ビュー:
ここではGoogle WorkspaceをSAML (2.0) IDプロバイダとして設定し、Cloud App Securityで使用する方法について説明します。
Google Workspaceの設定を開始する前に、次のことを確認してください。
  • サインインプロセスを処理してCloud App Security管理コンソールに認証資格情報を提供する、Google Workspaceの有効なライセンスを購入している。
  • Cloud App Security グローバル管理者として管理コンソールにログオンしています。
重要
重要
これらの指示に含まれる手順は、2023年2月現在有効です。

手順

  1. Googleの特権管理者アカウントを使用してGoogle Workspaceの管理コンソールにサインインします。
  2. Cloud App Security向けのSAMLアプリを作成します。
    1. 左側のナビゲーションで、[アプリ][ウェブアプリとモバイルアプリ] の順に選択します。
    2. [アプリを追加][カスタムSAMLアプリの追加] の順にクリックします。
    3. [アプリの詳細] 画面で、[アプリ名]Cloud App Securityのアプリ名 (例: Cloud App Security) を入力し、[続行] をクリックします。
    4. [Google IDプロバイダの詳細] 画面で、[オプション2] にあるSSO URLのidpidの値、エンティティID証明書を、後で使用できるように任意のテキストエディタにコピーし、[続行] をクリックします。
      idpidについては、たとえば、SSO URLがhttps://accounts.google.com/o/saml2/idp?idpid=C0385vj7yであれば、idpidはC0385vj7yです。
      注意
      注意
      idpidは後でサービスURLを作成する際に使用し、エンティティID証明書Cloud App Security管理コンソールでシングルサインオンを設定する際に使用します。
    5. [サービスプロバイダの詳細] 画面で、次の設定を指定し、[続行] をクリックします。
      設定
      説明
      ACSのURL
      Cloud App SecurityがSAMLレスポンスを受信するために使用するAssertion Consumer ServiceのURL。
      ACSのURL「{Cloud App Security_admin_site}/ssoLogin」を入力します。「{Cloud App Security_admin_site}」は、ご使用のサイトに基づいて指定してください。たとえば、ご使用のCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」である場合、ACSのURLは「https://admin-eu.tmcas.trendmicro.com/ssoLogin」になります。
      エンティティID
      Cloud App Securityを識別するためのグローバルに一意の名前。
      ご使用のサイトのCloud App SecurityログオンURLを入力します。たとえば、ご使用のCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」である場合、エンティティIDは「https://admin-eu.tmcas.trendmicro.com」になります。
      名前ID
      • 名前IDの形式: [EMAIL] を選択します。
      • 名前ID: [Basic Information > Primary email] を選択します。
    6. [属性のマッピング] 画面で、初期設定値はそのままにし、[完了] をクリックします。
  3. すべてのユーザに対してSAMLアプリを有効にします。
    1. メニュー[アプリ][ウェブアプリとモバイルアプリ] の順に選択し、作成したSAMLアプリをクリックします。
    2. ブラウザのアドレスバーでSAMLアプリのサービスプロバイダIDを任意のテキストエディタにコピーします。
      たとえば、アドレスバーのURLが「https://admin.google.com/ac/apps/saml/123456789」である場合、サービスプロバイダIDは「123456789」です。
      注意
      注意
      サービスプロバイダIDは、後でサービスURLを作成する際に使用します。
    3. SAMLアプリの設定画面で、[ユーザアクセス] セクションをクリックします。
    4. [サービスのステータス] セクションで、[オン (すべてのユーザ)] を選択し、[保存] をクリックします。
  4. 「https://accounts.google.com/o/saml2/initsso?idpid=example1&spid=example2&forceauthn=false」の形式に基づいて、サービスURLを作成します。
    URL内の変数は下記のように置換してください。
    • example1: 手順2.dで記録しておいたidpidで置換します。
    • example2: 手順3.bで記録しておいたサービスプロバイダIDで置換します。
    注意
    注意
    サービスURLはCloud App Security管理コンソールでシングルサインオンを設定する際に使用します。
  5. Cloud App Security管理コンソールでシングルサインオンの設定を完了します。
  6. SSOの設定が正しく機能することを確認します。
    1. Google Workspace管理コンソールで、メニュー[アプリ][ウェブアプリとモバイルアプリ] の順に選択し、作成したSAMLアプリをクリックします。
    2. 左側の領域で [SAMLログインをテスト] をクリックします。
      Cloud App Security管理コンソールに転送されます。