更新日: 2023 年 3 月 1 日
このドキュメントでは、Google サービスと Identity-Aware Proxy(IAP)で保護されているウェブ アプリケーションを Microsoft My Apps ポータルに追加する方法と、これらのアプリケーションで自動ログインを有効にする方法について説明します。
このドキュメントは、シングル サインオン用に Microsoft Entra ID を構成して、Cloud Identity アカウントまたは Google Workspace アカウントを Microsoft Entra ID と連携していることを前提としています。
始める前に
Cloud Identity または Google Workspace のアカウントを Microsoft Entra ID と連携させる手順が完了していることを確認してください。
ポータルからのシングル サインオンの開始
Azure AD などの外部 ID プロバイダ(IdP)による認証をサポートするため、Cloud Identity と Google Workspace はサービス プロバイダを起点とするログインを使用します。このタイプのログインでは、サービス プロバイダで認証が開始し、その後、IdP にリダイレクトされます。たとえば、次のような流れになります。
- URL またはブックマークを開いて、Google Cloud コンソールや Looker Studio などの Google サービスにアクセスします。このシナリオでは、Google とそのサービスがサービス プロバイダとして機能します。
- Google ログイン画面が開き、Google ID のメールアドレスを入力します。
- IdP として機能する Microsoft Entra ID にリダイレクトされます。
- Microsoft Entra ID にログインします。
- Microsoft Entra ID から最初にアクセスを試みた Google サービスにリダイレクトされます。
サービス プロバイダを起点とするログインの利点は、ユーザーがリンクまたはブックマークを使用して Google サービスに直接アクセスできることです。組織で Microsoft Entra ID を使用している場合は、Microsoft My Apps ポータルをこの目的に使用できます。ポータルからアプリケーションを開く必要がないため、特定のサイトをブックマークに登録しているパワーユーザーや、特定の URL を記憶しているユーザーにとって、これは便利な機能です。また、ポータルに関連アプリケーションへのリンクが表示されるので、それ以外のユーザーにとっても便利な機能です。
ただし、https://lookerstudio.google.com などのリンクを Microsoft My Apps ポータルに追加すると、サービス プロバイダ起点のログイン プロセスの欠点が明らかになります。この場合、ユーザーがポータルのリンクをクリックすると、有効な Microsoft Entra ID セッションはありますが、なお Google ログイン画面が表示され、メールアドレスの入力を求められます。この冗長なログイン プロンプトは、Google ログインが既存の Microsoft Entra ID セッションを認識していないことが原因で表示されます。
Microsoft My Apps ポータルを構成するときに特別な URL を使用することで、追加の Google ログイン プロンプトを回避できます。これらの URL には、Cloud Identity または Google Workspace アカウント ユーザーを示す情報が埋め込まれています。この追加情報により認証が自動的に行われるため、ユーザー エクスペリエンスが向上します。
Microsoft My Apps ポータルへのリンクの追加
次の表に、共通の Google サービス、それに対応する Microsoft Entra ID での名前、前のセクションで説明した SSO の実装に使用できるリンクを示します。
| Google サービス | URL | Logo |
|---|---|---|
| Google Cloud コンソール | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
 |
| Google ドキュメント | https://docs.google.com/a/DOMAIN |
 |
| Google スプレッドシート | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
 |
| Google サイト | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
 |
| Google ドライブ | https://drive.google.com/a/DOMAIN |
 |
| Gmail | https://mail.google.com/a/DOMAIN |
 |
| Google グループ | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
 |
| Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
 |
| Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
 |
Microsoft My Apps ポータルに追加する Google サービスごとに、新しいエンタープライズ アプリケーションを作成します。
- Azure ポータルで、[Microsoft Entra ID] > [エンタープライズ アプリケーション] に移動します。
- [新しいアプリケーション] をクリックします。
[独自のアプリケーションの作成] をクリックして、次のように入力します。
- アプリの名前: 上の表に示されている Google サービスの名前を入力します。
- アプリケーションで何をしたいか: [ギャラリーにない他のアプリケーションを統合(ギャラリー以外)] を選択します。
[作成] をクリックします。
[プロパティ] をクリックします。
ロゴを表のファイルに変更します。
[保存] をクリックします。
左側のメニューで、[シングル サインオン] を選択します。
[リンク済み] を選択します。
表にある URL を入力します(例:
http://docs.google.com/a/DOMAIN)。DOMAINは、Cloud Identity または Google Workspace アカウントのプライマリ ドメイン名(example.comなど)に置き換えます。[保存] をクリックします。
