Google Drive for Work / Google Apps for Work KDDI サテライトオフィスツール SSO ( シングルサインオン ) スタートアップガイド KDDI 株式会社 2016年9月 * Google Google Apps for Work Google Drive for Work は Google Inc.の登録商標または商標です
目次 ( 1/5 ) [目次] P2 [まずはじめに] P7 [1章 ] 1-1 Google Apps にインストールする 1-1-1. シングルサインオンをインストールする P12 1-1-2. Google Apps のAPIアクセスを有効にする P17 1-1-3. 管理者のみ安全性の低いアプリの管理をユーザに許可する P19 1-2-1. シングルサインオン管理コンソールへログイン P22 1-2 シングルサインオン管理画面の初期設定をする 1-2-2. シングルサインオン管理画面の初期設定をする ( 通知先メールアドレス 連携用特権管理者アカウント設定など ) P25 1-3 管理者アカウントを Google Apps からを取り込み 特権管理者用のプロファイルを 設定する 1-3-1. ユーザ情報を Google Apps から取り込む P27 1-3-2. 特権管理者用のプロファイルを設定する P31 2
目次 ( 2/5 ) [1章 ]つづき 1-4 ユーザを作成後 Google Apps に反映し 社外アクセス禁止の設定をする 1-4-1. シングルサイオンからユーザを作成する P34 1-4-2. シングルサイオン管理画面から登録したユーザ情報を Google Apps に反映する P39 1-4-3. デフォルトで適用するプロファイル に 一般ユーザ用プロファイル を設定する P43 1-4-4. ダッシュボード から 社内IPアドレス を設定する P46 1-5 Google Apps でシングルサインオンを有効にする 1-5-1. シングルサインオンを有効にする P48 [参考. SSO 初期設定 動画マニュアル ( YouTube )] P53 3
目次 ( 3/5 ) [2章 動作確認編] 2-1 動作確認 2-1-1. シングルサインオン ログイン動作確認 P54 2-1-2. アクセス申請動作確認 P58 [重要.サテライトオフィス シングルサインオン 障害時リカバリー対策の事前検証のお願い] P63 [参考.こんな時は編] 2-A. 特権管理者がSSOログイン画面から Appsパスワード でログインできなかったら P65 2-B. ユーザがパスワードを忘れた場合に 再設定する P71 2-C. ログイン画面やマイページで 端末申請 や 予備のメールアドレス登録 リンクを 非表示にしたい P76 2-D. シングルサイオンのログインページをカスタマイズしたい P77 4
目次 ( 4/5 ) [3章 応用編] 応用3-1 セキュリティルール管理 の プロファイル 3-1-1. 管理者用プロファイル の設定 P79 3-1-2. 一般ユーザ用標準プロファイル の設定 P82 [参考3-1. プロファイル適用の優先順位] P89 [参考3-2. ユーザのパスワードの設定ポリシーを強化する] P90 [参考3-3. ログイン後に遷移させるURLを指定する] P91 応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 ) P92 応用3-3 Google グループの管理 P97 応用3-4 組織 (OU ) 情報の管理 P98 応用3-5 組織 ( Group ) ( OU ) 情報を Google Apps へ反映する ( 自動連携処理 ) P99 応用3-6 ユーザに委託管理者の権限を割り当てる P102 5
目次 ( 5/5 ) [3章 応用編]つづき 応用3-7 セカンダリドメインを追加する P108 応用3-8 ユーザのメールアドレスを変更する P110 応用3-9 外部システム連携管理 3-9-1. Works Mobile とのシングルサインオン連携する P113 6
まずはじめに ( 1/5 ) 本書について KDDI サテライトオフィスツール SSO ( シングルサインオン ) では 以下の設定を行うのが一般的です 特権管理者は Google Apps 自体のID ( メールアドレス) パスワード でログイン 一般ユーザには Google Apps のID パスワードを教えずに シングルサインオン独自のID パスワード を設定し シングルサインオンのログイン制御を通してログイン 1章 1-1 1-5 では上記設定を行うための一般的な操作手順について記載します 作業を中断される際は 各タイトル章の設定が終わってから終了してください 初期設定の順序を誤ると管理者も含めて ログインできなくなりますのでご注意ください また 初期設定完了後は シングルサインオン ログイン動作確認 を実施し 正しく設定できたことを確認してく ださい および 緊急モードの事前検証 の実施をお願いします 本マニュアルでは Google Apps for Work および Google Drive for Work を Google Apps といいます また Google Apps のパスワード を Appsパスワード といいます ご注意 Google Apps の仕様では Appsパスワード を知っているユーザは シングルサインオン のログイン制御を通らずに 直接 Google Apps にログインすることができてしまいます 基本的には Appsパスワード はユーザに教えず SSOパスワード にてログインいただく運用を推奨します * Google Google Apps for Work Google Drive for Work は Google Inc.の登録商標または商標です 7
まずはじめに ( 2/5 ) Google Apps のアカウント運用について 最初に Google Apps にのみ登録されているアカウントをシングルサインオンへ取り込みます 運用開始後は シングルサインオン側でアカウント登録を行い シングルサインオン Google Apps 方向への同期 ( ユーザをGoogle Apps に反映 ) 処理にて Google Apps アカウントを管理することを推奨致します 補足 Google Apps にのみアカウントが登録済で シングルサインオン管理画面側にアカウントが作成されていない場合 当該アカウントは SSO 経由で Google Apps にログインできません ( Google Apps とSSO管理画面側の両方にアカウントが作成されると SSO経由でログイン可能です ) KDDI サテライトオフィスツール SSO ( シングルサインオン ) は さまざまなアップデートが随時 行われています SSO機能のアップデートにより本マニュアルに表記されている画面と異なる場合が ご注意 ありますので 何卒ご了承ください 詳細情報についてはウェブマニュアルでご確認ください https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/home/sso 8
まずはじめに ( 3/5 ) 機能構成一覧 ( 1/3 ) ダッシボード ドメイン設定 ドメイン設定 基本設定 ログイン制御設定 GoogleApps設定 ログインページ設定 SSOダウン時リカバリー対策 シングルサインオン設定 ユーザ管理 ユーザ管理 ユーザ一覧 ユーザの追加 ユーザ一括エクスポート ユーザ一括インポート 申請一覧 ログイン履歴 アクセス申請一覧 ログイン履歴一覧 セキュリティブラウザ履歴一覧 9
まずはじめに ( 4/5 ) 機能構成一覧 ( 2/3 ) 組織(Group)管理 組織(Group)管理 組織一覧 組織の追加 組織(Group)一括エクスポート 組織(Group)一括インポート 組織(OU)管理 組織(OU)管理 組織(OU)一覧 組織(OU)の追加 組織(OU)一括エクスポート 組織(OU)一括インポート セキュリティルール管理 セキュリティルール管理 プロファイル一覧 プロファイルの追加 ショートカット 共有ブックマーク設定一覧 アクセス申請一覧 ログイン履歴一覧 セキュリティブラウザ履歴一覧 10
まずはじめに ( 5/5 ) 機能構成一覧 ( 3/3 ) タスク管理 タスク管理 タスク一覧 タスクの追加 ユーザをAppsから取込 ユーザをAppsに反映 組織(Group)をAppsから取込 組織(Group)をAppsに反映 組織(OU)をAppsから取込 組織(OU)をAppsに反映 外部システム連携管理 外部システム連携管理 外部システム連携一覧 連携設定の追加 ショートカット アクセス申請一覧 ログイン履歴一覧 セキュリティブラウザ履歴一覧 オペレーションログ一覧 など 2015年10月時点 11
[1-1 Google Apps にインストールする] 1-1-1. シングルサインオンをインストールする ( 1/5 ) Google Apps 管理コンソールにログインし KDDI サテライトオフィスツール SSO ( シングルサインオン ) をインストール ステップ1 管理コンソール ( URL https://admin.google.com /) へログインします 12
1-1-1. シングルサインオンをインストールする ( 2/5 ) ステップ2 申込書に記入いただいたご担当者宛てに KDDIより サービス開通のご案内 メールが届きます 添付ファイル ( PDF ) に記載されているセットアップURL ( 短縮URL ) をコピーし ブラウザに貼り付けます 利用規約に同意する ページへ遷移しますので 利用規約に同意します にチェック後 同意 をクリックします これでインストールは完了です 13
1-1-1. シングルサインオンをインストールする ( 3/5 ) インストールが正常に完了したことを確認 ステップ3 管理コンソール の アプリ をクリックします ステップ4 Marketplace アプリケーション をクリックします 14
