株式会社セシオス SeciossLink クイックスタートガイド G Suite シングルサインオン設定編 2017 年 10 月 3 日
目次 1 概要... 2 2 環境... 2 3 API 利用を有効化... 3 4 管理コンソール API 設定... 9 4.1 API アクセス有効化... 9 4.2 クライアント ID の API アクセス利用設定... 9 5 管理コンソール SSO 設定... 11 6 SeciossLink の設定... 13 6.1 G Suite シングルサインオン設定... 13 6.2 認証ルールの作成... 14 7 SSO 動作確認方法... 15 7.1 G Suite のログイン URL へアクセスする方法... 15 7.2 SeciossLink の SSO ポータル画面を利用する方法... 16 8 参考... 17 8.1 SeciossLink の検証用テナントについて... 17 8.2 問い合わせについて... 17 1
1 概要 SeciossLink が G Suite との連携にあたり G Suite 側の API 有効化や OAuth 認証用情報の取得 シングルサインオンの設定が必要になります 本ドキュメントは 弊社 SaaS 型 認証 ID 統合サービス SeciossLink と G Suite を接続する場合 G Suite 側から必要な情報の取得 設定手順 及び SeciossLink 側の設定を記載します 手順の中で Google Developers Console と G Suite 管理コンソール の 2 つのコンソールを利用します どちらも G Suite の管理者アカウントでログインする必要があります また 本文で掲載するスクリーンショットは 2017 年 10 月時点のものとなります なお SeciossLink 側 G Suite に対する同期内容について SeciossLink 管理者ガイドを参照してください 2 環境 本ドキュメントは図のような構成を想定し 設定を行います なお G Suite SeciossLink は導入済みであることを前提とします 管理者は SeciossLink の管理画面から G Suite とのシングルサインオン設定 及び アカウ ントの作成同期管理を行います 一方 ユーザは G Suite へ接続を行うと SeciossLink へリ ダイレクトされ ( 未認証の場合 ) 認証を求められる流れとなります 2
3 API 利用を有効化 SeciossLink のアカウント同期機能は G Suite の API を利用しています そのため G Suite API の有効化設定 及び認証用の秘密鍵を生成する必要があります Google Developers Console にアクセスし G Suite 管理者アカウントでログインして 手順に従い 以下三つの必須情報を入手してください クライアント ID サービスアカウント ( メールアドレス ) OAuth API 秘密鍵 画面ショットは 2017 年 10 月時点のものです G Suite の管理画面は頻繁にバージョンアップされますのでご利用の画面と異なる場合があります 予めご了承ください 初めて Google Developers Console にアクセスした場合には プロジェクト が存在しないため メニューを開き 新規に プロジェクト を作成してください プロジェクト名 は任意の名前で構いません 3
1 存在しない場合, プロジェクト名 を入力して作成します 2 作成後 プロジェクト名が変更されたこと確認してください 3 ライブラリから Admin SDK を検索し 選択してください 4
4 Admin SDK を有効にします 5 認証情報に進む をクリックし 次へ進みます 6 必要な認証情報の種類調べなどの設定を無視して サービスアカウント をクリックしてください 5
7 サービスアカウントを作成 をクリックし API 利用す る OAuth アカウントを作成します 8 任意のサービスアカウント名を入力し 秘密鍵のタイプ を P12 と選択 全体の委任にチェックし 任意のサービス 名を設定してアカウントを作成します 6
9アカウントが作成されますと 秘密鍵が自動ダウンロードされます ( 後にこの秘密鍵は SeciossLink 側の設定で利用しますので 保管してください ) 秘密鍵のパスワードは notasecret Window を閉じて サービスアカウントページに戻ります 10 クライアント ID を表示 をクリックし サービスアカウント のメールアドレスを確認し SeciossLink で利用します 7
クライアント ID 4.2 クライアント ID の API アクセス利用設定 にて クライアント名 として利用します サービスアカウント ( メールアドレス ) 6.1 G Suite シングルサインオン設定 にて OAuth API メールアドレス として利用します OAuth API 秘密鍵サービスアカウントを作成された際にダウンロードされた秘密鍵で 6.1 G Suite シングルサインオン設定 の OAuth API 秘密鍵 項目に利用されます 8
4 管理コンソール API 設定 G Suite の管理コンソールへログイン セキュリティ から設定を行います 4.1 API アクセス有効化 セキュリティ API リファレンス API アクセスを有効にする をチェックし て保存してください 4.2 クライアント ID の API アクセス利用設定 セキュリティ 詳細設定 API クライアントアクセスを管理する にアクセス してください 9
表示された クライアント名 1 つ以上の API の範囲 に値以下のように入力してく ださい クライアント名 Google Developers Console で取得した クライアント ID を入力 1 つ以上の API の範囲以下 API の URL をカンマ区切りして テキストボックスに 1 行で入力してください https://www.googleapis.com/auth/admin.directory.group https://www.googleapis.com/auth/admin.directory.orgunit https://www.googleapis.com/auth/admin.directory.user https://apps-apis.google.com/a/feeds/emailsettings/2.0/ https://www.google.com/m8/feeds/ 設定後 承認 すると登録されたクライアント ID と利用可能な API が一覧表示されま す 10
