Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
1
Help us understand the problem. What is going on with this article?
@atsumjp

oneloginをIDPにしてGCPにログイン

はじめに

oneloginをIDPにしてGCPにログインしてみます。
今回はoneloginのフリートライアルで試してみます。
https://www.onelogin.com/free-trial

設定がない状態でonelogin経由でログインすると以下の様なエラーになります。
image.png

oneloginでの設定

Appの設定

Add Appをクリックし、検索ウィンドウでGoogle Cloudと入力して検索する。
image.png

SAML2.0の方のGoogle Cloud Platformをクリックします。
image.png

ConfigurationでCloud Identityのドメインを指定します。
image.png

Assumeを許可して右上のSaveをクリックする。

image.png

右上のドロップダウンからCloud Identity側で登録するメタデータ情報をダウンロードする。

image.png

Sample

<?xml version="1.0"?>
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://app.onelogin.com/saml/metadata/xxx">
  <IDPSSODescriptor xmlns:ds="http://www.w3.org/2000/09/xmldsig#" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>xxx</ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
    </KeyDescriptor>
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://xxx"/>

      <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>

    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://xxx"/>
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxx"/>
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://xxx"/>
  </IDPSSODescriptor>
</EntityDescriptor>

Cloud Identityでの設定

Admin consoleでSecurity > Set up single sign-on (SSO) with a third party IdPをクリックする。
image.png

Set up SSO with third-party identity providerを有効化
Sign-in page URLに、先程のXMLファイルのSingleSignOnService Binding="urn:oasis:names:flag_tc:SAML:2.0:bindings:HTTP-Redirectの値を記載する
Sign-out page URLに、指定する先程のXMLファイルのSingleLogoutService Binding="urn:oasis:names:flag_tc:SAML:2.0:bindings:HTTP-Redirectの値を記載する
先程のXMLファイルの証明書情報をpemファイルとして保存して、アップロードする。

テスト

oneloginでユーザを作成する。

User>New User をクリック。
image.png

First nameとLast name、さらにEmailアドレスまたは、Usernameを入力してSave userをクリックする。
image.png

Google Cloud Platformを使用するアプリケーションとして追加する。

Applicationをクリックして、右端にある+マークをクリックする。
image.png

Google Cloud Platformを選択し、Continueをクリックする。
image.png

Emailアドレスを入力しSaveをクリックする。
image.png

ログインする

作成したUserにAssume userする。
image.png

Reasonを入力してAssumeをクリックする。

image.png

Google Cloud Platformのアイコンをクリックする。
image.png

Cloud Identity側にUserが存在しないのでエラーになる。
image.png

以下のYouTubeの動画を見る限り、Provisoning機能があるはずだが、Free trialだからなのか表示されなったので、今回は手動で作成する
image.png

以下のようにProvisoningタブが見当たらない。
image.png

Cloud Identityでユーザを作成する。

image.png

GCP ConsoleのIAM画面でAdd memberする。

image.png

再度oneloginからログインする。

Continue
image.png

Accept
image.png

Userがoneloginで指定したUserであることを確認する。
image.png

組織を選択して、GCPのリソースが操作できることを確認する。
image.png

1
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
atsumjp
Cloud Consultant, Google Cloud Professional Services. All views and opinions are my own. GCPサービスについて試してみた内容について書いていきたいと思います。 GCP<-AWS<-NetApp<-SES

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
1
Help us understand the problem. What is going on with this article?