1-1-1. シングルサインオンをインストールする ( 4/5 ) ステップ5 S.ログイン ( シングルサインオン ) が表示されていることを確認します つづいて S.ログイン ( シングルサインオン ) をクリックします Google ツールバーの もっ と見る からも確認可能です 最大で48時間かかる場合が あります 15
1-1-1. シングルサインオンをインストールする ( 5/5 ) ステップ6 詳細画面よりデータアクセスが 許可 されていることを 確認します ご注意 データアクセス の 許可 をクリック後の遷移画面 データ アクセスが 承認が必要 となっていた場合は データへのアクセスを許可する の設定を 行ってください シングルサイオンのインストール完了後 つづいて 1-1-2. Google Apps のAPIアクセスを有効にする 作 業を行ってください 16
1-1-2. Google Apps のAPIアクセスを有効にする ( 1/2 ) Google Apps 管理コンソールの セキュリティ からAPIアクセスを有効にします ステップ1 管理コンソールの セキュリティ をクリックします 17
1-1-2. Google Apps のAPIアクセスを有効にする ( 2/2 ) ステップ2 ステップ3 セキュリティの APIリファレンス を APIアクセスを有効にする にチェックし クリックします 変更を保存 をクリックします 18
1-1-3. 管理者のみ安全性の低いアプリの管理をユーザに許可する ( 1/3 ) 管理コンソールにて 安全性の低いアプリの管理をユーザに許可する ステップ1 管理コンソール ( URL https://admin.google.com / )へログインし セキュリティ をクリックします ステップ2 基本設定 をクリックします ステップ3 安全性の低いアプリの設定に移動 をクリックします 19
1-1-3. 管理者のみ安全性の低いアプリの管理をユーザに許可する ( 2/3 ) ステップ4 安全性の低いアプリの管理をユーザに許可する にチェックを入れ 変更を保存 します 組織またはグループを作成し 作成した組織またはグループに該当ユーザを割り当てると 組織 グループ単位で設定の利用権限の許可を適用することが可能です 組織またはグループを作成し 特権管理者アカウント(一部のユーザ のみ本設定を適用することをおすすめします A B 組織 グループの作成方法は以下 Google Apps 管理者ヘルプサイト をご参照ください < A: 組織部門の追加> https://support.google.com/a/answer/182537?hl=ja <B: グループの作成> https://support.google.com/a/answer/2370108?hl=ja 20
1-1-3. 管理者のみ安全性の低いアプリの管理をユーザに許可する ( 3/3 ) 管理者にて 安全性の低いアプリの管理をユーザに許可する をオンにすると 該当ユーザは 安全性の低いアプリのアクセス のオンとオフの切り替え操作を自分で行えるようになります ステップ5 管理者さまのアカウントにて 以下URLにアクセスし 安全性の低いアプリのアクセス を オンにする に設定を変更します https://www.google.com/settings /security/lesssecureapps 設定画面 21
1-2 シングルサインオン管理画面の初期設定をする 1-2-1. シングルサインオン管理コンソールへログイン ( 1/3 ) 管理者アカウントにて KDDI サテライトオフィスツール SSO 画面を開き 初回のみ 利用開始 ボタンをクリック ステップ1 ステップ2 Google ツールバーの 初回のみ 利用開始 をクリックし 設定を完了しました もっと見る から S.ログイン を ダイアログの表示を確認します クリックします 利用開始 をクリック後 ブラウザを更新すると 以下文言が表示されます 本環境では利用開始設定済です 設定されている管理者アカウント ( 省略 ) ご注意 ここで設定した管理者の方のメールアドレスを変更された際は 再度 利用開始 をクリックする 必要があります 22
1-2-1. シングルサインオン管理コンソールへログイン ( 2/3 ) ステップ3 管理者の方向けのシングルサインオン管理画面のリンク サテライトオフィス シングルサインオン を クリックします < シングルサインオン管理画面ログインURL > https://kddi-sso.appspot.com/a/お客さまドメイン名/ 23
1-2-1. シングルサインオン管理コンソールへログイン ( 3/3 ) ステップ4 シングルサインオンのログイン画面に遷移後 Google Apps の特権管理者ID ( メールアドレス ) パスワードを入力し LOGIN をクリックします シングルサインオンのログイン画面 ログイン後 シングルサインオンの管理画面が表示されます シングルサイン管理画面にアクセス完了後 つづいて 1-2-2 シングルサインオン管理画面の初期 設定 を行ってください SSOログイン画面から Appsパスワード でログインできない場合 以下の設定をご確認ください ご注意 特権管理者のアカウントは 管理コンソール アプリ Gmail サービスを有効にする必要が あります 詳細は以下シングルサインオンマニュアルページをご参照ください URL https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/home/sso#info_smtpauth 安全性の低いアプリのアクセスをオンにする 詳細は 2-A. 特権管理者がSSOログイン画面から Appsパスワード でログインできなかったら の章をご参照ください 24
1-2-2. シングルサインオン管理画面の初期設定をする ( 1/2 ) ダッシュボード タブのドメイン設定から通知先メールアドレスを設定 ステップ1 連絡先メールアドレス を入力します ( 必須 ) ユーザ名が日本語の場合は ファイルのエンコード のプルダウンニューから 日本語 ( Shift-JIS ) を 選択します ( 任意 ) ご注意 連絡先メールアドレスの登録がない場合 システムからの通知メールが受け取れません 25
1-2-2. シングルサインオン管理画面の初期設定をする ( 2/2 ) Google Apps との連携のために必要な 特権管理者のメールアドレスを確認 ステップ2 Apps管理者アカウント にデータ連携のために必要な 適切な特権管理者のメールアドレスが入力されているか確認します ステップ3 ダッシュボードの設定変更後 画面下までスクロールし 保存 をクリックします シングルサイオンのユーザや組織 ( Group ) 情報などを Google Apps と連携するためには ご注意 Google Apps の 管理者アカウント情報が必要です ここで設定した Apps管理者アカウント が変更になると ログインおよび連携処理および緊急モード など一部の機能が利用できなくなりますので 変更されないアカウントをご指定ください ( 変更後は速やかに設定を更新してください ) 26
1-3 管理者アカウントを Google Apps からを取り込み 特権管理者用のプロファイルを設定する 1-3-1. ユーザ情報を Google Apps から取り込む ( 1/4 ) 最初に Google Apps にのみ登録されているアカウント( 特権管理者 )を シングルサインオンに取り込みます ステップ1 サイドバーから ユーザをAppsから取込 をクリックします ご注意 ここで設定した管理者の方のメールアドレスを変更された際は 再度 利用開始 をクリックする 必要があります 27
1-3-1. ユーザ情報を Google Apps から取り込む ( 2/4 ) ステップ2 タスク新規登録 Google Apps アカウントからユーザ情報を取り込む 画面で そのまま タスクを登録する をクリックします タスク登録後 タスクが実行されます エイリアスアドレス を同期したい場合はチェックを入れます 28
1-3-1. ユーザ情報を Google Apps から取り込む ( 3/4 ) ステップ3 タスク管理 タブのタスク一覧の画面左にある ボタンをクリックして 随時画面を更新しながら タスクの 稼働状況 が 処理開始中 から 処理完了 となるまで待ちます ステータス が 成功 となったらユーザの取り込み処理は完了です 29
1-3-1. ユーザ情報を Google Apps から取り込む ( 4/4 ) ステップ4 ユーザ管理 タブをクリックします ユーザ一覧 から Google Apps から取り込んだユーザが表示されます 開通直後の環境では 特権管理者アカウント が Google Apps から取り込まれます お願い ここまで終了したら 作業を中断せず以降の章 1-3-2. 特権管理者用のプロファ イルを設定する の手順にしたがって設定作業を進めてください 設定の順序を誤ると管理者も含めてログインできなくなりますのでご注意ください 30
1-3-2. 特権管理者用のプロファイルを設定する ( 1/3 ) 特権管理者 の権限ユーザに対して 管理者用プロファイル を設定する ステップ1 ユーザ管理 タブをクリックします ステップ2 ユーザ一覧から 特権管理者 アカウントの右側にある鉛筆アイコン をクリックします 31
1-3-2. 特権管理者用のプロファイルを設定する ( 2/3 ) ステップ3 ユーザ編集画面に遷移後 プロファイル 項目のプルダウンメニューから 管理者用プロファイル を選択します 本紙では例として 管理者用プロファイル の初期設定のまま利用した場合です Appsパスワード でログインさせて 社内 社外ともに無制限でアクセスが可能です 32
