的にサポートします。G Suiteの利用にシングルサインオン製品の導入をお考えの方は、ぜひ一度HENNGEの製品を検討してみてはいかがでしょうか。
*本記事掲載の内容は、公開日現在(8月18日時点)の情報に基づいています。
