Microsoft Entra ID(旧 Azure AD)のユーザー プロビジョニングとシングル サインオン

このドキュメントでは、Microsoft Entra ID(旧 Azure AD)テナントと Cloud Identity アカウントまたは Google Workspace アカウントの間でユーザー プロビジョニングとシングル サインオンを設定する方法について説明します。

このドキュメントは、Microsoft Office 365 または Microsoft Entra ID をすでに使用しており、Google Cloud で Microsoft Entra ID を使用してユーザー認証を行うことを検討している組織の方を対象としています。Microsoft Entra ID 自体がオンプレミスの Active Directory に接続しており、Entra ID 連携、パススルー認証、またはパスワード ハッシュ同期を使用している場合もあります。

目標

  • Cloud Identity または Google Workspace にユーザーとグループ(必要な場合)を自動的にプロビジョニングするように Microsoft Entra ID を設定する。
  • Microsoft Entra ID ユーザー アカウント、または Active Directory から Microsoft Entra ID にプロビジョニングされたユーザーを使用して Google Cloud にログインできるようにシングル サインオンを構成する。

費用

Cloud Identity Free Edition を使用している場合は、Microsoft Entra ID との連携を設定しても、課金対象の Google Cloud コンポーネントは使用されません。

Microsoft Entra ID を使用した場合に適用される可能性がある費用については、Microsoft Entra ID の料金ページをご覧ください。

始める前に

  • Google Cloud を Microsoft Entra ID に接続する場合と Google Cloud を Active Directory に直接接続する場合の違いを理解してください。
  • Microsoft Entra ID と Cloud Identity または Google Workspace の間で IDグループドメインをマッピングする方法を決定します。具体的には、次の質問に対する答えを明確にします。
    • ユーザーの共通 ID としてメールアドレスまたはユーザー プリンシパル名(UPN)を使用する予定はあるか。
    • グループをプロビジョニングする予定はあるか。その場合、メールアドレスと名前のどちらでグループをマッピングするか。
    • すべてのユーザーを Google Cloud にプロビジョニングするのか、それとも一部のユーザーのみをプロビジョニングするのか。
  • 本番環境の Microsoft Entra ID テナントを Google Cloud に接続する前に、Microsoft Entra ID テストテナントを使用してユーザー プロビジョニングを設定およびテストすることを検討してください。
  • まだアカウントを取得していない場合は、Cloud Identity に登録します。
  • Cloud Identity Free Edition を利用していて、プロビジョニングするユーザー数が 50 を超える場合は、サポートに連絡し、無料の Cloud Identity ユーザーの合計数を増やすようにリクエストしてください。
  • Cloud Identity に使用する予定のドメインを、従業員が一般ユーザー向けアカウントの登録に使用している可能性がある場合は、まずそれらのユーザー アカウントを移行することを検討してください。詳しくは、既存のユーザー アカウントの評価をご覧ください。

Cloud Identity アカウントまたは Google Workspace アカウントを準備する

Microsoft Entra ID のユーザーを作成する

Microsoft Entra ID が Cloud Identity アカウントまたは Google Workspace アカウントにアクセスできるようにするには、Cloud Identity アカウントまたは Google Workspace アカウントに Microsoft Entra ID のユーザーを作成する必要があります。

Microsoft Entra ID ユーザーは自動プロビジョニングのみを目的としています。そのため、これを別の組織部門(OU)に配置して、他のユーザー アカウントと分離しておくことをおすすめします。別の OU を使用すると、後でこの Microsoft Entra ID ユーザーのシングル サインオンを無効にすることもできます。

新しい OU を作成するには、次の手順を実行します。

  1. 管理コンソールを開き、Cloud Identity または Google Workspace の登録時に作成した特権管理者ユーザーを使用してログインします。
  2. メニューで、[ディレクトリ] > [組織部門] に移動します。
  3. [組織部門を作成] をクリックし、組織部門の名前と説明を入力します。
    • 名前: Automation
    • 説明: Automation users
  4. [作成] をクリックします。

Microsoft Entra ID のユーザー アカウントを作成し、Automation 組織部門に配置します。

  1. メニューで [ディレクトリ] > [ユーザー] に移動して、[新しいユーザーを追加] をクリックしてユーザーを作成します。

  2. 適切な名前とメールアドレスを次のように入力します。

    • : Microsoft Entra ID
    • : Provisioning

    • メインのメールアドレス: azuread-provisioning

      メールアドレスのプライマリ ドメインは保持します。

  3. [ユーザーのパスワード、組織部門、プロフィール写真を管理する] をクリックし、次の設定を構成します。

    • [組織部門]: 以前に作成した Automation OU を選択します。
    • [パスワード]: [パスワードを作成] を選択してパスワードを入力します。
    • 次回ログイン時にパスワードの変更を要求する: [無効] に設定します。

