2017年5月16日火曜日

色々なクラウドサービスとシングルサインオン(SSO)してみよう - G Suite編 -

弊社が提供するGluegent Gateは、シングルサインオン・ID管理・アクセス制御の機能を兼ね備えたクラウドサービスです。現在、多くのサービスが、SAML 2.0という認証連携の標準規格に対応しておりますが、Gluegent GateではこのSAML 2.0という規格を利用して様々なクラウドサービス(G Suite(旧Google Apps)、Office 365、Salesforce、Dropbox等)とのシングルサインオンを実現しています。認証をGluegent Gateに集約し、そこでアクセス制御を行うことにより、各種クラウドサービスを横断的にセキュリティ強化することが可能となります。

さて、今日はGluegent Gateの利用ユーザ数の中で最も多いG Suiteについてシングルサインオンを行うための設定手順についてご紹介したいと思います。

前提条件

まず、Gluegent GateがG Suiteとシングルサインオンできるようにするためには、以下の作業が完了している必要があります。

    <G Suiteとシングルサインオン連携するための前提条件
  1. Gluegent Gateが利用ドメインにインストール済であること
  2. Gluegent GateでG Suiteとの同期設定が完了済であること
  3. Gluegent Gateにユーザ/グループが登録済であること
  4. 認証/認可ルールが定義済であること

シングルサインオン設定手順の流れ

G Suiteとのシングルサインオンを行うための設定手順は以下の通りです。

    <シングルサインオン設定手順>
  1. Gluegent GateからIdP証明書をダウンロードする
  2. G SuiteにIdP証明書のアップロードおよび各種設定項目を入力する
以下に詳しく説明していきます。

手順1. Gluegent GateからIdP証明書をダウンロードする

Gluegent Gate管理者ユーザでGluegent Gateの管理画面にログインし、以下の作業を行います。
  1. トップメニューの「システム」をクリックします
  2. 左メニューの「IdP証明書」をクリックし、証明書一覧画面を表示します
  3. アイコンをクリックし、証明書をダウンロードしますGate証明書ダウンロード.png

手順2. G SuiteにIdP証明書のアップロードおよび各種設定項目を入力する

Gluegent Gate側で証明書をダウンロードしたら、特権管理者権限を持つユーザでG Suiteの管理コンソール画面にログインし、以下の作業を行います。

    2-1. IdP証明書アップロード
  1. 「セキュリティ」を表示し、「シングルサインオン(SSO)の設定」をクリックします
  2. 「ファイルを選択」ボタンをクリックし、先ほどダウンロードしたIdP証明書ファイルを選択後、アップロードボタンを押します
  3. 以下のようにメッセージが表示されたら完了です

    2-2. SSO設定
  1. 上記アップロード作業に引き続き、G Suiteの管理画面にて以下の表を参考に設定します。
    No.
    設定項目
    設定内容
    1
    サードパーティのIDプロパイダでSSOを設定する
    チェック
    2
    ログインページのURL
    https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=<domain>
    ※例えばドメインがexample.comの場合以下のURLとなりますhttps://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant= example.com
    3
    ログアウトページのURL
    https://auth.gluegent.net/saml/saml2/idp/initSLO.php?RelayState=/saml/logout.php&logout=googleapps
    4
    パスワード変更URL
    https://auth.gluegent.net/user/password.php?tenant=<domain>
    ユーザにパスワードの変更をさせない場合は以下のURLにします
    https://auth.gluegent.net/static/denied_change_password.html
    5
    ドメイン固有の発行元を使用
    チェック


  2. 入力が終わったら、保存ボタンを押します。すると以下のような画面が表示されるので、説明文を確認後、「理解して、同意します。」ボタンを押します。

設定後の確認

設定が一通り完了したら、動作確認を行ってみます。
  1. Webブラウザのプライベートモードによるウィンドウを表示し、ロケーションバーに「https://mail.google.com/a/ドメイン名」を入力し、アクセスします。
  2. 以下のようなGluegent Gateのログイン画面にリダイレクトされますので、Gluegent Gateで登録したユーザID/パスワードを入力後、ログインします。
  3. ログイン後、Gmailが表示できたら成功です。


いかがだったでしょうか。上記のような設定でG SuiteとのシングルサインオンがGluegent Gateで簡単に実現できることがお分かりいただけたかと思います。今後、他サービスであるOffice 365やSalesforceに関する設定方法についてもご紹介していきますのでお楽しみに。

 Gluegent Gate