1-3-2. 特権管理者用のプロファイルを設定する ( 3/3 ) ステップ4 設定変更後 ユーザ情報を更新する をクリックします 更新後 管理者アカウントに 管理者用プロファイル が設定されたことを確認します 特権管理者カウントの設定は以上で完了です 33
1-4 ユーザを作成後 Google Apps に反映し 社外アクセス禁止の設定をする 1-4-1.シングルサイオンからユーザを作成する ( 1/5 ) シングルサインオン管理画面からユーザを作成 ここでは個別にユーザを作成する操作手順を説明します 補足 ユーザ情報をCSVファイルで一括出力し ユーザを一括登録するためのテンプレートとして使用し 加工後アップロードすることで ユーザを一括で登録することも可能です 詳細は 応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 ) をご参照ください ステップ1 サイドバーから ユーザ追加 をクリックします ( または ユーザ一覧 の ユーザの追加 ボタンをクリックします ) 34
1-4-1.シングルサイオンからユーザを作成する ( 2/5 ) ステップ2 ユーザ新規登録 画面に遷移後 ユーザの基本情報を入力します 項目については次頁参照 ステップ3 基本情報を入力後 ユーザを登録する をクリックして 作成完了です 35
1-4-1.シングルサイオンからユーザを作成する ( 3/5 ) ユーザ基本情報の項目一覧 区分 必須 必須 注1 必須 必須 注2 項目名 説明 メールアドレス Google Apps アカウントの 前を設定します マルチドメインの場合は ドメインもプルダウンから選択してください 社員ID メールアドレス以外のIDでログインさせたい場合は設定します プロファイル の ログインタイプ を 社員ID にすることで利用できます SSOパスワード ログイン認証に使用するSSOパスワードを設定します ( 注1) 本マニュアルでは 一般ユーザには必ず設定します 特権管理者の設定は任意です Google Apps パスワードとは別のパスワードを設定してください 一般ユーザには SSOパスワードでログインさせて シングルサインオンのログイン制御を通してアクセスさせるのが一般的です ) Appsパスワード ( 連係用 ) 基本は空白のままです ガラ携帯アプリなど一部のサービスをご利用の場合は Google Apps パスワードとなる値を ご設定ください ガラ携帯アプリなど一部のサービス連係用なので ユーザのログイン認証やパスワード変更 では使用されません 姓 名 Google Apps アカウントの姓 名 姓カナ 名カナ アカウントのフリガナ ( 任意 ) プロファイル 本マニュアルでは 特権管理者に 管理者専用プロファイル を割り当てます ( 注2 ) 本マニュアルでは 一般ユーザの設定は不要です ダッシュボード タブの デフォルトで利用するプロファイル から 一般ユーザ用標準プロファイル を設定するため) なお ユーザごとに個別にプロファイルを設定したい場合はご利用ください 36
1-4-1.シングルサイオンからユーザを作成する ( 4/5 ) ユーザ基本情報の項目一覧 ( つづき ) 区分 必須 推奨 項目名 説明 言語設定 基本は 標準 のままです ダッシュボードの全体設定で設定した言語とは別にユーザに言語( 英 語など ) を指定したい場合に設定ください ユーザ時停止 デフォルトの設定では 稼動中 です アカウントを一時的に無効にしたい場合にご利用ください 一時停止のユーザはログインできま せん Google Apps のアカウントの 一時停止 に連係されます パスワード次 回変更フラグ (推奨) 次回 シングルサインオンにログインしたタイミングで ユーザへパスワードの変更を強制 したい場合はチェックを入れます ユーザがパスワードを変更したら 自動でこのフラグはOFFに変更されます 変更されるパスワードは ログイン認証で使用されるパスワードです ( シングルサインオンの SSO パスワード または Google Apps 自体のパスワードです ) プロファイルで パスワードの一元管理 を有効にしている場合は SSOパスワード Google Apps 自体のパスワードのどちらも更新されます ( これは通常利用しません ) Google Apps アカウントのパスワード変更フラグには連係されません パスワード有 効期限 ユーザに定期的にパスワードの変更をさせることができます パスワード履歴チェック と合わせてご利用ください 管理グループ 委託管理者が管理するためのデータカテゴリ 指定すると委託管理者にこのデータの管理を委任することができます メモ 管理用のメモ欄です 37
1-4-1.シングルサイオンからユーザを作成する ( 5/5 ) ステップ4 ユーザ一覧 に追加したユーザが表示されるのを確認します お願い シングルサインオン管理画面にひと通りユーザ登録ができたら 以降の章 シングルサイオン管理画面から登録したユーザ情報を Google Apps に反 映する の手順にしたがって設定作業を進めてください シングルサインオン管理画面にのみアカウントが登録済で Google Apps 側にアカウントが作成されて いない場合 当該アカウントは Google Apps にログインできません ( Google Apps とSSO管理画面側の両方にアカウントが作成されると SSO経由でログイン可能です ) 38
1-4-2. シングルサイオン管理画面から登録したユーザ情報を Google Apps に反映する ( 1/4 ) シングルサインオン管理画面に登録したアカウントを Google Apps へ反映 ( 同期処理 ) します ステップ1 ユーザの登録作業が完了後 サイドバーから ユーザをAppsに反映 をクリックします 登録したユーザアカウント 39
1-4-2. シングルサイオン管理画面から登録したユーザ情報を Google Apps に反映する ( 2/4 ) ステップ2 タスク管理 タブに遷移後 タスク新規登録 ユーザ情報を Google Apps アカウントに反映する 画面で そのまま タスクを登録する をクリックします タスク登録後 タスクが実行されます 40
1-4-2. シングルサイオン管理画面から登録したユーザ情報を Google Apps に反映する ( 3/4 ) ステップ3 タスク管理 タブのタスク一覧の画面左にある ボタンをクリックして 随時画面を更新しながら タスクの 稼働状況 が 処理開始中 から 処理完了 となるまで待ちます ステータス が 成功 となったらユーザ情報の反映処理完了です 41
1-4-2. シングルサイオン管理画面から登録したユーザ情報を Google Apps に反映する ( 4/4 ) [補足] Google Apps の 管理コンソール ユーザ に遷移し シングルサイオン管理画面から登録したユーザ情報がGoogle Apps に反映されてることが確認できます ユーザ情報を Google Apps に反映完了後 つづいて 以降の章 デフォルトで適用するプロファイル に 一般ユーザ用プロファイル を設定する の手順にしたがって設定作業を進めてください 設定の順序を誤ると管理者も含めてログインできなくなりますのでご注意ください 42
1-4-3. デフォルトで適用するプロファイル に 一般ユーザ用プロファイル を設定する ( 1/3 ) デフォルトで適用するプロファイル に 一般ユーザ用プロファイル を設定する 作業開始の前提条件 設定作業前に必ず本章の以前の設定が済んでいることをご確認ください 設定されてないと 管理者も含めてログインできなくなります 管理者アカウント を Google Apps から取り込み かつ 管理者用プロファイル を設定する ( 上記手順は1章 1-3-1 1-3-2 ご参照ください ) SSO管理画面 に ユーザアカウント を登録後 SSOパスワード を設定し かつ ユーザ情報を Google Apps へ反映 ( 連携処理) する ( 上記手順は1章 1-4-1 1-4-2 ご参照ください ) 43
1-4-3. デフォルトで適用するプロファイル に 一般ユーザ用プロファイル を設定する ( 2/3 ) ステップ 1 ダッシュボード タブの デフォルトで利用するプロファイル から 一般ユーザ用標準プロファイル を選択します 補足 デフォルトで用意されている 一般ユーザ用標準プロファイル は SSOパスワードにてログインさせて シングルサイオンのログイン制御を通してアクセスさせる 設定です 社内からであれば どの端末からも申請なしでログイン可能 社外 スマートフォンからのログインはアクセス申請が必要です 44
1-4-3. デフォルトで適用するプロファイル に 一般ユーザ用プロファイル を設定する ( 3/3 ) お願い 事前の設定が済んでいることを必ずご確認のうえ保存してください ( 特権管理者に 管理用プロファイル を設定 アカウントに SSOパスワード の設定など ) ステップ2 画面下までスクロールし 保存 をクリックし 確認画面で はい をクリックします デフォルトで利用するプロファイル設定 を設定すると ユーザ管理 に登録していない ご注意 ユーザはログインできなくなります デフォルトで利用するプロファイル設定 は管理者にも適用されますので あらかじめ用意 されている 管理者用プロファイル を 特権管理者に設定しておいてください 45
1-4-4. ダッシュボード から 社内IPアドレス を設定する ( 1/2 ) シングルサインオン ログイン経由から Google Apps へアクセス許可する 固定グローバルIPアドレス ( 社内ネットワーク ) を設定し 社外からのアクセスを制限します ステップ1 プロファイルで使用する社内ネットワーク にアクセス許可するIPアドレスを入力し 社内ネットワークのIPアドレスを追加 をクリックします ( 複数ご指定可能です ) 調査方法はこちら をクリックしていただくと IPアドレスが確認できます ステップ2 必要に応じて 支店や工場など 各拠点のIPアドレスを登録してください 社内ネットワークに追加したIPアドレスの確認/削除ができます 46