  4. [新しいユーザーの追加] をクリックします。

  5. [完了] をクリックします。

Microsoft Entra ID に権限を割り当てる

Microsoft Entra ID が Cloud Identity アカウントまたは Google Workspace アカウントのユーザーとグループを作成、一覧表示、一時停止できるようにするには、次のように azuread-provisioning ユーザーに追加の権限を付与する必要があります。

  • Microsoft Entra ID がすべてのユーザー(委任管理者特権管理者ユーザーを含む)を管理できるようにするには、azuread-provisioning ユーザーを特権管理者にする必要があります。

  • Microsoft Entra ID が管理者以外のユーザーのみを管理できるようにするには、azuread-provisioning ユーザーを委任管理者にすれば十分です。委任管理者は、Microsoft Entra ID で他の委任管理者や特権管理者ユーザーを管理できません。

特権管理者

azuread-provisioning ユーザーを特権管理者にするには、次の手順を実行します。

  1. 新しく作成したユーザーを一覧から見つけ、ユーザー名をクリックしてアカウント ページを開きます。
  2. [管理者のロールと権限] で、[ロールの割り当て] をクリックします。
  3. 特権管理者のロールを有効にします。
  4. [保存] をクリックします。

代理管理者

azuread-provisioning ユーザーを委任管理者にするには、新しい管理者ロールを作成してそのユーザーに割り当てます。

  1. メニューで [アカウント] > [管理者ロール] に移動します。
  2. [新しいロールを作成] をクリックします。
  3. 次のようなロールの名前と説明を入力します。
    • 名前: Microsoft Entra ID
    • 説明: Role for automated user and group provisioning
  4. [続行] をクリックします。
  5. 次の画面で、[Admin API 権限] という名前のセクションまでスクロールし、次の権限を [有効] に設定します。
    • [組織単位] > [読み取り]
    • ユーザー
    • グループ
  6. [続行] をクリックします。
  7. [ロールを作成] をクリックします。
  8. [ユーザーへの割り当て] をクリックします。
  9. azuread-provisioning ユーザーを選択して [ロールを割り当て] をクリックします。

ドメインを登録する

Cloud Identity と Google Workspace では、ユーザーとグループがメールアドレスで識別されます。したがって、ユーザーやグループのメールアドレスで使用するドメインを最初に登録して確認する必要があります。

登録する DNS ドメインのリストを準備します。

  • ユーザーを UPN でマッピングする場合、UPN で使用するすべてのドメインをリストに含めます。不明な場合は、Microsoft Entra ID テナントのすべてのカスタム ドメインを含めます。
  • ユーザーをメールアドレスでマッピングする場合、メールアドレスで使用するすべてのドメインをリストに含めます。ドメインのリストは、Microsoft Entra ID テナントのカスタム ドメインのリストとは異なる場合があります。

グループをプロビジョニングする場合は、DNS ドメインのリストを修正します。

  • グループをメールアドレスでマッピングする場合、グループのメールアドレスで使用するすべてのドメインをリストに含めます。不明な場合は、Microsoft Entra ID テナントのすべてのカスタム ドメインを含めます。
  • グループを名前でマッピングする場合は、groups.PRIMARY_DOMAIN のような専用のサブドメインを含めます。ここで、PRIMARY_DOMAIN は、Cloud Identity または Google Workspace アカウントのプライマリ ドメイン名です。

これで、DNS ドメインのリストを特定できました。不足しているドメインを登録できます。まだ登録されていない、リスト上の各ドメインについて、次の手順を行います。

  1. 管理コンソールで、[アカウント] > [ドメイン] > [ドメインの管理] に移動します。
  2. [ドメインを追加] をクリックします。
  3. ドメイン名を入力し、[セカンダリ ドメイン] を選択します。
  4. [ドメインを追加して所有権を証明] をクリックし、指示に従ってドメインの所有権を確認します。

Microsoft Entra ID のプロビジョニングを構成する

エンタープライズ アプリケーションを作成する

Microsoft Azure マーケットプレイスの Google Cloud/G Suite Connector by Microsoft ギャラリー アプリを設定して、Microsoft Entra ID を Cloud Identity アカウントまたは Google Workspace アカウントに接続する準備ができました。

