株式会社 セシオス
SeciossLink クイックスタートガイド
G Suite シングルサインオン設定編
1
目次
1 概要 ... 2 2 環境 ... 2 3 API 利用を有効化 ... 3 4 管理コンソール API 設定 ... 9 4.1 API アクセス有効化 ... 9 4.2 クライアント ID の API アクセス利用設定 ... 9 5 管理コンソール SSO 設定 ... 11 6 SeciossLink の設定 ... 13 6.1 G Suite シングルサインオン設定 ... 13 6.2 認証ルールの作成 ... 14 7 SSO 動作確認方法 ... 15 7.1 G Suite のログイン URL へアクセスする方法 ... 15 7.2 SeciossLink の SSO ポータル画面を利用する方法 ... 16 8 参考 ... 17 8.1 SeciossLink の検証用テナントについて ... 17 8.2 問い合わせについて ... 172
1 概要
SeciossLink が G Suite との連携にあたり、G Suite 側の API 有効化や OAuth 認証用情報の取 得、シングルサインオンの設定が必要になります。本ドキュメントは、弊社 SaaS 型「認 証・ID 統合サービス」SeciossLink と G Suite を接続する場合、G Suite 側から必要な情報の取 得、設定手順、及び SeciossLink 側の設定を記載します。
手順の中で「Google Developers Console」と「G Suite 管理コンソール」の 2 つのコンソー ルを利用します。どちらも G Suite の管理者アカウントでログインする必要があります。ま た、本文で掲載するスクリーンショットは 2017 年 10 月時点のものとなります。
なお、SeciossLink 側、G Suite に対する同期内容について SeciossLink 管理者ガイドを参照 してください。
2 環境
本ドキュメントは図のような構成を想定し、設定を行います。なお、G Suite、SeciossLink は導入済みであることを前提とします。 管理者は SeciossLink の管理画面から G Suite とのシングルサインオン設定、及び、アカウ ントの作成同期管理を行います。一方、ユーザは G Suite へ接続を行うと、SeciossLink へリ ダイレクトされ、(未認証の場合)認証を求められる流れとなります。3
3 API 利用を有効化
SeciossLink のアカウント同期機能は G Suite の API を利用しています。そのため G Suite API の有効化設定、及び認証用の秘密鍵を生成する必要があります。
Google Developers Consoleにアクセスし、G Suite 管理者アカウントでログインして、手順
に従い、以下三つの必須情報を入手してください。 クライアント ID サービスアカウント(メールアドレス) OAuth API 秘密鍵 画面ショットは 2017 年 10 月時点のものです。G Suite の管理画面は頻繁にバージョンアッ プされますのでご利用の画面と異なる場合があります。予めご了承ください。
初めて「Google Developers Console」にアクセスした場合には「プロジェクト」が存在しな いため、メニューを開き、新規に「プロジェクト」を作成してください。「プロジェクト 名」は任意の名前で構いません。
4 ②作成後、プロジェクト名が変更されたこと確認してください。
③ライブラリから、「Admin SDK」を検索し、選択してください。
5
④「Admin SDK」を有効にします。
⑥必要な認証情報の種類調べなどの設定を無視して、 「サービス アカウント」をクリックしてください。
6 ⑦「サービス アカウントを作成」をクリックし、API 利用す る OAuth アカウントを作成します。 ⑧任意のサービスアカウント名を入力し、秘密鍵のタイプ を P12 と選択、全体の委任にチェックし、任意のサービス 名を設定してアカウントを作成します。
7 ⑨アカウントが作成されますと、秘密鍵が自動ダウンロード されます(後にこの秘密鍵は SeciossLink 側の設定で 利用しますので、保管してください)。秘密鍵のパスワード は「notasecret」。Window を閉じて、サービスアカウント ページに戻ります。 ⑩「クライアント ID を表示」をクリックし、サービスアカウント のメールアドレスを確認し、SeciossLink で利用します。
8
クライアント ID
「4.2 クライアント ID の API アクセス利用設定」にて、「クライアント名」として利 用します。
サービスアカウント(メールアドレス)
「6.1 G Suite シングルサインオン設定」にて、「OAuth API メールアドレス」として利 用します。
OAuth API 秘密鍵
サービスアカウントを作成された際にダウンロードされた秘密鍵で、「6.1 G Suite シ ングルサインオン設定」の「OAuth API 秘密鍵」項目に利用されます。
9
4 管理コンソール API 設定
G Suite の管理コンソールへログイン、「セキュリティ」から設定を行います。4.1 API アクセス有効化
「セキュリティ」⇒「API リファレンス」⇒「API アクセスを有効にする」をチェックし て保存してください。4.2 クライアント ID の API アクセス利用設定
「セキュリティ」⇒「詳細設定」⇒「API クライアントアクセスを管理する」にアクセス してください。10
表示された「クライアント名」、「1 つ以上の API の範囲」に値以下のように入力してく ださい。
クライアント名
「Google Developers Console」で取得した「クライアント ID」を入力 1 つ以上の API の範囲 以下 API の URL をカンマ区切りして、テキストボックスに 1 行で入力してください。 ・https://www.googleapis.com/auth/admin.directory.group ・https://www.googleapis.com/auth/admin.directory.orgunit ・https://www.googleapis.com/auth/admin.directory.user ・https://apps-apis.google.com/a/feeds/emailsettings/2.0/ ・https://www.google.com/m8/feeds/ 設定後、「承認」すると登録されたクライアント ID と利用可能な API が一覧表示されま す。
