Azure ADをIdPとしたGoogle WorkspaceのSSO設定

TL;DR

• 公開されている手順通りには行かないなぁ

経緯

Google Cloud Identity Freeで作成したWorkspaceのアカウントに対し、Azure ADをIdPとしたSSO設定を行いました。故あって2回行いましたが、2回とも試行錯誤したので今後のためにメモ

1. Azure ADにて[Enterprise Application]->[New Application]より「Google Cloud / G Suite Connector by Microsoft」を追加
2. [Manage]-[Single sign-on]より、[Basic configuration]-[Edit]をクリック
3. 以下のとおり入力して保存する(ドメイン名を「example.com」とする)
   • Identifier (Entity ID)
     • google.com/a/example.com
     • https://google.com/a/example.com
     • https://google.com
     • google.com
   • Reply URL (Assertion Consumer Service URL)
     • https://google.com/a/example.com
     • https://www.google.com/ (Default)
   • Sign on URL
     • https://www.google.com/a/example.com/ServiceLogin?continue=https://console.cloud.google.com
4. [Attributes & Claims]-[Edit]をクリック
5. [Additional claims]を4つとも削除する
6. [SAML Signing Certificate]より「Certificate (Base64)」(※1)をダウンロード
7. [Set up Google Cloud / G Suite Connector by Microsoft]のLogin URLの内容をコピー
8. [Manage]-[Users and groups]にてSSO対象とするユーザーアカウントを登録
9. Google Adminにログインし、[Security]-[Authentication]-[SSO with third party IdP]をクリック
10. [Thirt-party SSO profile for your organization]の編集アイコンをクリックし、以下のように設定して保存する
    • Set up SSO with third-party identity provider: ON
    • Sign-in URL: (※2を貼り付け)
    • Sign-out URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
    • Verification certificate: (※1をアップロード)
    • Use a domain specific issuer: ON
    • Change password URL: https://account.activedirectory.windowsazure.com/changepassword.aspx

上記の手順になる理由は説明できないが、試行錯誤の結果上記だとうまく行った。

参考

• チュートリアル:Azure Active Directory シングル サインオン (SSO) と Google Cloud (G Suite) Connector の統合
• Azure AD ユーザーのプロビジョニングとシングル サインオン
• 完全無料のIDaaS！？Google Cloud Identity Freeを試してみる
• Google Workspace と Azure AD を統合して、 Google Workspace にシングル サインオン (SSO) できる環境を一から構成する

と最初の管理者アカウント(ここではuser@example.comとする)を作成しました。次にadmin@example.comアカウントを作成し、Super Admin権限を付与しました。さらに最初に作成したuser@example.comのSuper Admin権限を削除しました。user@example.comアカウントのSuper Admin権限をadmin@example.comに移動した形です。

次に、Azure ADをIdPとしたSSOを行いました。user@example.comアカウントでうまくログインできないため、Google側の設定を見ようと思い、admin.google.comにadmin@example.comでログインしようとすると、SSO先のAzureログイン画面に転送されてしまい、ログインできません。当然user@example.comも同様です。つみました…

最初、SSOの設定は既定で全アカウントに適用されるのかと思いました。が、だとしたらこのような事例が頻発するはずで、実際Googleのドキュメントを見ると、管理者アカウントはSSOから除外されるとありました。

となると、最初に行った管理者権限の移動が反映されていない可能性がありそう。権限を移動してから12時間程度だったため、クラウドの設定は1日¥見ておいたほうが良いとするとありうる話。念のためサポートから問い合わせを入れましたが無料での利用のため、期待薄。

設定から27時間たったあたりで再度admin.google.comにログインしようとすると、SSOに転送されずにろぐいんできました。

クラウドの設定変更は最大1日程度、とは聞いていましたがたいてい遅くとも1時間以内には反映されるため甘く見て失敗しました。設定の反映が遅延されることを考慮し、遅延するとうまく行かない後続の作業は2日は開けて作業したほうが良さそうです。