コンテンツに移動
セキュリティ & アイデンティティ

Google Cloud と Google Workspace が複数の ID プロバイダでのシングル サインオンをサポート

2022年8月18日
https://storage.googleapis.com/gweb-cloudblog-publish/images/multi-IdP_SSO.max-2600x2600_YT2Lzy4.jpg
Google Cloud Japan Team

※この投稿は米国時間 2022 年 8 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。

Google はインターネット上で最大の ID プロバイダの一つです。ユーザーは、Google のサービスだけでなく、サードパーティのアプリやサービスへのログインにも Google の ID システムを利用しています。企業向けには、Google は管理対象の Google アカウントを提供しており、これは Google Workspace、Google Cloud、BeyondCorp Enterprise のアクセスに使用できます。本日は、これらの組織アカウントで、複数のサードパーティの ID プロバイダ(IdP)によるシングル サインオン(SSO)のサポートが開始されたことをお知らせいたします。こちらは直ちに一般提供されます。これにより、お客様は既存の ID システムを使用して Google のサービスをさらに簡単に利用できるようになります。

Google は以前からお客様にデジタル ID プロバイダの選択肢を提供しています。これまで 10 年以上にわたり、SAML プロトコル経由での SSO をサポートしてきました。現在、Google Cloud のお客様は SAML 2.0 プロトコルでユーザー用に単一の ID プロバイダを有効にすることができますが、このリリースでは、1 つではなく複数の SAML ベースの ID プロバイダをサポートすることで、SSO 機能を大幅に強化します。

複数の ID プロバイダのサポートが求められるビジネスケース

お客様が複数のサードパーティ ID プロバイダと ID を連携させる理由はさまざまです。多くの場合、合併と買収の結果、あるいは企業部門や子会社間での IT 戦略の違いにより、複数の ID プロバイダが利用されます。Google が複数の ID プロバイダをサポートすることで、さまざまな組織のユーザー全員が、コストと時間のかかる移行を行うことなく Google Cloud を使用できるようになります。

さらに、一般的になりつつあるユースケースとして、データ主権が挙げられます。特定の法令適用地域にいる従業員のデータを保存する必要がある企業は、異なる ID プロバイダの使用を求められる場合があります。

複数の ID プロバイダのサポートが必要となるもう一つの一般的なユースケースとしては、移行があります。今回のリリースによって、組織は新しい ID プロバイダに移行する際、移行期間中に以前のシステムをアクティブに保つことができるようになります。

ロサンゼルス市を担当する Google チーム マネージャーの Nima Asgari は次のように述べています。「ロサンゼルス市は、市内の全職員を含む統一ディレクトリを立ち上げようとしています。『One Digital City』として知られるこのディレクトリは、ロサンゼルス市のシステムに優れたセキュリティと、認証、承認、ディレクトリ情報の単一ソースを提供します。米国第 2 の都市によりハイブリッドなテレワーカーにとって重要な時期にリリースされるこのディレクトリは、Google ドキュメント、スプレッドシート、スライド、フォーム、Google サイトをベースとした標準のコラボレーション プラットフォームを実現します。Google Cloud の複数 ID プロバイダのサポートにより、貴重なスタッフの時間とインフラストラクチャ費用をかけて多数のカスタム ソリューションを作成する必要がなくなりました。」

仕組み

新しい ID 連携機能を使用するには、Google Cloud 管理者はまず Google Cloud 管理コンソールで 1 つ以上の ID プロバイダ プロファイルを構成する必要があります。Google は最大 100 のプロファイルをサポートします。プロファイルの作成には、ログイン URL や X.509 証明書など、お客様の ID プロバイダからの情報が必要です。作成したプロファイルは、組織のルートレベルまたは任意の組織部門(OU)に割り当てることができ、OU のオーバーライドとしてグループに割り当てることもできます。サードパーティの IdP ではなく、Google のユーザー名とパスワードでログインするように組織部門またはグループを構成することも可能です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/sso_idp.max-1500x1500.jpg

サードパーティの IdP を使用して SSO を構成する方法について詳しくは、こちらのドキュメントをご覧ください

OpenID Connect(OIDC)サポートを準備中

現在、SSO では一般的に使用されている SAML 2.0 プロトコルをサポートしていますが、今年後半には OIDC の追加を予定しています。OIDC は個人と企業の両方の SSO で使用が広がっており、このサポートにより、Google Cloud のお客様は組織の必要性に応じて最適なプロトコルを選択できるようになります。OIDC は今回リリースされる複数 IdP のサポートと連携して機能し、管理者は SAML と OIDC 両方を使用して IdP を構成できます。


- Google Workspace ID、プロダクト マネージャー Matthew Soldo
投稿先