11
5 管理コンソール SSO 設定
シングルサイン(SSO)を有効化するための設定を行います。G Suite の管理コンソール へログインし、「セキュリティ」-「シングルサインオン(SSO)の設定」をクリックしてくだ さい。 「サードパーティの ID プロバイダで SSO を設定する」項目に以下の内容で設定します。 ■ サードパーティの ID プロバイダで SSO を設定する ・有効化(チェックを入れる) ■ ログインページの URL・https://slink.secioss.com/saml/saml2/idp/SSOService.php?tenant=<利用する SeciossLink テナント ID>
■ ログアウトページ URL ・https://slink.secioss.com/saml/saml2/idp/initSLO.php?RelayState=/saml/logout.php&logout=G+Suite ■ パスワード変更 URL ・https://slink.secioss.com/user/password.php 「slink.secioss.com」は正規サービスドメインです。弊社 HP から申込みなされた検証環境をご利用の場合は 「slinkdev.secioss.net」で置き換えてください。
12 ■ 「証明書の確認」 SeciossLink テナントが利用する公開鍵をアップロードしてください。 ※SeciossLink の公開鍵の入手方法:SeciossLink 管理者画面から左メニューの「システ ム」⇒「IdP 証明書」⇒使用中の IdP 証明書の「DL」項目操作ボタンからダウンロー ドしてください。 ドメイン固有の発行元を使用 チェックして、使用します。
13
6 SECIOSS
L
INK
の設定
G Suite 側の SSO 設定が完成すれば、SeciossLink 側は簡単な SSO の設定を行い、SSO ログイ ンがすぐできるように設定できます。
6.1 G SUITE
シングルサインオン設定
SeciossLink の管理者サイトへログインし、左メニューの「シングルサインオン」-「G Suite」をクリックし、必要項目の設定を行います。 ■シングルサインオンの設定 G suite を利用する為に、「有効」にチェックを入れます。 ■G Suite プライマリドメイン SSO 利用する G Suite のドメインを入力します。 ■ID 同期 SeciossLink で作成したユーザを G Suite へ同期する為に、「有効」にチェックを入れます。 ■G Suite 管理者アカウント名 G Suite の管理者アカウントを入力します。 ■OAuth API メールアドレス「Google Developers Console」で取得した「サービスアカウント(メールアドレス)」を入力します。
■OAuth API 秘密鍵
14 シングルサインオンの設定完了後、 ユーザを作成してください。設定項目 の「メールアドレス」が G Suite のアカ ウントに該当します。また、シングル サインオンの設定が正しく完了してい ると「許可するサービス」に「G Suite」が表示されますので、ユーザを Google 側に同期する場合、チェックを してください。 以上の設定を行うと、SeciossLink のア カウントが G Suite へ同期されます(リ アルタイム同期)。
6.2 認証ルールの作成
次にメニューの「認証」から認証ルールを作成します。この認証ルールはユーザが G Suite からリダイレクトされ、SeciossLink がログイン画面を表示する時の認証ルールとなり ます。 「ID」項目に任意の名前を入力(英数字)し、「認証方式」に表示されている一覧から、 「ID/パスワード認証」を選択し、「追加 AND」をクリックしてください。 更に、「ク ライアント」にチェックし、「登録」を行ってください。15
7 SSO 動作確認方法
SeciossLink と連携している G Suite へログインを行う方法は 2 つあります。
7.1 G SUITE
のログイン URL へアクセスする方法
1 つはユーザが G Suite を利用するために、Service Provider 側(G Suite)へ初回アクセス を試みる方法です。例えば G Suite のメールサービスへのアクセスは以下の URL となって います。 ・https://mail.google.com/a/ドメイン名 該当ドメインのシングルサインオンが有効になっている場合には、指定された URL へリ ダイレクトされます。今回の構成では SeciossLink をリダイレクト先に設定しています。 未認証の場合には、SeciossLink がログイン画面を表示、認証を行い、結果のレスポンス をサービス側へ返します。認証が OK であれば、サービスの利用が開始されます。(※サ ービスからのリダイレクトやサービス側へのレスポンスは厳密にはユーザのブラウザを経 由して遷移します。)
16
7.2 SECIOSSLINK
の SSO ポータル画面を利用する方法
2 つめはユーザが G Suite を利用するために、ID Provider 側(SeciossLink)へ初回ログイ ンを行い、SSO ポータル画面から遷移する方法です。
SeciossLink ではシングルサインオンサービスを一覧表示する「SSO ポータル画面」が用 意されています。
・SSO ポータル URL:https://slink.secioss.com/user/ (※ドメインは適宜変更)
表示された G Suite 関連サービスのアイコンをクリックすると、既に IdP で認証済ですの で、そのまま(ユーザ ID/パスワードの入力をすることなく)G Suite サービスの利用が開 始できます。 管理者からのメッセージが表 示されます。 許可されているサービスがア イコンで一覧表示されます。 また、「パスワード変更」ア イコンなど、共通機能も表示 されます。
17