ギャラリー アプリは、ユーザー プロビジョニングとシングル サインオンの両方を処理するように構成できます。このドキュメントでは、ギャラリー アプリの 2 つのインスタンスを使用します。1 つはユーザー プロビジョニング用、もう 1 つはシングル サインオン用です。

まず、ユーザー プロビジョニングを処理するギャラリー アプリのインスタンスを作成します。

  1. Azure ポータルを開き、グローバル管理者権限を持つユーザーとしてログインします。
  2. [Microsoft Entra ID] > [エンタープライズ アプリケーション] の順に選択します。
  3. [新しいアプリケーション] をクリックします。
  4. Google Cloud を検索し、結果リストで [Google Cloud/G Suite Connector by Microsoft] をクリックします。
  5. アプリケーションの名前を Google Cloud (Provisioning) に設定します。
  6. [作成] をクリックします。
  7. アプリケーションが追加されるまでに数秒かかります。追加されると、[Google Cloud (Provisioning) - Overview] というタイトルのページにリダイレクトされます。
  8. 左側のメニューで、[管理] > [プロパティ] をクリックします。
    1. [ユーザーのログインを有効にする] を [いいえ] に設定します。
    2. [割り当てが必要ですか] を [いいえ] に設定します。
    3. [ユーザーに表示しますか] を [いいえ] に設定します。
    4. [保存] をクリックします。

  9. 左側のメニューで、[管理] > [プロビジョニング] をクリックします。

    1. [開始する] をクリックします。
    2. [プロビジョニング モード] を [自動] に変更します。
    3. [管理者認証情報] > [許可] をクリックします。

    4. 前の手順で作成した azuread-provisioning@DOMAIN ユーザーを使用してログインします。ここで、DOMAIN は、Cloud Identity アカウントまたは Google Workspace アカウントのプライマリ ドメインです。

    5. このユーザーを使用してログインするのは今回が初めてのため、Google 利用規約とプライバシー ポリシーに同意するよう求められます。

    6. 利用規約に同意する場合は、[理解しました] をクリックします。

    7. [許可] をクリックして Cloud Identity API へのアクセスを確認します。

    8. [テスト接続] をクリックして、Microsoft Entra ID が Cloud Identity または Google Workspace で正常に認証されていることを確認します。

    9. [保存] をクリックします。

ユーザー プロビジョニングを構成する

ユーザー プロビジョニングを構成する正しい方法は、ユーザーのマッピングにメールアドレスと UPN のどちらを使用するかによって異なります。

UPN

  1. [マッピング] で、[Entra ID ユーザーをプロビジョニングする] をクリックします。
  2. surname 属性と givenName 属性について、次の操作を行います。
    1. [編集] をクリックします。
    2. [Default value if null] を [_] に設定します。
    3. [OK] をクリックします。
  3. [保存] をクリックします。
  4. [はい] をクリックして、変更を保存するとユーザーとグループが再同期されることを確認します。
  5. [X] をクリックして [属性のマッピング] ダイアログを閉じます。

UPN: ドメイン置換

  1. [マッピング] で、[Entra ID ユーザーをプロビジョニングする] をクリックします。

  2. userPrincipalName 属性について、次の操作を行います。

    1. [編集] をクリックします。

    2. 次のマッピングを構成します。

      • マッピングの種類:

      • :

        Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )

      次のように置き換えます。

      • DOMAIN: 置き換えるドメイン名
      • SUBSTITUTE_DOMAIN: 代わりに使うドメイン名

    3. [OK] をクリックします。

  3. surname 属性と givenName 属性について、次の操作を行います。

    1. [編集] をクリックします。
    2. [Default value if null] を [_] に設定します。
    3. [OK] をクリックします。

  4. [保存] をクリックします。

  5. [はい] をクリックして、変更を保存するとユーザーとグループが再同期されることを確認します。

  6. [X] をクリックして [属性のマッピング] ダイアログを閉じます。

メールアドレス

  1. [マッピング] で、[Entra ID ユーザーをプロビジョニングする] をクリックします。
  2. userPrincipalName 属性について、次の操作を行います。
    1. [編集] をクリックします。
    2. [ソース属性] を [メール] に設定します。
    3. [OK] をクリックします。
  3. surname 属性と givenName 属性について、次の操作を行います。
    1. [編集] をクリックします。
    2. [Default value if null] を [_] に設定します。
    3. [OK] をクリックします。
  4. [保存] をクリックします。
  5. [はい] をクリックして、変更を保存するとユーザーとグループが再同期されることを確認します。
  6. [X] をクリックして [属性のマッピング] ダイアログを閉じます。

primaryEmailname.familyNamename.givenNamesuspended のマッピングを構成する必要があります。その他の属性マッピングはすべて省略可能です。