1-4-4. ダッシュボード から 社内IPアドレス を設定する ( 2/2 ) ステップ3 画面下までスクロールし 保存 をクリックします 補足 初期の 一般ユーザ用標準プロファイル では ドメイン設定で設定された社内ネットワークのグローバルIPアドレスが使用される ( 下記赤枠 ) の設定が適用されています ダッシュボート で指定した 社内ネットワーク のIPアドレスが プロファイル内の社内ネットワークと認識されますので プロファイルごとに社内ネットワークを指定する必要がなく 設定が簡単になります 一般ユーザ用標準プロファイル 設定例 47
1-5 Google Apps でシングルサインオンを有効にする 1-5-1. シングルサインオンを有効にする ( 1/5 ) シングルサインオンの管理画面から SSO用証明書ファイルを ダウロードします 作業開始の前提条件 設定作業前に必ず本章以前の設定が済んでいることをご確認ください 設定されてないと 管理者も含めてログインできなくなります ステップ1 キーファイルの SSO用証明書ファイルを再取得 ( 差し替え ) をクリックしてダウンロードします 2回目以降 シングルサインオン用証明書ファイルをダウンロードした場合は ご注意 シングルサインオン側に対となる秘密鍵が上書き保存され ユーザはログインできなくなります 速やかに Google Apps の管理コンソール側にも 再ダウンロードした SSO用証明書ファイル をアップロードしなおしてしてください 48
1-5-1. シングルサインオンを有効にする ( 2/5 ) Google Apps 管理コンソールにてシングルサインオンの設定を有効にします ステップ2 ステップ3 管理コンソール ( URL https://admin.google.com / )へ シングルサインオン ( SSO ) の設定 ログインし セキュリティ をクリックします をクリックします 49
1-5-1. シングルサインオンを有効にする ( 3/5 ) SSO用証明書ファイルをアップロード ステップ4 はじめに サードパーティの ID プロバイダで SSO を設定する セクションで 先程シングルサインオン管理コンソールより発行した SSO用証明書ファイル をアップロードします 設定画面の中程にある 認証の確認 項目からアップロードを実行してください 50
1-5-1. シングルサインオンを有効にする ( 4/5 ) シングルサインオン設定を有効にし ログイン ログアウト パスワード変更時のURLを設定します ステップ5 サードパーティのID プロバイダでSSO を設定する にチェックを入れ 各URLを入力してください ログインページのURL https://kddi-sso.appspot.com/a /{お申し込みドメイン名}/sso/login ログアウトページのURL https://kddi-sso.appspot.com/a /{お申し込みドメイン名}/sso /logout パスワード変更URL https://kddi-sso.appspot.com/a /{お申し込みドメイン名}/sso/password 各URLの最後に / はつけないでください {お申し込みドメイン名}の部分は ご登録いただいた Google Apps のドメイン ( マルチドメインの場合はプライマリドメイン ) をご入力ください Google Apps のシングルサインオン設定画面に入力するURLです ユーザが直接ログインするURLではございません プロキシサーバをご利用で X-Forwarded-For ヘッダによるアクセス制御をする場合は ログインURLのみ先頭は http:// としてください ( セキュリティルール ( プロファイル ) で Chromeログインを禁止する 制御を する場合は https:// で始まる必要があります ) 51
1-5-1. シングルサインオンを有効にする ( 5/5 ) ステップ6 ドメイン固有の発行元を使用 をチェックを入れ 変更を保存 をクリックします 以上でシングルサインオンの初期設定は完了です 以降の章 シングルサインオン ログイン動作確認 を実施し 正しく設定できたことを確認します 52
参考. SSO 初期設定 動画マニュアル ( YouTube ) KDDI サテライトオフィス SSO 初期設定 動画マニュアル 初期設定は以下の手順で設定をお願い致します 設定の順序を誤ると管理者も含めてログインできなくなりま すのでご注意ください 1. 2. 3. 4. 5. Google Apps にインストールする ( 1分36秒 ) シングルサインオン管理画面の初期設定をする ( 2分00秒 ) 管理者アカウントをAppsからを取り込み 特権管理者用のプロファイルを設定する ( 1分27秒 ) ユーザを作成 Appsに反映し 社外アクセス禁止の設定をする ( 3分42秒 ) Google Apps でシングルサインオンを有効にする ( 2分55秒 ) 公開 2015年10月時点 上記リンク元は以下サイトにもございます Google Drive for Work Google Apps for Work システム管理者さま向け KDDI サテライトオフィス SSO編 http://www.kddi.com/business/support/movie/google-apps/150201/ 53
[2-1 動作確認] 動作確認編 2-1-1. シングルサインオン ログイン動作確認 ( 1/4 ) シングルサインオンが正しく設定できたことを確認 ~ 一般ユーザ編 ~ ステップ1 ブラウザから Gmail のURLにアクセスしてください https://mail.google.com/ 54
動作確認編 2-1-1. シングルサインオン ログイン動作確認 ( 2/4 ) ステップ2 ステップ3 Google のログイン画面が表示されるので Google Apps 管理者コンソールで設定した 登録済の一般ユーザのメールアドレスを入力し ログインページにリダイレクトされることを ログイン ボタンをクリックします 確認します パスワードの入力は不要です 55
動作確認編 2-1-1. シングルサインオン ログイン動作確認 ( 3/4 ) 社内ネットワークからログインした場合 ステップ4 IDとシングルサインオン管理コンソールで設定した SSOパスワード を入力し LOGIN をクリックしてください この画面を挟んで ステップ5 社内ネットワークからログインした場合 Gmail 画面にリダイレクトされることを確認します 56
動作確認編 2-1-1. シングルサインオン ログイン動作確認 ( 4/4 ) 社内ネットワーク以外からログインした場合 ステップ6 社内ネットワーク以外からログインした場合 ご利用の環境 端末からのアクセスは禁止されています アクセス申請 を行うか管理者 にお問い合わせください というメッセージが表示されることを確認します 本手順では一般ユーザに対してはアクセス制御が適用されますので ご注意 管理者が許可したIPアドレス ( 社内ネットワーク ) 以外からログインしようとした場合 アクセス申請を行わないとログインできなくなります アクセス申請については次頁を記載があります 57
動作確認編 2-1-2. アクセス申請動作確認 ( 1/5 ) 一般ユーザによる 端末ごとのアクセス申請 例 STEP1 STEP2 管理者による端末制限が設定されている場合 ユーザにはアクセス ログインID と SSOパスワード 制御が適用されます 申請が必要な環境や端末 ( ブラウザ ) から 入力し LOGIN をタップします ログインしたら 端末のアクセス申請はこちら をタップし アクセス申請をしてください 58
動作確認編 2-1-2. アクセス申請動作確認 ( 2/5 ) STEP3 ご利用目的 を入力し アクセ ス申請をする をタップします STEP4 アクセス申請が登録されると ダッシュボードで設定したメールア ドレスに通知メールが送信されます 管理者によって承認処理されるとアクセスできるようになります 管理者によって承認処理後 元の承認処理に戻る をタップします 再度 ログインID と SSOパスワード を 入力し LOGIN をタップしアクセスします 補足 アクセス申請はご利用いただく端末ごと ( ブラウザごと ) に必要です 端末制御はブラウザの Cookie 機能を利用していますので ブラウザの設定で Cookieをクリアする の 操作をしないようにご注意ください 59
動作確認編 2-1-2. アクセス申請動作確認 ( 3/5 ) 特権管理者さまによる アクセス申請 個別に承認処理編 STEP1 シングルサインオンの管理画面にアクセスし サイドメニューの アクセス申請一覧 をクリックします STEP2 アクセス申請一覧 にユーザのアクセス申請が表示されます マークをクリックすると アクセス申請詳細 編集 画面に遷移します 60
動作確認編 2-1-2. アクセス申請動作確認 ( 4/5 ) STEP3 内容を確認し 承認 あるいは 拒否 を選択し アクセス申請を更新する クリックし設定を保存します 管理者によって 承認 処理されると ユーザは申請端末のブラウザまたは Gmailアプリ など からアクセスできるようになります アクセス申請-個別に承認処理編 の設定は以上で完了です 61
動作確認編 2-1-2. アクセス申請動作確認 ( 5/5 ) 特権管理者さまによる アクセス申請 一括承認処理編 補足 複数人のアクセス申請の承認あるいは否認処理を一括で行いたい場合は 該当ユーザの左枠のチェック欄をクリックし 一括許可 あるいは 一括拒否 をクリックします そのほか詳細はウェブマニュアルを参照ください 管理者さま向け http://goo.gl/jasdp6 ( アクセス申請の承認 否認 ) 一般ユーザさま向け http://goo.gl/z4rcl7 ( 端末ごとのアクセス申請 ) 62
