Google WorkSpaceでのSAML認証設定

Google WorkSpaceのSAMLアプリとして、learningBOXを登録する方法についてご説明します。

設定の流れ

1. Google WorkSpaceの管理コンソールにログインし、「アプリ」の項目を選択します。

2.「SAMLアプリ」を選択して、右下の「＋」アイコンをクリックします。

3.「＋」アイコンをクリックすると、SAMLアプリのセットアップウィザードが表示されます。
　画面下の「カスタムアプリのセットアップ」を選択してください。

4.SPであるlearningBOX側の設定

GoogleのIdP情報が表示されるので、これをlearningBOX側のSAML詳細設定画面に入力します。
サイトカスタマイザーの「基本設定」＞「外部システムとの連携」＞「SAMLの利用」を選択し、「SAMLの利用」をOnにしてください。
「SSOのURL」を「HTTP-POST URL」に、
「エンティティID」を「Issure URL (IdP Entity ID)」に入力し、
ダウンロードした証明書を「X509Certificate」に貼り付けます。
設定が完了したら、保存してください。

5.Idpである Google WorkSpace側の設定

まずは、SAMLアプリの基本情報を入力します。
「次へ」を押して、基本情報の入力画面に進んでください。

アプリケーション名には「learningBOX」、ロゴ画像にはlearningBOX等の画像を設定してください。

続いて、learningBOXの各種情報を入力します。

learningBOX側で、サイトカスタマイザーの「基本設定」＞「外部システムとの連携」＞「SAMLの利用」を選択し、「SP（learningBOX）の設定情報」のタブを開くと、learningBOXの情報が表示されます。
「ACS URL」に「learningBOXのACS URL」、
「エンティティID」に「learningBOXのエンティティID」、
「開始URL」に「learningBOXのLogin URL」を入力してください。
署名付き応答に✔を入れ、名前IDは「基本情報-メインのメールアドレス」を選択し、名前 ID の書式は「UNSPECIFIED」を選択してください。

6.属性のマッピング
learningBOXではユーザーのメールアドレスとドメイン情報を基にアカウントを紐づけますので、特段の設定は不要です。
「完了」をクリックしてください。

これで Google WorkSpaceのログイン画面にリダイレクトされ、SAML認証が有効化されます。
しかし、この時点ではlearningBOXのSAML認証を利用できるのは、オーナー管理者に限定されます。
他のユーザーに対してもSAML認証を有効にするには、SAMLアプリの設定から「サービスを編集」をクリックし、サービスのステータスを希望する対象に変更してください。

変更後は、learningBOXの専用ページからログインできます。
また Google WorkSpaceのアプリ画面からもシングルサインオンが可能です。

 Google WorkSpaceのSAML認証を有効化している場合

 Google WorkSpaceのSAML認証を有効化している場合は、Googleアカウント認証のトグルはOffにして、SAMLのトグルだけOnにするようにお願いします。