追加の属性マッピングを構成する場合は、次の点に注意してください。

  • 現在、Google Cloud/G Suite Connector by Microsoft ギャラリーでは、メール エイリアスを割り当てることはできません。
  • 現在、Google Cloud/G Suite Connector by Microsoft ギャラリーでは、ユーザーにライセンスを割り当てることはできません。この問題を回避するには、組織部門へのライセンスの自動割り当てを設定することを検討してください。
  • ユーザーを組織部門に割り当てるには、OrgUnitPath のマッピングを追加します。パスは / の文字で始まり、既存の組織部門(/employees/engineering など)を参照している必要があります。

グループ プロビジョニングを構成する

グループ プロビジョニングを構成する正しい方法は、グループでメールが有効になっているかどうかによって異なります。グループでメールが有効になっていない場合、またはグループが末尾が「onmicrosoft.com」のメールアドレスを使用している場合は、グループの名前からメールアドレスを取得できます。

グループをマッピングしない場合

  1. [マッピング] で、[Entra ID グループをプロビジョニングする] をクリックします。
  2. [有効] を [いいえ] に設定します。
  3. [保存] をクリックします。
  4. [はい] をクリックして、変更を保存するとユーザーとグループが再同期されることを確認します。
  5. [X] をクリックして [属性のマッピング] ダイアログを閉じます。

名前

  1. [マッピング] セクションで、[Entra ID グループをプロビジョニングする] をクリックします。
  2. mail 属性について、次の操作を行います。
    1. [編集] をクリックします。
    2. 以下の設定を構成します。
      1. マッピングの種類:
      2. : Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN")GROUPS_DOMAIN を、すべてのグループ メールアドレスで使用する予定のドメインに置き換えてください(例: groups.example.com)。
      3. 対象の属性: メール
    3. [OK] をクリックします。
  3. [保存] をクリックします。
  4. [はい] をクリックして、変更を保存するとユーザーとグループが再同期されることを確認します。
  5. [X] をクリックして [属性のマッピング] ダイアログを閉じます。

メールアドレス

  • グループをメールアドレスでマッピングする場合は、デフォルト設定をそのまま使用します。

ユーザーの割り当てを構成する

ある一部のユーザーだけが Google Cloud にアクセスする必要があることがわかっている場合、特定のユーザーまたはユーザーのグループにエンタープライズ アプリを割り当てることで、プロビジョニング対象のユーザーを必要に応じて制限できます。

すべてのユーザーをプロビジョニングする場合は、次の手順をスキップできます。

  1. 左側のメニューで、[管理] > [ユーザーとグループ] をクリックします。
  2. プロビジョニングするユーザーまたはグループを追加します。グループを選択すると、そのグループのすべてのメンバーが自動的にプロビジョニングされます。
  3. [割り当て] をクリックします。

自動プロビジョニングを有効にする

次のステップでは、Cloud Identity または Google Workspace にユーザーを自動的にプロビジョニングするように Microsoft Entra ID を構成します。

  1. 左側のメニューで、[管理] > [プロビジョニング] をクリックします。
  2. [Edit provisioning] を選択します。
  3. [プロビジョニング状態] を [オン] に設定します。

  4. [設定] で、[範囲] を次のいずれかに設定します。

    1. ユーザーの割り当てを構成した場合は、[割り当てられたユーザーとグループのみを同期する] に設定します。
    2. それ以外の場合は、[すべてのユーザーとグループを同期する] に設定します。

    スコープを設定するボックスが表示されない場合は、[保存] をクリックし、ページを更新してください。

  5. [保存] をクリックします。

Microsoft Entra ID が初期同期を開始します。ディレクトリ内のユーザーとグループの数によって処理時間が変わります。完了までに数分から数時間かかることがあります。ブラウザのページを更新すると、ページの下部に同期のステータスが表示されます。メニューで [監査ログ] を選択して、同期の詳細を確認することもできます。

初期同期が完了すると、Microsoft Entra ID は Microsoft Entra ID から Cloud Identity アカウントまたは Google Workspace アカウントに定期的に更新を伝播します。Microsoft Entra ID がユーザーおよびグループの変更を処理する方法の詳細については、ユーザー ライフサイクルのマッピンググループ ライフサイクルのマッピングをご覧ください。