動作確認編 重要.サテライトオフィス シングルサインオン 障害時リカバリー対策の事前検証のお願い ( 1/2 ) 障害時のリカバリー機能 緊急モード の事前検証のお願い 障害発生時のリカバリー機能のご説明 サテライトオフィス シングルサインオンは Google App Engine で稼働しております Google App Engine は 他のプラットフォームよりも圧倒的に安定稼働しておりまが 万が一の対策として Amazon EC2 にて リカバリーサーバを用意しています Google App Engine の稼働に不備がある場合でも 管理者の方が数クリックで 緊急モード(AmazonEC2サーバ) に切り替えられます 万が一障害が発生した場合にスムーズに緊急モードに切り替えいただけるよう 緊急モードの事前検証をお願い致します 63
動作確認編 重要.サテライトオフィス シングルサインオン 障害時リカバリー対策の事前検証のお願い ( 2/2 ) 緊急モードの事前検証の方法は以下サイトマニュアル ( PDF ) をご覧ください http://www.sateraito.jp/images/20130505-sso2.pdf 事前検証完了後はSSO/GAE障害時のリカバリ 対策 ( 緊急モード ) にチェックをいれてください 管理者さまにて AmazonEC2版SSOのログインURLのブックマーク お気に入り をお願い致します https://sp.sateraito.jp/u/{お申し込みドメイン名}/sso/config/ 緊急モードの 制限事項について 緊急モード時の制限事項についてはシングルサインオンのマニュアルサイトをご確認ください https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/home/sso#urgentsso 64
こんなときは [参考.こんな時は編] 2-A. 特権管理者がSSOログイン画面から Appsパスワード でログインできなかったら ( 1/6 ) 2015年9月に Google Apps のセキュリティ強化に関する仕様変更に伴い プロファイルのログインタイプを Appsパスワード で運用されている場合 シングルサインオンのログイン画面でログインできない事象が発生しております Google Apps アップデートブログ 管理コンソールで安全性の低いアプリのアクセスをブロックする http://goo.gl/bg6pz0 ログインタイプが Appsパスワード 該当ユーザがSSOログイン画面からログインを試みた場合 システム側から右記通知メールが届きます 回避策として次頁のいずれかの設定を行ってください 対処法1 Appsパスワード 認証から SSOパスワード 認証への切り替えをご検討ください 対処法2 管理者にて 安全性の低いアプリの管理をユーザに許可する をご検討ください 65
こんなときは 2-A. 特権管理者がSSOログイン画面から Appsパスワード でログインできなかったら ( 2/6 ) 対処法1: Appsパスワード 認証から SSOパスワード 認証への切り替えをご検討ください STEP1 SSO管理画面にて 該当ユーザの SSOパスワード の初期値を設定し 次回パスワードの変更 にチェックを入れ ユーザ情報を更新します 66
こんなときは 2-A. 特権管理者がSSOログイン画面から Appsパスワード でログインできなかったら ( 3/6 ) STEP2 該当ユーザへSSO初期パスワードを通知し ログイン後パスワードを変更するようご案内します STEP3 つづけて 該当ユーザに適用されている プロファイル の えんぴつ アイコンをクリックし ログインタイプ をすべて SSOパスワード に変更します 変更後 プロファイルを更新する をクリックします 67
こんなときは 2-A. 特権管理者がSSOログイン画面から Appsパスワード でログインできなかったら ( 4/6 ) 対処法2 管理者にて 安全性の低いアプリの管理をユーザに許可する ステップ1 管理コンソール ( URL https://admin.google.com / )へログインし セキュリティ をクリックします ステップ2 基本設定 をクリックします ステップ3 安全性の低いアプリの設定に移動>> をクリックします 68
こんなときは 2-A. 特権管理者がSSOログイン画面から Appsパスワード でログインできなかったら ( 5/6 ) ステップ4 安全性の低いアプリの管理をユーザに許可する にチェックを入れ 変更を保存 します 一部のユーザのみ設定を適用したい場合は 組織またはグループを作成し 作成した組織またはグループに該当ユーザを割り当てると 組織 グループ単位で設定の利用権限の許可を適用することが可能です A B 組織 グループの作成方法は以下 Google Apps 管理者ヘルプサイト をご参照ください < A: 組織部門の追加> https://support.google.com/a/answer/182537?hl=ja <B: グループの作成> https://support.google.com/a/answer/2370108?hl=ja 69
こんなときは 2-A. 特権管理者がSSOログイン画面から Appsパスワード でログインできなかったら ( 6/6 ) 管理者にて 安全性の低いアプリの管理をユーザに許可する をオンにすると 該当ユーザは 安全性の低いアプリのアクセス のオンとオフの切り替え操作を自分で行えるようになります ステップ5 該当ユーザへ 以下URLから 安全性の低いアプリのアクセス を オンにする よう依頼します https://www.google.com/settings /security/lesssecureapps 該当ユーザの設定画面 70
こんなときは 2-B. ユーザがパスワードを忘れた場合に 再設定する ( 1/5 ) 事前準備 事前に予備のメールアドレスを登録しておく必要があります 管理者にて登録する場合 以下いずれかの方法で 予備のメールアドレス が登録できます ①ユーザCSVファイルによるインポート 項目名 sub_email ②ユーザ編集画面 利用ユーザさまにて 予備のメールアドレス を登録するには以下URLのマイページ画面からとなります https://kddi-sso.appspot.com/a/ お客さまドメイン名 /personal/ マイページ画面に 予備のメールアドレス登録 リンクを表示する方法は 本章の 2-2-2. ログイン画面や マイページで 端末申請 や 予備のメールアドレス登録 リンクを非表示にしたい場合 をご参照ください 71
こんなときは 2-B. ユーザがパスワードを忘れた場合に 再設定する ( 2/5 ) ユーザさま利用イメージ Step1 ログイン画面で ログインID パスワード を入力します Step2 ログインしようとしてここで ログインIDかパスワードが違います というメッセージ が表示されると パスワードを忘れた方はこちら が表示されますので こちらをクリックします 72
こんなときは 2-B.ユーザがパスワードを忘れた場合に 再設定する ( 3/5 ) ユーザさま利用イメージ Step3 ユーザIDを入力し ユーザ情報を確認 を クリックします Step4 予備のメールアドレスを入力し 予備のメールアドレスに再設定コードを送信 をクリックします 73
こんなときは 2-B. ユーザがパスワードを忘れた場合に 再設定する ( 4/5 ) ユーザさま利用イメージ Step5 予備のメールアドレス宛てに パスワード再設定用の コードが送信されます 本文内の再設定コードをコピーします Step6 Step5で控えた再設定コードを張り付け 再設定コードを確認 をクリックします 74
こんなときは 2-B. ユーザがパスワードを忘れた場合に 再設定する ( 5/5 ) ユーザさま利用イメージ Step7 新しいパスワードを確認用も含めて 2カ所に同じパスワードを入力し パスワードを再設定 を クリックします Step8 マイページトップへ をクリックし パスワード再設定画面を閉じます 以上 パスワードの再設定は完了です 75
2-C. ログイン画面やマイページで 端末申請 や 予備のメールアドレス登録 リンクを非表示にしたい こんなときは ログイン画面やマイページの 端末申請はこちら のリンクや 予備のメールアドレ ス を非表示にしたい場合 ステップ1 ダッシュボード の ログイン制御設定 で ログイン画面やマイページに端末申請のリンクを表示しない にチェックをいれます マイページに予備のメールアドレス登録のリンクを表示しない にチェックをいれます デフォルトでは 表示する チェックオフ の設定です 76
こんなときは 2-D. シングルサイオンのログインページをカスタマイズしたい ( 1/2 ) ダッシュボード の ログインページ設定 からログインページに 表示するメッセージや背景画像をカスタマイズすることができます 背景景画像に合わせて 文字やリンクの色も変更可能です セキュリティ強化するために ログインID,パスワードをブラウザに記憶させるかどうかの設定 オートコンプリート も可能です 77
こんなときは 2-D. シングルサイオンのログインページをカスタマイズしたい ( 2/2 ) ダッシュボード の ログ設定 からログインページに表示するロゴ画像を カスタマイズすることができます カスタマイズ後の シングルサインオンのログイン画面 78
[応用3-1 セキュリティルール管理 の プロファイル ] 応用編 応用3-1-1. 管理者用プロファイル の設定 ( 1/3 ) シングルサインオン管理コンソールの セキュリティルール管理 から プロファイルを追加 編集することで 細かなアクセス制御を行うことが可能です プロファイルの詳細設定を確認する場合は プロファイル名称 ( 青字 ) をクリックします プロファイル情報を編集する場合は ボタンをクリックします 補足 初期のプロファイルの設定内容の詳細はウェブマニュアルを参照ください: http://goo.gl/lcuiu6 79
