やりたいこと
個人で契約しているAzure ADからGoogle WorkspaceへのSSOを設定したい。
公式ドキュメント
Azure AD側
※Google Workspace側はユーザー単位でSSOのON/OFFができないとあるが、
最近の機能追加により実現可能となった(後述)。
Google Workspace側
補足
自動プロビジョニングする場合はこちら。
ポイント
SAMLリクエストの発行元の確認方法
開発者ツールでAzure ADへ飛ばされるリクエストを見て、エンコードされた文字列を取得する。
(例えば)VSCodeでSAML Extensionを入れる。エディタに上記の文字列を貼り付け、
全選択→コマンドパレット→SAML: Decode and Inflate elementでAuthnRequestの中身が見える。
ProviderNameを確認し、Azure ADで設定したものと一致しているか確認する。
Logout URLは固定値を使う
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
を使う。
Azure ADで生成されるURL(Login URLと同じもの)を使うとログアウト時にエラーとなるので注意。
組織部門やグループ単位でSSOをONにするには、先に組織全体でSSOを設定する
組織向けのサードパーティ の SSO プロファイルで設定後、
セキュリティ→サードパーティのIdP による SSO→SSO プロファイルの割当の管理から
組織部門またはグループ単位での個別設定ができる。
Azure AD側に無いユーザーは特定の組織部門かグループに入れて、SSO対象外に設定して使う。