アプリケーションで SAML ベースの SSO を構成する必要はありません。シングル サインオンの操作はすべて、シングル サインオン用に以前に作成したアプリケーションによって処理されます。
アプリケーションをユーザーに割り当てるには、次の操作を行います。
- 左側のメニューで [プロパティ] を選択します。
- [ユーザーの割り当てが必要ですか] を [はい] に設定します。
- [保存] をクリックします。
- 左側のメニューで、[管理] > [ユーザーとグループ] をクリックします。
- [ユーザーの追加] をクリックします。
- [ユーザー] を選択します。
- プロビジョニングするユーザーまたはグループを選択します。グループを選択すると、そのグループのすべてのメンバーがプロビジョニングされます。
- [選択] をクリックします。
- [割り当て] をクリックします。
リンクが My Apps ポータルに表示されるまで数分かかる場合があります。
アクセスの制御
Microsoft Entra ID の個々のアプリケーションにユーザーとグループを割り当てると、リンクの公開設定は制御されますが、サービスへのアクセスは制御されません。ユーザーが正しい URL を開くと、ユーザーの My Apps ポータルに表示されていないサービスにアクセスできる場合があります。アクセスを許可するユーザーとグループを制御するには、Google 管理コンソールでサービスを有効または無効にする必要があります。
グループを使用すると、公開設定とアクセスを制御するプロセスを簡素化できます。
- Google サービスごとに、Microsoft Entra ID でセキュリティ グループを作成します(例:
Looker Studio users、Google Drive users)。 - 前のセクションで説明したように、グループを適切な Microsoft Entra ID エンタープライズ アプリケーションに割り当てます。たとえば、
Looker Studio usersを Looker Studio アプリケーションに割り当て、Google Drive usersを Google ドライブ アプリケーションに割り当てます。 - Cloud Identity または Google Workspace のアカウントにプロビジョニングするグループを構成します。
- 管理コンソールで、グループごとにそれぞれのサービスを有効にします。たとえば、
Looker Studio usersグループでは Looker Studio を有効にし、Google Drive usersグループでは Google ドライブを有効にします。それ以外のすべてのユーザーでサービスを無効にします。
これらのグループにメンバーを追加または削除することで、1 つの手順でアクセスと公開設定の両方を制御できるようになりました。
IAP で保護されたウェブ アプリケーション
Identity-Aware Proxy(IAP)を使用してウェブ アプリケーションを保護している場合は、アプリケーションへのリンクを Microsoft My Apps ポータルに追加して、シングル サインオンを有効にできます。
Microsoft My Apps ポータルへのリンクの追加
Microsoft My Apps ポータルにリンクを追加する手順は Google サービスの場合と同じですが、IAP で保護されたウェブ アプリケーションの URL を使用する必要があります。
Google サービスの場合と同様に、IAP で保護されたウェブ アプリケーションのリンクをクリックした後に Google ログイン画面が表示されないように設定できますが、プロセスは異なります。その場合、特別な URL を使用する代わりに、認証に常に特定の Cloud Identity または Google Workspace のアカウントを使用するように IAP を構成します。
Google Cloud コンソールで、Cloud Shell を有効にします。
環境変数を初期化します。
PRIMARY_DOMAIN=primary-domainprimary-domainは、Cloud Identity または Google Workspace アカウントのプライマリ ドメイン(example.comなど)に置き換えます。認証に常に Cloud Identity アカウントまたは Google Workspace アカウントのプライマリ ドメインを使用するように IAP に指示する、一時的な設定ファイルを作成します。
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOFプロジェクト内のすべての IAP ウェブリソースに設定を適用します。
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
一時的な設定ファイルを削除します。
rm iap-settings.yaml
アクセスの制御
Microsoft Entra ID の個々のアプリケーションにユーザーとグループを割り当てると、IAP で保護されたウェブ アプリケーションへのリンクの公開設定は制御されますが、アプリケーションへのアクセスは制御されません。アクセスを制御するには、IAP で保護されたウェブ アプリケーションの IAM ポリシーをカスタマイズする必要があります。
Google サービスの場合と同様に、グループを使用して公開設定とアクセスを制御するプロセスを簡素化できます。
- Microsoft Entra ID でアプリケーションごとにセキュリティ グループを作成します(例:
Payroll application users)。 - それぞれの Microsoft Entra ID エンタープライズ アプリケーションにグループを割り当てます。
- Cloud Identity または Google Workspace アカウントにプロビジョニングするグループを構成します。
- IAP で保護されたウェブ アプリケーションの IAM ポリシーを更新し、
Payroll application usersグループに IAP で保護されたウェブアプリ ユーザーのロールを付与します。他のユーザーのアクセスは禁止します。
Payroll application users グループにメンバーを追加または削除することで、1 つの手順でアクセスと公開設定の両方を制御できます。
次のステップ
- Google Cloud と Microsoft Entra ID の連携の詳細を学習する。
- アカウントと組織の計画に関するベスト プラクティスと、Google Cloud と外部 IdP の連携に関するベスト プラクティスを確認する。
- Identity-Aware Proxy の詳細を確認する。