応用編 応用3-1-1. 管理者用プロファイル の設定 ( 2/3 ) デフォルトで用意されているプロファイル KDDI サテライトオフィスツール SSO (シングルサインオン) には セキュリティルール管理 タブのプロファイル一覧に あらかじめ 管理者用プロファイル と 一般ユーザ用標準プロファイル の2つのプロファイルが用意されています No 項目名 説明 ① 管理者用プロファイル Google Apps 自体のパスワード ( Appsパスワード) でログインさせます 社内 社外ともに無制限でアクセスできます ② 一般ユーザ用 標準プロファイル SSOパスワードにてログインさせてシングルサインオンのログイン制御を 通してアクセスさせます 社内からであれば どの端末からも申請なしでログイン可能です 社外 スマートフォンからのログインはアクセス申請が必要となり 管理者より許可された端末のみアクセス可能です ( 設定により自動承認も可能です ) 80
応用編 応用3-1-1. 管理者用プロファイル の設定 ( 3/3 ) 管理者用プロファイル の設定 Appsパスワード でログイン 社内 社外ともに無制限でアクセスできる設定です 以下 ポイントとなる設定画面です アクセス制御に関する設定 アクセス制御 無効 が選択されています 管理者は制約なくどこからでもアクセス可能という設定 ログイン設定 ログインタイプ Appsパスワード 社内 社外 スマートフォン ガラ携帯 からのアクセス時の制御も同様の設定です SSOパスワードを忘れた場合ログインができなくなるのを防ぐため ここでは管理者はGoogle Apps 自体のパスワード ( Appsパスワード ) を設定しています 81
応用編 応用3-1-2. 一般ユーザ用標準プロファイル の設定 ( 1/7 ) 一般ユーザ用標準プロファイル の設定 SSOパスワード にてログインさせてシングルサインオンのログイン制御を通してアクセスさせます 以下 ポイントとなる設定画面です アクセス制御に関する設定 (1/2) アクセス制御 有効 を選択 承認なしで利用可能な端末 初期設定では 3台 まで承認なしで利用可能 補足 承認なしで利用可能な端末について 承認なしで利用可能な端末 の台数を設定しておくと ユーザがアクセス申請後 その台数まで管理者さまの承認なしですぐにご利用いただけます 初回のアクセス申請から承認を必要とする設定を行いたい場合は 台数を 0台 にご変更ください 82
応用編 応用3-1-2. 一般ユーザ用標準プロファイル の設定 ( 2/7 ) 以下 ポイントとなる設定画面です ( つづき ) アクセス制御に関する設定 (2/2) MACアドレスによる自動承認 MACアドレスを取得できる端末で SSOログインアプリ 利用時に使用する項目です ブラウザからの通常アクセスでは利用できません SSOログインアプリ については以下マニュアルサイトをご覧ください <https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/home/sso#about_device_control> スマートフォン タブレット タブレットはPCではなくスマートフォン扱いとする にチェックを入れると タブレットからのアクセス時に スマートフォン扱いとして動作するようになります ( 標準ではタブレットはパソコンと同じ扱いです ) ログイン画面などのデザインは 従来通り パソコンのデザインが使用されます 社内アクセス時もスマートフォン ガラ携帯の設定を優先する 社内のネットワーク経由で スマートフォン ガラ携帯を使う場合 標準では 社内 の 設定が適用されますが これを スマートフォン ガラ携帯 の設定を使うように 変更できます Chromeログイン Chromeログインを禁止する 83
応用編 応用3-1-2. 一般ユーザ用標準プロファイル の設定 ( 3/7 ) 以下 ポイントとなる設定画面です ( つづき ) マイページに関する設定 表示リンク マイページにGoogle Apps サービスへのリンクを表示可否を選択できます 初期設定では メール カレンダー ドライブ にチェックが入っています マイページURL https://kddi-sso.appspot.com/a/{お申し込みドメイン名}/personal/ パソコンの場合 スマートフォンの場合 84
応用編 応用3-1-2. 一般ユーザ用標準プロファイル の設定 ( 4/7 ) 以下 ポイントとなる設定画面です ( つづき ) 社内からのアクセス時の制御 社内ネットワーク 初期設定では ドメインで設定された社内ネットワークのグローバルIPアドレスの使用 に チェックが入っています ここにチェックが入っていると ダッシュボード タブの プロファイルで使用する社内ネットワーク で設定した社内IPアドレスが使用されます 85
応用編 応用3-1-2. 一般ユーザ用標準プロファイル の設定 ( 5/7 ) 以下 ポイントとなる設定画面です ( つづき ) 社内からのアクセス時の制御 ログイン設定 - ログインタイプ 初期設定では SSOパスワード が選択されています 全ユーザに対して SSOパスワード を設定しておく必要があります - 自動ログイン 初期設定ではオフです 社内ポリシーにあった設定を行ってください 86
応用編 応用3-1-2. 一般ユーザ用標準プロファイル の設定 ( 6/7 ) 以下 ポイントとなる設定画面です ( つづき ) 社外からのアクセス時の制御(1/2) ( スマートフォンからのアクセス時の制御 ガラ携帯からのアクセス時の制御も同様の設定です ) ログイン設定- ログインタイプ 初期設定では SSOパスワード が選択されています 二要素認証 初期設定ではオフです 社内ポリシーにあった設定を行ってください 二要素認証 の詳細については以下マニュアルサイトをご覧ください <https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/home/sso#two_factor_auth> 87
応用編 応用3-1-2. 一般ユーザ用標準プロファイル の設定 ( 7/7 ) 以下 ポイントとなる設定画面です ( つづき ) 社外からのアクセス時の制御(2/2) ( スマートフォンからのアクセス時の制御 ガラ携帯からのアクセス時の制御も同様の設定です ) ブラウザ 端末制御設定 -ネットワーク設定 制御しない 明示的に この環境からのアクセスを全て禁止する にチェックを入れた場合 指定(社外)環境からのアクセスを禁止することができます - ブラウザ 設定なし 設定なしの場合 どのブラウザでもアクセスできます 特定のブラウザに制限したい場合は 許可するブラウザを追加してください -持出PC端末制御 初期設定ではオンです ( 基本はON ) アクセス申請で管理者にて許可された端末でのみアクセス可能となります 88
応用編 参考3-1. プロファイル適用の優先順位 補足 セキュリティルール管理 の プロファイル は 3箇所で設定することができます 適用の優先順位は以下の通りです 適用 の 優先 順位 項目名 説明 1 ユーザに設定された プロファイル ユーザに設定されたプロファイルがあればそれを使用します 以降のプロファイルは使用されません 2 メイン組織に設定さ れたプロファイル ユーザにプロファイルが設定されていない場合 ユーザの所属組織のうち メイン組織 として設定された組織にプロファイルが設定されていればそれを使用します メイン組織が設定されていない場合 メイン組織にプロファイルが設定されていない場 合は 適用されません 3 デフォルトで利用す るプロファイル 全体の共通プロファイル ユーザにもメイン組織にも有効なプロファイルがない場合 ドメイン設定 の デ フォルトで利用するプロファイル が使用されます プロファイルの詳細についてはウェブマニュアルでご確認ください http://goo.gl/y6hy7y 89
応用編 参考3-2. ユーザのパスワードの設定ポリシーを強化する ログオンに何度も失敗するアカウントをロックしたり パスワードに有効期限を設定 したりなどパスワードのポリシーを細かく制御したい場合 各プロファイルごとに ログイン パスワードに関する設定 が可能です 90
応用編 参考3-3. ログイン後に遷移させるURLを指定する アクセス環境ごとログイン後に遷移させるURL 例 社内ポータルなど を指定す ることができます 社内/社外/スマートフォンからのアクセス時の制御 の ログイン設定 -ログイン後に遷移するURL 初期設定では未設定です アクセス環境ごとログイン後に遷移させるURL 例 社内ポータルなど を 指定することができます -ユーザがGoogleAppsサービス https://mail.google.com/a/ Appsドメイン / などのサービスURLに アクセスした場合にはそちらを優先する 初期設定ではオンです 例 ユーザが<https://mail.google.com/>などブックマークに登録しており Google Apps のメールを指定してログインしてきた場合にそのURLを優先させる ことができます 91
応用編 応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 ) ( 1/5 ) ユーザ情報をCSV形式でファイルをエクスポート ユーザ情報をCSVファイルに一括で出力することができます 本紙は出力したCSVを使用してデータを編集し一括でインポートする手順を紹介します ステップ1 ステップ2 サイドバーから ユーザ一括エクスポート を エクスポート をクリックしてCSVファイルを クリックします ダウンロードします 92