トラブルシューティング

5 分以内に同期が開始されない場合、次の手順に従って強制的に同期を開始できます。

  1. [Edit provisioning] をクリックします。
  2. [プロビジョニング状態] を [オフ] に設定します。
  3. [保存] をクリックします。
  4. [プロビジョニング状態] を [オン] に設定します。
  5. [保存] をクリックします。
  6. プロビジョニング ダイアログを閉じます。
  7. [プロビジョニングを再開] をクリックします。

それでも同期が開始されない場合は、[テスト接続] をクリックして、認証情報が正常に保存されていることを確認してください。

シングル サインオン用に Microsoft Entra ID を構成する

これで、該当するすべての Microsoft Entra ID ユーザーが Cloud Identity または Google Workspace に自動的にプロビジョニングされるようになりました。ただし、まだこれらのユーザーを使用してログインすることはできません。ユーザーがログインできるようにするには、シングル サインオンを構成する必要があります。

SAML プロファイルを作成する

Microsoft Entra ID でシングル サインオンを構成するには、まず Cloud Identity アカウントまたは Google Workspace アカウントで SAML プロファイルを作成します。SAML プロファイルには、Microsoft Entra ID テナントに関連する設定(URL や署名証明書など)が含まれています。

SAML プロファイルは後で特定のグループまたは組織部門に割り当てます。

Cloud Identity または Google Workspace のアカウントに新しい SAML プロファイルを作成するには、次の操作を行います。

  1. 管理コンソールで、[サードパーティの IdP による SSO] に移動します。

    [サードパーティの IdP による SSO] に移動

  2. [サードパーティの SSO プロファイル] > [SAML プロファイルを追加] をクリックします。

  3. [SAML SSO プロファイル] ページで、次の設定を行います。

    • 名前: Entra ID
    • IDP エンティティ ID: 空欄のままにします
    • ログインページの URL: 空欄のままにします
    • ログアウト ページの URL: 空欄のままにします
    • パスワード変更用 URL: 空欄のままにします

    まだ確認証明書をアップロードしないでください。

  4. [保存] をクリックします。

    表示される [SAML SSO プロファイル] ページには、次の 2 つの URL が含まれています。

    • エンティティ ID
    • ACS の URL

    これらの URL は、次のセクションで Microsoft Entra ID を構成するときに必要になります。

Microsoft Entra ID アプリケーションを作成する

シングル サインオンを処理するために 2 つ目のエンタープライズ アプリケーションを作成します。

  1. Azure portal で、[Microsoft Entra ID] > [エンタープライズ アプリケーション] に移動します。
  2. [新しいアプリケーション] をクリックします。
  3. Google Cloud を検索し、結果リストで [Google Cloud/G Suite Connector by Microsoft] をクリックします。
  4. アプリケーションの名前を Google Cloud に設定します。

  5. [作成] をクリックします。

    アプリケーションが追加されるまでに数秒かかります。追加されると、[Google Cloud - Overview] というタイトルのページにリダイレクトされます。

  6. 左側のメニューで、[管理] > [プロパティ] をクリックします。

  7. [ユーザーのログインが有効になっていますか] を [はい] に設定します。

  8. すべてのユーザーがシングル サインオンを使用することを許可する場合を除き、[ユーザーの割り当てが必要ですか] を [はい] に設定します。

  9. [保存] をクリックします。

ユーザーの割り当てを構成する

ある一部のユーザーだけが Google Cloud にアクセスする必要があることがわかっている場合、特定のユーザーまたはユーザーのグループにエンタープライズ アプリを割り当てることで、ログインを許可するユーザーを必要に応じて制限できます。

前の手順で [ユーザーの割り当てが必要ですか] を [いいえ] に設定した場合は、次の手順をスキップできます。

  1. 左側のメニューで、[管理] > [ユーザーとグループ] をクリックします。
  2. シングル サインオンを許可するユーザーまたはグループを追加します。
  3. [割り当て] をクリックします。

シングル サインオンを有効にする

Cloud Identity で認証に Microsoft Entra ID を使用できるようにするには、いくつかの設定を調整する必要があります。

  1. 左側のメニューで、[管理] > [シングル サインオン] をクリックします。
  2. 選択画面で、[SAML] カードをクリックします。
  3. [基本的な SAML 構成] カードで、[ 編集] をクリックします。

  4. [基本的な SAML 構成] ダイアログで、以下の設定を入力します。

    1. 識別子(エンティティ ID):
      • SSO プロファイルのエンティティ URL を追加し、[デフォルト] を [有効] に設定します。
      • 他のエントリはすべて削除します。
    2. 応答 URL: SSO プロファイルの ACS URL を追加します。

