IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MS365&Entra > 【Microsoft Entra ID⇒Google WS】SSO設定1(OIDC)
最終更新日

【Microsoft Entra ID⇒Google WS】SSO設定1(OIDC)

MS365&Entra インフラ

Microsoft Entra ID ⇒ Google Workspace SSO設定1

Microsoft社が提供するクラウドベースの認証サービス「Microsoft Entra ID」のアプリケーション統合の機能である、シングルサインオン(SSO)の設定例を紹介します。
これにより、Microsoft Entra IDのマイアプリ画面から他のアプリへアクセスする際、他のアプリのパスワードを使用せずに認証を通すことができます。
他のアプリの例としてGoogle Workspaceを使用し、認証方式は第1回(この記事)はOIDC(Open ID Connect)、第2回はSAML(Security Assertion Markup Language)を取り上げます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft Entra ID P1(試用版)
  • 対象アプリ:Google Workplace Business Starter(試用版)

 

 

Google WS 試用開始(参考)

今回、SSOの対象アプリとしてGoogle Workspaceを使用します。参考まで、14日間の試用版を使ったサインアップ手順を簡単に紹介します。


申込画面でプランを選択します(この例ではStarter)。会社名等を入力し、[次へ]を選択します。

図表1-1 Google WS 試用開始(申込開始)

図表1-1 Google WS 試用開始(申込開始)

 

Microsoftシステム管理者の連絡先を入力し、[次へ]を選択します。
[はい、このメールアドレスを使用します]を選択します。

図表1-2 Google WS 試用開始(メールアドレス)

図表1-2 Google WS 試用開始(メールアドレス)

 

図表1-2で指定したメールアドレス宛に6桁コードが送付されていますので、それを入力して[所有権を証明]を選択します。
Google Workspaceのユーザー名(Entra IDと同じ値にすること)とパスワードを入力し、ロボットによる操作でないことを示し、[同期して続行]を選択します。

図表1-3 Google WS 試用開始(確認コード,ログイン情報)

図表1-3 Google WS 試用開始(確認コード,ログイン情報)

 

名前と住所、メインの連絡先、支払い方法を入力し、[同意して続行]を選択します。
この画面上は支払い方法の値を省略していますが、試用段階でも入力は必要です。また、試用期間中にキャンセルすれば料金はかかりません

図表1-4 Google WS 試用開始(支払情報)

図表1-4 Google WS 試用開始(支払情報)

 

宣伝メッセージが表示された場合、[今回はスキップ]を選択します。
初期設定ウィザードが表示されますが、今回はSSOに関連する設定のみ行うため、ウィザードに基づく設定は行わず、[完了]を選択します。

図表1-5 Google WS 試用開始(セットアップ)

図表1-5 Google WS 試用開始(セットアップ)

 

[お支払い情報を設定する]画面で[完了]を選択します。
[新しいアカウントへようこそ]画面で[理解しました]を選択します。

図表1-6 Google WS 試用開始(セットアップ完了)

図表1-6 Google WS 試用開始(セットアップ完了)

 

左メニューの [アカウント>ドメイン>ドメインの管理]を選択し、[ドメイン所有権の証明]を選択します。

図表1-7 ドメイン所有権の証明へ

図表1-7 ドメイン所有権の証明へ

 

SSOでSAMLを使用する場合(第2回で実施)、Microsoft Entra IDのテナント作成時と同様、使用ドメインのTXTレコードの設定が必要となりますので、ここで設定します。
[同意して続行]を選択します。

図表1-8 ドメイン所有権の証明(設定開始)

図表1-8 ドメイン所有権の証明(設定開始)

 

画面のTXT追加手順に従い、ドメインプロバイダーの管理画面にてTXTレコードを追加し、[ドメインの所有権を証明]を選択します。
なお、以前の記事でお名前.comを使ったカスタムドメインのTXTレコード追加手順を紹介しています。よろしければ参考にしてください。

図表1-9 ドメイン所有権の証明(TXTレコード追加)

図表1-9 ドメイン所有権の証明(TXTレコード追加)

 

[ドメインに加えた更新を…]画面が表示されたら、[確認]を選択します。
[ドメインxxxxの所有権の確認が完了しました]画面が表示されたら、[GMAILの有効化開始]を選択します(この例ではGMAILは使わないのですが、これしか選択できないので)。