応用編 応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 ) ( 2/5 ) エクスポートしたファイルをテンプレートとして使用し ユーザを一括登録するためのファイルに加工 ステップ3 エクスポートしたCSVファイルをテンプレートとして使用し ユーザ情報の追加や変更を行います 必須項目は command email last_name first_name ですが 以下項目も一括登録しておくことをおすすめします SSOパスワード sso_password SSOパスワード更新フラグ sso_password_update_flag = UPDATE 編集が終わったら CSV形式で保存してください ( Machintosh をお使いの場合は正しくインポートできない場合があります ) 補足 CSVファイルの詳細についてはウェブマニュアルでご確認ください http://goo.gl/fze4k1 93
応用編 応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 ) ( 3/5 ) 加工したCSVファイルをシングルサインオンへインポート ステップ4 サイドバーから ユーザ一括インポート をクリックします ステップ5 インポート をクリックして 加工したCSVファイルを選択し アップロードします 94
応用編 応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 ) ( 4/5 ) シングルサインオンに登録したユーザ情報を Google Apps へ反映 ステップ6 ステップ7 サイドバーから タスク管理 タブに遷移後 ユーザをAppsに反映 をクリックします タスク新規登録 ユーザ情報を Google Apps アカウントに反映する 画面で そのまま タスクを登録する をクリックします タスク登録後 タスクが実行されます 95
応用編 応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 ) ( 5/5 ) 登録したタスク完了の確認 ステップ3 タスク管理 タブのタスク一覧の画面左にある ボタンをクリックして 随時画面を更新しながら タスクの 稼働状況 が 処理開始中 から 処理完了 となるまで待ちます ステータス が 成功 となったらユーザ情報の反映処理完了です 96
応用編 応用3-3 Google グループの管理 Google グループの一括処理 ( 登録 更新 削除 ) Google Apps のグループ ( メーリングリスト ) をシングルサイオン側の管理画面へ取り込み後 マスターとして Google グループの登録や管理を行うことができます また 定期的な連係やCSVファイルでの一括処理 ( 登録 更新 削除 ) も可能です 本章では Google Apps からグループ情報の取り込みを行う操作例を記載します ステップ1 ステップ2 サイドバーから タスク管理 タブに遷移後 組織 ( Group ) をAppsから取込 タスク新規登録 Google Apps グループから をクリックします 組織 ( Group ) を取り込む 画面で そのまま タスクを登録する をクリックします ステップ3 タスク登録後 タスクが実行されます ステータス が 成功 となったら取り込み処理は 完了です 組織 ( Group ) 管理 タブの 組織一覧 から Google Apps から取り込んだグループが 表示されます 補足 Google グループ の管理やCSVファイルでの一括エクスポート インポート方法の詳細はウェブマニュアルを参照ください https://sites.google.com /a/sateraito.jp /sateraito -dounyuu /Home /sso#group Google グループ CSVファイルの詳細 http://goo.gl/lrbyxe Groups for Business 権限 の詳細 https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/home/sso#grouppermit2 97
応用編 応用3-4 組織 (OU) 情報の管理 組織 (OU ) 情報の一括処理 ( 登録 更新 削除 ) Google Apps の組織 Organization をシングルサイオン側の管理画面へ取り込み後 マスターとして組織の登録 管 理を行うことができます また 定期的な連係やCSVファイルでの一括処理 ( 登録 更新 削除 ) も可能です 本章では Google Apps から 組織 (Organization) 情報の取り込みを行う操作例を記載します ステップ1 ステップ2 サイドバーから タスク管理 タブに遷移後 組織 (OU) をAppsから取込 を タスク新規登録 Google Apps 組織 (Organization) クリックします から組織 (OU) 情報を取り込む 画面で そのまま タスクを登録する をクリックします 組織 (OU) 管理 タブの 組織一覧 から Google Apps から取り込んだ組織 (OU) 情報 が表示されます タスク登録後 タスクが実行されます ステータス が 成功 となったら取り込み処理は完了です 補足 組織 ( OU ) 情報の管理やCSVファイルでの一括エクスポート インポート方法の詳細はウェブマニュアルを参照ください https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/home/sso#ou 組織 ( OU ) 情報をCSVファイル http://goo.gl/lrbyxe 98
応用編 応用3-5 組織 (Group OU) 情報を Google Apps へ反映する (自動連携処理 ) ( 1/3 ) 組織( Group OU )情報の自動連携処理 シングルサイオン側の管理画面をマスターとして組織 Google グループ OU 情報をメンテナンスしている場合 Google Apps に変更内容を反映させるための連携処理を日次で設定することができます 本章では 組織(Group)をAppsに反映 処理を指定した時間に日次で同期させるタスク登録の設定例を記載します ステップ1 サイドバーから 組織 ( Group ) をAppsから反映 をクリックします 99
応用編 応用3-5 組織 (Group OU) 情報を Google Apps へ反映する (自動連携処理 ) ( 2/3 ) ステップ2 初回処理予定 にタスクを実行させたい時間を設定します 繰り返し設定 のプルダウンメニューから 日次で同期 をクリックします タスクを登録する をクリックします 組織 Group 管理の場合 Groups for Business の項目を指定している場合は Groups for Business の権限も同期する に チェックを入れます ( 任意 ) 100
応用編 応用3-5 組織 (Group OU) 情報を Google Apps へ反映する (自動連携処理 ) ( 3/3 ) ステップ3 タスク一覧に 処理状況が 処理待ち としてタスクが登録されました タスクを再度実行したい場合 タスクを再度実行したい場合は 新規で同じ種類のタスクを追加してもできますが 既存のタスクの 稼動状況 を 処理待ち に変更し 設定を更新することで 再度実行することができます 101
応用編 応用3-6 ユーザに委託管理者の権限を割り当てる ( 1/6 ) シングルサイオン権限の種類 シングルサイオンの管理権限の種類は以下の通りです 権限 access_authority 説明 1 特権管理者 ADMIN シングルサインオンダッシュボードの管理者および Google Apps 特権管理者です すべての機能 データにアクセスできます 2 委託管理者 OPERATOR 特権管理者が委託管理を指定したシングルサインオンの機能 および 指定した管理グループに所属するデータにアクセス できます Google Apps アカウントとしては一般ユーザ権限です 3 一般ユーザ MANAGER シングルサインオン Google Apps アカウントとしても一 般ユーザ権限です CSVファイルの項目名 ユーザ権限 access_authority 次頁よりシングルサイオンの委託管理の権限を割り当てる設定手順を記載致します 102
応用編 応用3-6 ユーザに委託管理者の権限を割り当てる ( 2/6 ) ユーザに委託管理者の権限を割り当てる ステップ1 ユーザ一覧 に委託管理者権限を割り当てるユーザの ボタンをクリックします 例)本手順では渡辺さんに委託管理者の権限を割り当てます 103
応用編 応用3-6 ユーザに委託管理者の権限を割り当てる ( 3/6 ) ステップ2 権限設定 の以下項目を設定します 権限 の 委託管理者 にチェックを入れます 委託管理メニュー から委託管理者にアクセスさせる管理機能を指定します ( 複数指定可能 ) 委託管理メニューの詳細は次頁をご参照ください 委託管理する管理グループ に委託管理者がアクセスできるデータの管理グループを入力します 管理グループ名は任意文字列を指定できます ( 例 人事部門 開発部門 ) 104
応用編 応用3-6 ユーザに委託管理者の権限を割り当てる ( 4/6 ) 委託管理者がアクセスできるSSOの機能一覧 委託管理メニュー delegate_function 説明 1 ユーザ管理 ACCOUNT ユーザ管理画面で指定委託管理グループのデータを管理でき ます ユーザのアクセス申請の管理やログイン履歴も閲覧可能です 2 組織 ( Group ) 管理 GROUP 組織 ( Group ) 管理画面で指定委託管理グループのデータを 管理できます 3 組織 ( OU ) 管理 ORGUNIT 組織 ( OU ) 管理画面で指定委託管理グループのデータを管 理できます 4 アクセス申請 ACSAPPLY 指定委託管理グループのユーザのアクセス申請を閲覧 許可 拒否などの編集ができる権限です CSVファイルの項目名 委託管理メニュー delegate_function 105