    3. ログイン URL:

      https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/

      PRIMARY_DOMAIN は、Cloud Identity アカウントまたは Google Workspace アカウントで使用されているプライマリ ドメイン名に置き換えます。

  5. [保存] をクリックし、[X] をクリックしてダイアログを閉じます。

  6. [SAML 署名証明書] カードで、[証明書(Base 64)] というラベルが付いたエントリを見つけて [ダウンロード] をクリックし、その証明書をローカル コンピュータにダウンロードします。

  7. [Google Cloud の設定] カードに、次の 2 つの URL が表示されます。

    • ログイン URL
    • Microsoft Entra ID 識別子

    次のセクションで SAML プロファイルを作成する際に、これらの URL が必要になります。

残りの手順は、ユーザーのマッピングにメールアドレスか UPN のどちらを使用するかによって異なります。

UPN

  1. [ユーザー属性とクレーム] カードで [編集] をクリックします。

  2. [Additional claims] で表示されているすべてのクレームを削除します。レコードを削除するには、[] ボタンをクリックして [削除] を選択します。

    属性とクレームのリストは次のようになります。

    [ユーザー属性とクレーム] ダイアログ

  3. [X] をクリックしてダイアログを閉じます。

UPN: ドメイン置換

  1. [ユーザー属性とクレーム] カードで [ 編集] をクリックします。

  2. [Additional claims] で表示されているすべてのクレームを削除します。レコードを削除するには、[] ボタンをクリックして [削除] を選択します。

    属性とクレームのリストは次のようになります。

    [ユーザー属性とクレーム] ダイアログ

  3. [ユニーク ユーザー ID(名前 ID)] をクリックして、クレーム マッピングを変更します。

  4. [ソース] を [変換] に設定し、次の変換を構成します。

    • 変換: ExtractMailPrefix()
    • パラメータ 1: user.userPrincipalName

  5. [Add transformation] を選択して、次の変換を構成します。

    • 変換: Join()
    • Separator: @
    • パラメータ 2: 代替ドメイン名を入力します。

    ユーザー プロビジョニングとシングル サインオンには、同じ代替ドメイン名を使用する必要があります。ドメイン名が一覧にない場合は、最初に確認する必要がある場合があります。

  6. [追加] をクリックします。

  7. [保存] をクリックします。

  8. [X] をクリックしてダイアログを閉じます。

メールアドレス

  1. [ユーザー属性とクレーム] カードで [ 編集] をクリックします。
  2. [Unique User Identifier (Name ID)] という行を選択します。
  3. [ソース属性] を [user.mail] に変更します。
  4. [保存] をクリックします。

  5. [Additional claims] で表示されているすべてのクレームを削除します。すべてのレコードを削除するには、[] をクリックして、[削除] をクリックします。

    [ユーザー属性とクレーム] ダイアログ

  6. [] をクリックしてダイアログを閉じます。

SAML プロファイルを入力する

SAML プロファイルの構成を完了します。

  1. 管理コンソールに戻り、[セキュリティ] > [認証] > [サードパーティの IdP による SSO] に移動します。

    [サードパーティの IdP による SSO] に移動

  2. 先ほど作成した Entra ID SAML プロファイルを開きます。

  3. [IDP の詳細] セクションをクリックして設定を編集します。

  4. 次の設定を入力します。

    • IDP エンティティ ID: Azure Portal の [Google Cloud を設定] カードに示されている Microsoft Entra 識別子を入力します。
    • [ログインページの URL]: Azure ポータルの [Google Cloud の設定] カードに示されていたログイン URL の値を入力します。
    • ログアウト ページの URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
    • パスワード変更用 URL: https://account.activedirectory.windowsazure.com/changepassword.aspx

  5. [認証の確認] で [証明書をアップロード] をクリックし、前にダウンロードしたトークン署名証明書を選択します。

  6. [保存] をクリックします。

Microsoft Entra ID トークン署名証明書は一定期間有効です。期限が切れる前に証明書をローテーションする必要があります。詳細については、このドキュメントの後半に記載されているシングル サインオン証明書をローテーションするをご覧ください。

SAML プロファイルは完成しましたが、引き続き完成したプロファイルを割り当てる必要があります。

SAML プロファイルを割り当てる

新しい SAML プロファイルを適用するユーザーを選択します。

  1. 管理コンソールの [サードパーティの IdP による SSO] ページで、[SSO プロファイルの割り当ての管理] > [管理] をクリックします。

    [SSO プロファイルの割り当ての管理] に移動します

  2. 左側のペインで、SSO プロファイルを適用するグループまたは組織部門を選択します。すべてのユーザーにプロファイルを適用するには、ルート組織部門を選択します。

