Google Workspaceを設定する

ここではGoogle WorkspaceをSAML (2.0) IDプロバイダとして設定し、Cloud App Securityで使用する方法について説明します。

Google Workspaceの設定を開始する前に、次のことを確認してください。

サインインプロセスを処理してCloud App Security管理コンソールに認証資格情報を提供する、Google Workspaceの有効なライセンスを購入している。
Cloud App Securityのグローバル管理者として管理コンソールにログオンしている。詳細については、管理者と役割を参照してください。

重要:

これらの指示に含まれる手順は、2023年2月現在有効です。

Googleの特権管理者アカウントを使用してGoogle Workspaceの管理コンソールにサインインします。

Cloud App Security向けのSAMLアプリを作成します。

左側のナビゲーションで、[アプリ] > [ウェブアプリとモバイルアプリ] の順に選択します。
[アプリを追加] > [カスタムSAMLアプリの追加] の順にクリックします。
[アプリの詳細] 画面で、[アプリ名] にCloud App Securityのアプリ名 (例: Cloud App Security) を入力し、[続行] をクリックします。
[Google IDプロバイダの詳細] 画面で、[オプション2] にあるSSO URLのidpidの値、エンティティID、証明書を、後で使用できるように任意のテキストエディタにコピーし、[続行] をクリックします。
idpidについては、たとえば、SSO URLがhttps://accounts.google.com/o/saml2/idp?idpid=C0385vj7yであれば、idpidはC0385vj7yです。

注:
idpidは後でサービスURLを作成する際に使用し、エンティティIDと証明書はCloud App Security管理コンソールでシングルサインオンを設定する際に使用します。

[サービスプロバイダの詳細] 画面で、次の設定を指定し、[続行] をクリックします。

設定	説明
ACSのURL	Cloud App SecurityがSAMLレスポンスを受信するために使用するAssertion Consumer ServiceのURL。 ACSのURL「`{Cloud App Security_admin_site}/ssoLogin`」を入力します。「{Cloud App Security_admin_site}」は、ご使用のサイトに基づいて指定してください。たとえば、ご使用のCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」である場合、ACSのURLは「`https://admin-eu.tmcas.trendmicro.com/ssoLogin`」になります。
エンティティID	Cloud App Securityを識別するためのグローバルに一意の名前。ご使用のサイトのCloud App SecurityログオンURLを入力します。たとえば、ご使用のCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」である場合、エンティティIDは「`https://admin-eu.tmcas.trendmicro.com`」になります。
名前ID	名前IDの形式: [EMAIL] を選択します。名前ID: [Basic Information > Primary email] を選択します。

設定

説明

ACSのURL

Cloud App SecurityがSAMLレスポンスを受信するために使用するAssertion Consumer ServiceのURL。

ACSのURL「{Cloud App Security_admin_site}/ssoLogin」を入力します。「{Cloud App Security_admin_site}」は、ご使用のサイトに基づいて指定してください。たとえば、ご使用のCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」である場合、ACSのURLは「https://admin-eu.tmcas.trendmicro.com/ssoLogin」になります。

エンティティID

Cloud App Securityを識別するためのグローバルに一意の名前。

ご使用のサイトのCloud App SecurityログオンURLを入力します。たとえば、ご使用のCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」である場合、エンティティIDは「https://admin-eu.tmcas.trendmicro.com」になります。

名前ID

名前IDの形式: [EMAIL] を選択します。
名前ID: [Basic Information > Primary email] を選択します。

[属性のマッピング] 画面で、初期設定値はそのままにし、[完了] をクリックします。

すべてのユーザに対してSAMLアプリを有効にします。
1. メニュー > [アプリ] > [ウェブアプリとモバイルアプリ] の順に選択し、作成したSAMLアプリをクリックします。
2. ブラウザのアドレスバーでSAMLアプリのサービスプロバイダIDを任意のテキストエディタにコピーします。
  たとえば、アドレスバーのURLが「https://admin.google.com/ac/apps/saml/123456789」である場合、サービスプロバイダIDは「123456789」です。
  
  注:
  サービスプロバイダIDは、後でサービスURLを作成する際に使用します。
3. SAMLアプリの設定画面で、[ユーザアクセス] セクションをクリックします。
4. [サービスのステータス] セクションで、[オン (すべてのユーザ)] を選択し、[保存] をクリックします。
「https://accounts.google.com/o/saml2/initsso?idpid=example1&spid=example2&forceauthn=false」の形式に基づいて、サービスURLを作成します。
URL内の変数は下記のように置換してください。
- example1: 手順2.dで記録しておいたidpidで置換します。
- example2: 手順3.bで記録しておいたサービスプロバイダIDで置換します。
注:
サービスURLはCloud App Security管理コンソールでシングルサインオンを設定する際に使用します。
Cloud App Security管理コンソールでシングルサインオンの設定を完了します。
SSOの設定が正しく機能することを確認します。
1. Google Workspace管理コンソールで、メニュー > [アプリ] > [ウェブアプリとモバイルアプリ] の順に選択し、作成したSAMLアプリをクリックします。
2. 左側の領域で [SAMLログインをテスト] をクリックします。
  Cloud App Security管理コンソールに転送されます。