メインコンテンツへスキップ

Google Workspace (以前のG Suite) を使ったシングルサインオンの設定

  • 更新

ここでは、シングルサインオンの ID プロバイダーとして Google Workspace を利用する場合の設定方法を紹介します。

参考: カスタム SAML アプリケーションの設定

以下の設定は、Google Workspace、Qiita Team 共に、管理者権限のあるユーザーで行う必要があります。

Google Workspace側でアプリの作成を始める

Google Workspaceの SAML アプリ一覧を開き、ウェブアプリとモバイルアプリをクリックします。

スクリーンショット 2023-10-18 19.53.24.png

アプリを追加から、カスタムSAMLアプリの追加を押下します。saml2.png

アプリの詳細が開いたら、アプリ名に「QiitaTeam」など任意の名前やアイコンを設定し、続行を押下します。
saml3.png
IDプロバイダの詳細が開いたら、メタデータをダウンロードします。メタデータは後ほどQiita Teamの設定に使用するため、わかりやすい名前で保存をしてください。saml4.png

サービスプロバイダの詳細が開いたら、Qiita Team のシングルサインオン設定(別タブで開きます)の下部にQiita Team サービスプロバイダー情報が表示されますので、情報を入力します。

  • ACS の URL: Qiita Team の Assertion Consumer Service URL
  • エンティティ ID: Qiita Team の Service Provider Entity ID
  • 開始 URL: 空欄
  • 署名付き応答: チェックを入れる
  • 名前 ID: 基本情報 - メインのメールアドレス
  • 名前 ID の書式: EMAIL

saml5.png

スクリーンショット 2023-10-13 19.24.30.png
属性のマッピングが開いたら、以下の様にマッピングを追加します。

  • User.FirstName: 基本情報 - 名
  • User.LastName: 基本情報 - 姓

saml6.png
こちらでアプリの登録は完了です。


Qiita Team に Google Workspace のメタデータを登録する

Qiita Team のシングルサインオン設定を開きます。

ID プロバイダーのファイルを選択をクリックし、先ほど Google Workspace からダウンロードしたメタデータを選択後、アップロードするをクリックしてメタデータをアップロードします。

スクリーンショット 2023-10-13 19.09.42.png

正常にアップロードが完了すると、「ID プロバイダー登録済み」と表示されます。

※一度登録したIDプロバイダーを変更する場合には、シングルサインオン設定を一旦無効に設定してください。

スクリーンショット 2023-10-13 19.09.57.png
注) メタデータ内に証明書の情報が複数項目存在している場合に、アップロードは完了するが正しくログインできない場合がございます。メタデータファイル内に下記のタグで囲まれている部分が2つ以上ある場合は、使用されている証明書以外は削除するようにお願いします。

<md:KeyDescriptor use="signing"> ~ </md:KeyDescriptor>

※<md:KeyDescriptor>のタグごと削除してください

sample.png

Google Workspace 側でアプリの設定をする

アプリおよびメタデータの登録が完了したら、シングルサインオンのテストをします。

Google Workspace で先ほど登録したアプリの詳細画面を開き、SAMLのログインをテストを押下します。

saml8.png

アクセス許可を求められるため、オン(すべてのユーザー)もしくは、組織のポリシーに合わせて適当に設定してください。
saml9.png

アクセス許可設定後に、再びSAMLのログインをテストを行い、無事にQiita TeamにログインできればGoogle Workspace側のアプリ設定は完了です。
※テストの際には、後述するQiita Team側のシングルサインオンを移行モードに設定いただく必要がございます

シングルサインオンの有効化

Qiita Team のシングルサインオン設定を開くと、シングルサインオンのモード切り替えが可能になっています。組織の

スクリーンショット 2023-10-13 19.25.56.png

シングルサインオンにおいて、各チームメンバーの Qiita Team アカウントと Google Workspace アカウント間の対応付けは、メールアドレスの一致で行われます。 各メンバーは、ログイン設定から Google Workspace アカウントと同一のメールアドレスを設定する必要があります。これをチーム全体でスムーズに行う上で、以下の二つのモードを利用することができます。

移行モード

シングルサインオンでのログインが可能かつ、従来の Qiita Team のユーザー名とパスワードや、GitHub・Twitter・Google アカウントを使ったログインも可能なモードです。このモードはシングルサインオン導入時向けのものであり、チームメンバー全員がシングルサインオンによるログインができたことを確認し次第、後述する「シングルサインオンのみ有効」モードに切り替えることをおすすめします。

シングルサインオンのみ有効

シングルサインオンのみでのログインが可能な状態です。あらかじめ「移行モード」を利用し、全メンバーがシングルサインオンが可能になったことを確認してからこのモードに切り替えることをおすすめします。このモードへ切り替える際、一度チームメンバー全員が強制的にログアウトされ、シングルサインオンによる再ログインが必要となりますのでご注意ください。

ログイン画面

シングルサインオンを有効にすると、ログイン画面が以下のように変更されます。(移行モード時)

スクリーンショット 2023-10-13 19.41.55.png


以上でシングルサインオンの設定は完了となります。

即時プロビジョニングを有効にする場合、組織内のポリシーに合わせて設定をしてください。

 

関連記事