5 管理コンソール SSO 設定 シングルサイン (SSO) を有効化するための設定を行います G Suite の管理コンソールへログインし セキュリティ - シングルサインオン(SSO) の設定 をクリックしてください サードパーティの ID プロバイダで SSO を設定する 項目に以下の内容で設定します サードパーティの ID プロバイダで SSO を設定する 有効化( チェックを入れる ) ログインページの URL https://slink.secioss.com/saml/saml2/idp/ssoservice.php?tenant=< 利用する SeciossLink テナント ID> ログアウトページ URL https://slink.secioss.com/saml/saml2/idp/initslo.php?relaystate=/saml/logout.php&logout=g+suite パスワード変更 URL https://slink.secioss.com/user/password.php slink.secioss.com は正規サービスドメインです 弊社 HP から申込みなされた検証環境をご利用の場合は slinkdev.secioss.net で置き換えてください 11
証明書の確認 SeciossLink テナントが利用する公開鍵をアップロードしてください SeciossLink の公開鍵の入手方法 :SeciossLink 管理者画面から左メニューの システム IdP 証明書 使用中の IdP 証明書の DL 項目操作ボタンからダウンロードしてください ドメイン固有の発行元を使用 チェックして 使用します 12
6 SECIOSSLINK の設定 G Suite 側の SSO 設定が完成すれば SeciossLink 側は簡単な SSO の設定を行い SSO ログイ ンがすぐできるように設定できます 6.1 G SUITE シングルサインオン設定 SeciossLink の管理者サイトへログインし 左メニューの シングルサインオン - G Suite をクリックし 必要項目の設定を行います シングルサインオンの設定 G suite を利用する為に 有効 にチェックを入れます G Suite プライマリドメイン SSO 利用する G Suite のドメインを入力します ID 同期 SeciossLink で作成したユーザを G Suite へ同期する為に 有効 にチェックを入れます G Suite 管理者アカウント名 G Suite の管理者アカウントを入力します OAuth API メールアドレス Google Developers Console で取得した サービスアカウント( メールアドレス ) を入力します OAuth API 秘密鍵 Google Developers Console で取得した P12 形式の秘密鍵 をアップロードします 13
シングルサインオンの設定完了後 ユーザを作成してください 設定項目の メールアドレス が G Suite のアカウントに該当します また シングルサインオンの設定が正しく完了していると 許可するサービス に G Suite が表示されますので ユーザを Google 側に同期する場合 チェックをしてください 以上の設定を行うと SeciossLink のアカウントが G Suite へ同期されます ( リアルタイム同期 ) 6.2 認証ルールの作成 次にメニューの 認証 から認証ルールを作成します この認証ルールはユーザが G Suite からリダイレクトされ SeciossLink がログイン画面を表示する時の認証ルールとなります ID 項目に任意の名前を入力( 英数字 ) し 認証方式 に表示されている一覧から ID/ パスワード認証 を選択し 追加 AND をクリックしてください 更に クライアント にチェックし 登録 を行ってください 14
7 SSO 動作確認方法 SeciossLink と連携している G Suite へログインを行う方法は 2 つあります 7.1 G SUITE のログイン URL へアクセスする方法 1 つはユーザが G Suite を利用するために Service Provider 側 (G Suite) へ初回アクセスを試みる方法です 例えば G Suite のメールサービスへのアクセスは以下の URL となっています https://mail.google.com/a/ ドメイン名 該当ドメインのシングルサインオンが有効になっている場合には 指定された URL へリ ダイレクトされます 今回の構成では SeciossLink をリダイレクト先に設定しています 未認証の場合には SeciossLink がログイン画面を表示 認証を行い 結果のレスポンスをサービス側へ返します 認証が OK であれば サービスの利用が開始されます ( サービスからのリダイレクトやサービス側へのレスポンスは厳密にはユーザのブラウザを経由して遷移します ) 15
7.2 SECIOSSLINK の SSO ポータル画面を利用する方法 2 つめはユーザが G Suite を利用するために ID Provider 側 SeciossLink へ初回ログイ ンを行い SSO ポータル画面から遷移する方法です SeciossLink ではシングルサインオンサービスを一覧表示する SSO ポータル画面 が用 意されています SSO ポータル URL https://slink.secioss.com/user/ ドメインは適宜変更 表示された G Suite 関連サービスのアイコンをクリックすると 既に IdP で認証済ですの で そのまま ユーザ ID/パスワードの入力をすることなく G Suite サービスの利用が開 始できます 管理者からのメッセージが表 示されます 許可されているサービスがア イコンで一覧表示されます また パスワード変更 ア イコンなど 共通機能も表示 されます 16
8 参考 8.1 SECIOSSLINK の検証用テナントについて SeciossLink の検証用テナントは弊社 HP から申し込みすることができます SeciossLink 検証用テナント申し込み https://www.secioss.co.jp/contact2/ 8.2 問い合わせについて 弊社 HP の窓口からお問い合わせください 問い合わせ https://www.secioss.co.jp/contact/ また Google グループ を利用した SeciossLink ユーザコミュニティグループ でも 受け付けておりますのでご活用ください SeciossLink ユーザコミュニティグループ https://groups.google.com/a/secioss.co.jp/d/forum/slink-users 問い合わせ用の Google グループ は一般公開されているため 情報公開できない場合 には弊社 HP から問い合わせてください 以上 17