応用編 応用3-6 ユーザに委託管理者の権限を割り当てる ( 5/6 ) STEP3 つづいて 委託管理者に管理を依頼するユーザの 管理グループ にSTEP2で設定した 委託管理する管理グルー プ 名を入力します 設定完了後 ユーザ情報を更新する をクリックします 例)本手順では委託管理者の渡辺さんが山本さんのアカウント情報にアクセスできるようにするために 山本さんの 管理グループ に 営業部 を入力します ユーザに委託管理者の権限を割り当てる 設定は以上で完了です 106
応用編 応用3-6 ユーザに委託管理者の権限を割り当てる ( 6/6 ) STEP4 委託管理者にて SSOの管理画面にアクセスします 委託管理者管理画面アクセスURL https://kddi-sso.appspot.com/a /{お客さまドメイン名}/personal/ 特権管理者が委託管理を指定したシングルサインオンの機能,および指定した管理グループに所属するデータにアク セスできます 107
応用編 応用3-7 セカンダリドメインを追加する ( 1/2 ) セカンダリドメインを追加する Google Apps をマルチドメインでご利用の場合は サテライトオフィス シングルサインオン 管理画面にも セカンダリドメインを登録する必要があります Google Apps からアカウントやグループを取り込む際にも自動でシングルサインオン側へも追加されますが あらかじめ手動で追加しておくことをおすすめ致します <設定の前提条件> Google Apps 管理コンソール ドメイン でドメインを追加 次頁よりシングルサイオンの管理画面でセカンダリドメインの追加手順を記載致します 108
応用編 応用3-7 セカンダリドメインを追加する ( 2/2 ) STEP1 ダッシュボード タブから セカンダリドメインの追加 確認はこちら をクリックします STEP2 追加したドメイン名を入力し セカンダリドメインの追加 をクリックします 追加したドメインの 確認/削除 ができます 109
応用編 応用3-8 ユーザのメールアドレスを変更する ( 1/3 ) 作成済のユーザのメールアドレスを変更する ステップ1 ユーザ管理 タブをクリックします ステップ2 ユーザ一覧から該当のアカウントを検索し 右側にある鉛筆アイコン をクリックします 補足 CSVファイルから一括で複数のユーザのユーザIDを変更 も可能です CSVファイルの詳細はウェブマニュアルを参照ください https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/home/sso#howtochangeidbytask 110
応用編 応用3-8 ユーザのメールアドレスを変更する ( 2/3 ) STEP3 ユーザIDの変更はこちら をクリックします ユーザIDを変更する からも設定変更可能です 111
応用編 応用3-8 ユーザのメールアドレスを変更する ( 3/3 ) STEP4 変更後のユーザID に変更後のメールアドレス @より前 を入力します ( マルチドメイン対応の場合は プルダウンメニューからドメイン名を選択します ) Google Apps のユーザIDも同時に更新する にチェックをいれます デフォルト オン ユーザIDを変更する をクリックします 以上で メールアドレスの変更 作業は完了です 該当ユーザへ変更後のユーザID ( メールアドレス ) をお知らせください 112
応用編 [応用3-9 外部システム連携管理] 3-9-1. Works Mobile とのシングルサインオン連携する ( 1/10 ) Works Mobile とのシングルサインオン連携 Works Mobile とのシングルサインオン連携の設定行うための一般的な操作手順について記載します なお Works Mobile 側の設定については シングルサインオン連係に必要な最低限の説明となります より詳細な制御などについては Works Mobile ご担当者さまにお問い合わせください ご注意 制限事項:緊急モード切り替え時は 外部連携関連の機能はご利用いただけません SSO管理画面の 外部システム連携 でSSOを有効にする ステップ1 外部システム連携管理 タブをクリックします ステップ2 連携設定の追加 をクリックします ステップ3 外部システム連携新規登録画面で 基本情報欄の 連携ID, 管理タイトル を入力します 入力値は任意です 113
応用編 3-9-1. Works Mobile とのシングルサインオン連携する ( 2/10 ) ステップ4 連携先設定の 連携サービスプロバイダ で WorksMobile を選択します ステップ5 連携ユーザID のプルダウンメニューから SSOの連携用キー を選択します Works Mobile 側のアカウント管理で登録する ExternalKey に同じ値を登録する必要があります 本紙では例として メールアドレス を選択します 連携設定を登録する ボタンをクリックします 114
応用編 3-9-1. Works Mobile とのシングルサインオン連携する ( 3/10 ) SSO管理画面でシングルサインオン用証明書をダウンロードする ステップ6 先ほど登録した連携IDのえんぴつマークをクリックします ステップ7 X.509証明書 の SSO用証明書ファイルの作成 取得 をクリックします ステップ8 ダイアルログに記載されている注意事項を確認の上 はい をクリックします 証明書ファイル pemファイル がダ ウンロードされますので 任意のフォル ダに保存します 115
応用編 3-9-1. Works Mobile とのシングルサインオン連携する ( 4/10 ) Works Mobile の Developer s Center でシングルサインオンを有効にする ステップ9 Works Mobileの管理者アカウントにて Developer s Center ページ 下記URL へログインします URL https://developers.worksmobile.com ステップ10 左枠欄の SSO をクリックします 116
応用編 3-9-1. Works Mobile とのシングルサインオン連携する ( 5/10 ) ステップ11 SSO Type を SAML に変更します SSO Type を SAML に変更後は Works Mobile の管理者画面へ直接ログインできなくなります ご注意 Works Mobile 管理者画面URL: https://admin.worksmobile.com また SSO によるログインも設定途中のためこの段階では不可となります ただし Developer s Center ページは直接ログイン可能です 117
応用編 3-9-1. Works Mobile とのシングルサインオン連携する ( 6/10 ) ステップ12 各項目を入力 設定します 入力完了したら 適用 ボタンを クリックします Web Login URL: https://kddi-sso.appspot.com/a /{お申し込みドメイン名}/sso /login/{外部システム連携id} 外部システム連携IDには SSOの外部システム連携管理で登録した連携IDを指定してください 例 https://kddi-sso.appspot.com /a/kddi.com/sso /login/worksmobile MobileLogin URL 同上 Logout URL:https://kddi-sso.appspot.com/a /{お申し込みドメイン名}/sso /logout Certificate File SSOの管理画面でダウンロードした 証明書ファイル pemファイル をアップロードしてください *STEP8参照 118
応用編 3-9-1. Works Mobile とのシングルサインオン連携する ( 7/10 ) ステップ13 External Key Mapping セクションで シングルサインオンをするユーザに ExternalKey を設定します ダウンロード をクリックします 119
応用編 3-9-1. Works Mobile とのシングルサインオン連携する ( 8/10 ) ステップ14 ダウンロードしたCSVファイルを開き External Key 列に値を入力します SSOの管理画面で 連携ユーザID で指定した SSOの連携用キー の値を入力します 本紙では例として Google Apps のメールアドレス を設定します ステップ15 External Key 列入力後 CSVファイルを CSV カンマ区切り 形式で保存します ステップ16 ファイル添付 をクリックし 先ほど上書き保存したCSVファイルをアップロードします External Key の値が反映されたら完了です 120
応用編 3-9-1. Works Mobile とのシングルサインオン連携する ( 9/10 ) 補足事項 External Key の値は Works Mobile の管理者画面の メンバー/組織 ページからも修正可能です Works Mobile 管理者画面URL: https://admin.worksmobile.com 121
応用編 3-9-1. Works Mobile とのシングルサインオン連携する ( 10/10 ) Works Mobile とのシングルサインオン連携が正しく設定できたことを確認 ~ 一般ユーザさま Works Mobile One 利用イメージ パソコン編 ~ ステップ1 ステップ2 Works Mobile Oneアプリを起動し Google Apps のSSOのログインURLにリダイレクトされ ログイン画面 Works Mobile Oneアカウント を が表示されることを確認します 入力します Google Apps アカウントのログインID, パスワード を入力し 開始する をクリックします LOGIN をクリックします シングルサインオンのプロファイルの設定に基づいて ログイン認証が行われます 122