  3. 右側のペインで [別の SSO プロファイル] を選択します。

  4. メニューで、先ほど作成した Entra ID - SAML SSO プロファイルを選択します。

  5. [保存] をクリックします。

SAML プロファイルを別のグループまたは組織部門に割り当てるには、前述の手順を繰り返します。

Automation OU の SSO 設定を更新して、シングル サインオンを無効にします

  1. 左側のペインで、Automation OU を選択します。
  2. 右側のペインで [なし] を選択します。
  3. [オーバーライド] をクリックします。

省略可: ドメイン固有サービスの URL のリダイレクトを構成する

内部ポータルまたはドキュメントから Google Cloud コンソールにリンクする場合は、ドメイン固有のサービス URL を使用してユーザー エクスペリエンスを向上させることができます。

通常のサービス URL(https://console.cloud.google.com/ など)とは異なり、ドメイン固有のサービス URL にはプライマリ ドメインの名前が含まれます。認証されていないユーザーがドメイン固有のサービス URL へのリンクをクリックすると、最初に Google ログインページが表示されるのではなく、直ちに Entra ID にリダイレクトされます。

ドメイン固有のサービスの URL の例を次に示します。

Google サービス URL Logo
Google Cloud コンソール https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Google Cloud ロゴ
Google ドキュメント https://docs.google.com/a/DOMAIN Google ドキュメントのロゴ
Google スプレッドシート https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Google スプレッドシートのロゴ
Google サイト https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Google サイトのロゴ
Google ドライブ https://drive.google.com/a/DOMAIN Google ドライブのロゴ
Gmail https://mail.google.com/a/DOMAIN Gmail のロゴ
Google グループ https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Google グループのロゴ
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Google Keep のロゴ
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Looker Studio のロゴ

ドメイン固有のサービス URL を Entra ID にリダイレクトするように構成するには、次の手順を行います。

  1. 管理コンソールの [サードパーティの IdP による SSO] ページで、[ドメイン固有のサービスの URL] > [編集] をクリックします。

    [ドメイン固有のサービスの URL] に移動

  2. [ユーザーを以下の SSO プロファイルに含まれるサードパーティ IdP に自動的にリダイレクトする] を [有効] に設定します。

  3. [SSO プロファイル] を Entra ID に設定します。

  4. [保存] をクリックします。

省略可: ログイン時の本人確認を構成する

Google ログインでは、不明なデバイスからユーザーがログインした場合や、他の理由でログイン試行に不審な点がある場合に、追加の確認を求められる可能性があります。このようなログイン時の本人確認は、セキュリティの向上に役立つため、ログイン時の本人確認を有効のままにしておくことをおすすめします。

ログイン時の本人確認が原因でログインに過剰な時間を要する場合は、次の手順でログイン時の本人確認を無効にできます。

  1. 管理コンソールで、[セキュリティ] > [認証] > [ログイン時の本人確認] に移動します。
  2. 左側のペインで、ログイン時の本人確認を無効にする組織部門を選択します。すべてのユーザーのログイン時の本人確認を無効にするには、ルート組織部門を選択します。
  3. [他の SSO プロファイルを使用してログインするユーザーの設定] で、[Google による追加の確認をユーザーに要求しない] を選択します。
  4. [保存] をクリックします。

シングル サインオンをテストする

これで、Microsoft Entra ID と Cloud Identity または Google Workspace の両方でシングル サインオンの構成が完了しました。Google Cloud には、次の 2 つの方法でアクセスできます。

2 番目のオプションが意図したとおりに機能することを確認するには、次のテストを行います。

  1. Cloud Identity または Google Workspace にプロビジョニングされ、特権管理者権限が割り当てられていない Microsoft Entra ID ユーザーを選択します。特権管理者権限を持つユーザーは常に Google 認証情報を使用してログインする必要があるため、シングル サインオンのテストには適していません。
  2. 新しいブラウザ ウィンドウを開き、https://console.cloud.google.com/ に移動します。

  3. 表示される Google ログインページで、ユーザーのメールアドレスを入力し、[次へ] をクリックします。ドメイン置換を使用する場合は、ドメイン置換が適用されているメールアドレスを入力する必要があります。

    Google ログイン ダイアログ

  4. Microsoft Entra ID にリダイレクトされ、別のログイン プロンプトが表示されます。ユーザーのメールアドレス(ドメイン置換が適用されていないもの)を入力し、[次へ] をクリックします。

    Microsoft Entra ID のログイン ダイアログ。

  5. パスワードを入力すると、ログイン状態を維持するかどうか選択するよう求められます。今回は、[いいえ] を選択します。

    認証に成功すると、Microsoft Entra ID によって Google ログインにリダイレクトされます。このユーザーを使用してログインするのは今回が初めてのため、Google 利用規約とプライバシー ポリシーに同意するよう求められます。