図表1-10 ドメイン所有権の証明(セットアップ)

図表1-10 ドメイン所有権の証明(セットアップ)

 

初期設定を促されますが、途中でキャンセルできるところでキャンセルし、 Google Workspace管理画面に戻ります。

図表1-11 ドメイン所有権の証明(セットアップ完了)

図表1-11 ドメイン所有権の証明(セットアップ完了)

 

Google WS OIDC設定

ここからが本題のOIDCの設定となります。


Google Workspace管理画面の左メニューの[すべてを表示]を選択します。
左メニューの[セキュリティ>認証>サードパーティのIdPによるSSO]を選択し、[SSOプロファイルの割り当ての管理]の[使ってみる]を選択します。

図表2-1 Google WS OIDC設定(設定メニューへ)

図表2-1 Google WS OIDC設定(設定メニューへ)

 

[別のSSOファイル]を選択し、[Microsoft -OIDC]を選択し、[承認して保存]を選択します。

図表2-2 Google WS OIDC設定(MS-OIDC選択)

図表2-2 Google WS OIDC設定(MS-OIDC選択)

 

[組織の代理として同意する]にチェックをつけ、[承諾]を選択します。

図表2-3 Google WS OIDC設定(承諾)

図表2-3 Google WS OIDC設定(承諾)

 

Google Workspace側の設定はこれで完了です。

図表2-4 Google WS OIDC設定(セットアップ完了)

図表2-4 Google WS OIDC設定(セットアップ完了)

 

Entra管理C OIDC設定

WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[ID>アプリケーション>エンタープライズアプリケーション]を選択し、サブメニューの[すべてのアプリケーション]を選択します。
前の工程で設定したGoogle Workspaceが表示されますので、これを選択します。

図表3-1 Entra管理センターでエンタープライズアプリへ

図表3-1 Entra管理センターでエンタープライズアプリへ

 

Google Workspaceを使用するメンバーを追加します。これにより、追加したメンバーのマイアプリ画面にこのアプリが表示されるようになります。
サブメニューの[ユーザーとグループ]を選択します。

図表3-2 Entra OIDC設定(ユーザーとグループへ)

図表3-2 Entra OIDC設定(ユーザーとグループへ)

 

[ユーザーまたはグループの追加]を選択します。
[ユーザーとグループ]の[選択されていません]を選択します。

図表3-3 Entra OIDC設定(ユーザーとグループの追加へ)

図表3-3 Entra OIDC設定(ユーザーとグループの追加へ)

 

この例ではアプリを組織内のメンバが使用することとし、internal_membersグループに割り当てました。
なお、システム管理者は前の画面で割当済でしたので、ここでは選択していません。

図表3-4 Entra OIDC設定(ユーザーとグループの追加)

図表3-4 Entra OIDC設定(ユーザーとグループの追加)

 

Microsoft Entra ID側の設定はこれで完了です。

図表3-5 Entra OIDC設定(ユーザーとグループの追加完了)

図表3-5 Entra OIDC設定(ユーザーとグループの追加完了)

 

一点補足します。
同じサブメニューの[サインインログ]より、OIDCを設定したアプリのサインインをログを確認できます。次の工程でマイアプリ画面からのアクセスを試しますが、そのログもここに出力されます。

図表3-6 Entra OIDCによるサインインログの確認方法

図表3-6 Entra OIDCによるサインインログの確認方法

 

マイアプリからのOIDC動作確認

Microsoft Entraにサインインし直し、Webブラウザーからマイアプリ画面にアクセスし、[Google Workspace]を選択します。

*この例ではシステム管理者のアカウントを使用しています

図表4-1 動作確認(マイアプリからのアクセス)

図表4-1 動作確認(マイアプリからのアクセス)

 

ユーザー名(メールアドレス)を入力し、[次へ]を選択します。

図表4-2 動作確認(メールアドレス入力)

図表4-2 動作確認(メールアドレス入力)

 

パスワードを入力することなく、Google Workspaceにアクセスできました。

図表4-3 動作確認(Googleへのアクセス成功)

図表4-3 動作確認(Googleへのアクセス成功)

 

次の記事(SAMLの設定方法)に続きます。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com

 

当ブログ内の関連記事

elmgrn.hatenablog.com