LoginSignup
14
9

More than 1 year has passed since last update.

AzureAdvent Calendar 2020Day 24
@yuiashikaga(Yui Ashikaga)

Google Workspace を IdP とし、Azure AD にサインイン(SSO)する

Last updated at Posted at 2020-12-23

はじめに

Azure Active Directory(Azure AD)とGoogle Workspace(旧GSuite)のアカウント連携を調べると、
「Azure ADをIdPとし、Google Workspaceにサインイン(SSO)する」というドキュメントがほとんどです。

※ちなみに上記パターンの設定手順を一つ一つ詳細に解説したおすすめ記事はこちら
https://qiita.com/Shinya-Yamaguchi/items/f90a70a035c243b25e9d

じゃあ逆のパターン「Google WorkspaceをIdPとし、Azure ADにサインイン(SSO)する」はどうやって設定するの?ということで試してみました。

設定方法

今回はAzure AD B2Bの直接フェデレーションを使用して、Google WorkspaceとSAML 連携を行います。
直接フェデレーションは2020年12月現在でプレビュー機能となります。
詳細については下記のドキュメントを参照してください。
https://docs.microsoft.com/ja-jp/azure/active-directory/external-identities/direct-federation

作業概要および前提条件

  1. SAML メタデータの取得(Google Workspace側)
  2. 直接フェデレーションの設定(Azure AD側)
  3. SAML アプリケーション設定(Google Workspace側)
  4. ゲストユーザーの招待(Azure AD側)
  5. 動作確認

※Google Workspaceの契約は終了し管理者権限を保持していることが前提

SAML メタデータの取得(Google Workspace側)

  1. Google Workspaceの管理者ページ (https://admin.google.com) にログインし、「セキュリティ」⇒「SAML アプリケーションに対するシングル サインオン(SSO)の設定」に進む
    googleadmin1.png
    googleadmin2.png

  2. 画面下の「メタデータをダウンロード」をクリックし、SAML メタデータ(GoogleIDPMetadata.xml)をローカルに保存する
    googleadmin3.png

直接フェデレーションの設定(Azure AD側)

  1. Azure AD ポータル (https://aad.portal.azure.com/) にログインし、「Azure Active Directory」⇒「External Identities」⇒「すべての ID プロバイダー」に進み、「新しい SAML/WS-Fed IdP」をクリックする
    azuread1.png
    azuread2.png
    azuread3.png

  2. 新しい SAML/WS-Fed IdP登録画面にて、以下の情報を入力および選択し「保存」をクリックする

  • ID プロバイダー プロトコル:「SAML」を選択する
  • フェデレーション IdP のドメイン名:Google Workspaceに登録したドメイン名を入力する
  • メタデータを設定する方法を選択します:「メタデータファイルの解析」を選択する
  • メタデータ ファイル:ダウンロードしたメタデータファイル(GoogleIDPMetadata.xml)を選択し「解析」ボタンをクリックする

azuread4.png

SAML アプリケーション設定(Google Workspace側)

  1. Google Workspaceの管理者ページ (https://admin.google.com) にログインし、「アプリ」⇒「SAML アプリ」をクリックする
    googleadmin4.png
    googleadmin5.png

  2. ウェブアプリとモバイルアプリ画面にて「アプリを追加」⇒「アプリを検索」をクリックする
    googleadmin6.png

  3. アプリの検索画面にてアプリ名「Microsoft」を検索し「Microsoft Office 365」を選択する
    googleadmin7.png

  4. Google ID プロバイダの設定はすでに完了しているので、そのまま「続行」をクリックする
    googleadmin8.png

  5. サービスプロバイダの詳細はデフォルトのままで「続行」をクリックする
    googleadmin9.png

  6. 属性のマッピングで下記のマッピングを追加し「完了」をクリックする
    googleadmin10.png
    Basic Information > PRimary email : IDPEmail
    Basic Information > PRimary email : urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    Basic Information > PRimary email : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  7. アプリケーションの詳細画面にて「ユーザーアクセス」をクリックし、サービスのステータスを「オン (すべてのユーザー)」に変更し、「保存」をクリックする
    googleadmin11.png
    googleadmin12.png

ゲストユーザーの招待(Azure AD側)

  1. Azure AD ポータル (https://aad.portal.azure.com/) にログインし、「Azure Active Directory」⇒「ユーザー」⇒「すべてのユーザー」⇒「新しいゲストユーザー」をクリックする
    azuread5.png
    azuread6.png

  2. 新しいユーザー画面にて、招待するユーザー情報を入力し「招待」をクリックする
    azuread7.png

動作確認

実際にGoogle Workspaceにフェデレーションされるかを検証します

  1. マイアプリ (https://myapps.microsoft.com/?tenantid=[テナントID]) にアクセスし、ユーザー名に招待したGoogle Workspaceユーザーを入力する
    test1.png

  2. Googleの認証画面に自動的に遷移するので、Google Workspaceユーザーで認証する
    test2.png

  3. マイアプリが正しく表示されていることを確認する
    test3.png

14
9
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
14
9