  6. 利用規約に同意する場合は、[理解しました] をクリックします。

    Google Cloud コンソールにリダイレクトされ、設定を確認して Google Cloud 利用規約に同意するよう求められます。

  7. 利用規約に同意する場合は、[はい] を選択し、[同意して続行] をクリックします。

  8. ページの左上にあるアバター アイコンをクリックしてから、[ログアウト] をクリックします。

    Microsoft Entra ID ページにリダイレクトされ、正常にログアウトされたことを確認します。

特権管理者権限を持つユーザーはシングル サインオンから除外されるため、管理コンソールを使用して設定を確認または変更できます。

シングル サインオン証明書をローテーションする

Microsoft Entra ID トークン署名証明書は数か月間のみ有効です。期限が切れる前に証明書を置き換える必要があります。

署名証明書をローテーションするには、Microsoft Entra ID アプリケーションに証明書を追加します。

  1. Azure portalで、[Microsoft Entra ID] > [エンタープライズ アプリケーション] に移動し、シングルサインオン用に作成したアプリケーションを開きます。
  2. 左側のメニューで、[管理] > [シングル サインオン] をクリックします。

  3. [SAML 署名証明書] カードで、 [編集] をクリックします。

    証明書のリストが表示されます。1 つの証明書が有効とマークされます。

  4. [新しい証明書] をクリックします。

  5. デフォルトの署名設定はそのままにして、[保存] をクリックします。

    証明書が証明書リストに追加され、無効とマークされます。

  6. 新しい証明書を選択して、 > [Base64 certificate download] をクリックします。

    ブラウザ ウィンドウは開いたままにして、ダイアログを閉じないでください。

新しい証明書を使用する手順は次のとおりです。

  1. ブラウザのタブまたはウィンドウを新たに開きます。

  2. 管理コンソールを開いて、[サードパーティの IdP による SSO] に移動します。

    [サードパーティの IdP による SSO] に移動

  3. Entra ID SAML プロファイルを開きます。

  4. [IDP の詳細] をクリックします。

  5. [別の証明書をアップロードする] をクリックし、先ほどダウンロードした新しい証明書を選択します。

  6. [保存] をクリックします。

  7. Microsoft Entra ID ポータルの [SAML 署名証明書] ダイアログに戻ります。

  8. 新しい証明書を選択して、 > [Make certificate active] をクリックします。

  9. [はい] をクリックして証明書を有効にします。

    これで、Microsoft Entra ID で新しい署名証明書が使用されるようになりました。

  10. SSO が想定どおりに動作することをテストします。詳しくは、シングル サインオンのテストをご覧ください。

古い証明書を削除する手順は次のとおりです。

  1. 管理コンソールと Entra ID SAML プロファイルに戻ります。
  2. [IDP の詳細] をクリックします。
  3. [確認証明書] で、証明書の有効期限を比較して古い証明書を見つけ、 をクリックします。
  4. [保存] をクリックします。

クリーンアップ

このチュートリアルで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、リソースを含むプロジェクトを削除するか、プロジェクトを維持して個々のリソースを削除します。

Cloud Identity アカウントまたは Google Workspace アカウントでシングル サインオンを無効にするには、次の手順に沿って操作します。

  1. 管理コンソールで、[SSO プロファイルの割り当ての管理] に移動します。

    [SSO プロファイルの割り当ての管理] に移動

  2. プロファイルの割り当てごとに、次の操作を行います。

    1. プロファイルを開きます。
    2. [継承] ボタンが表示されている場合は、[継承] をクリックします。[継承] ボタンが表示されない場合は、[なし] を選択して [保存] をクリックします。

  3. [サードパーティの IdP による SSO] ページに戻り、[Microsoft Entra ID] SAML プロファイルを開きます。

  4. [削除] をクリックします。

Microsoft Entra ID のシングル サインオンとプロビジョニングの設定を削除するには、次の手順を行います。

  1. Azure portal で、[Microsoft Entra ID] > [エンタープライズ アプリケーション] に移動します。
  2. アプリケーションのリストから、[Google Cloud] を選択します。
  3. 左側のメニューで、[管理] > [シングル サインオン] をクリックします。
  4. [削除] をクリックします。
  5. [はい] をクリックして削除を確定します。

次のステップ