Google WorkspaceとSAMLでシングルサインオンする方法

クラウドサービスを利用するユーザーがIDとパスワードでログインしなくても、他のサービスでログインした認証情報を引き継いで、サービスを利用できるしくみのことをシングルサインオンといいます。最近では企業で複数のクラウドサービスを使うのが当たり前になっているため、いちいちそれぞれのサービスにIDとパスワードでログインするのは手間ですし、社員が入社、退社するたびに、システム管理者がすべてのサービスでアカウントを登録、削除するのは考えただけで気が遠くなりそうです。もはや企業向けのサービスでシングルサインオンは必須の機能といえます。多くの会社で使われているMicrosoft 365やGoogle Workspaceには最初からシングルサインオンのIDプロバイダーとしての機能が備わっているので、連携すればこれらにログインするだけで、他のサービスを利用することができます。

ここではRunbookにGoogle WorkspaceからSAMLでシングルサインオンする方法について説明します。

Google Workspaceにアプリを登録する

Google Workspaceに管理者でログインし、管理画面を開きます。メインメニューから「アプリ」>「ウエブアプリとモバイルアプリ」をクリックします。

「アプリを追加」>「カスタムSAMLアプリの追加」をクリックします。

アプリ名（例：Runbook）を入力します。

SSOのURL、エンティティID、証明書が表示されます。これは後で使用しますので、コピーしてエディタなどに保管しておきます。証明書は矢印ボタンをクリックして、ダウンロードしておきます。

「続行」をクリックして、次の情報を登録します。

サブドメインが「example」の場合、ACSのURLは、「https://example.runbook.jp/auth/saml/acs」となります。

「完了」をクリックして設定を完了します。

必要に応じて利用するユーザーの設定を行います。

RunbookでSAML認証を設定する

続いて、Runbook側で設定を行います。契約ユーザー（組織を作成したユーザー）でログインして、「契約情報/セキュリティ」から、「シングルサインオン」を開きます。

「SAML認証を有効にする」をチェックして、ログインURL、エンティティIDに先程表示された情報を入力します。またダウンロードしておいた証明書をアップロードします。

SAML認証の使用を必須にするをチェックすると、Runbookのログイン画面からパスワードでログインしても、サブドメインにアクセスすることはできなくなります。Runbookのユーザーに登録されていても、IdP側に存在しないユーザーは利用できなくなりますので注意してください。もし間違えてログインできなくなってしまったら、変更時に送信されたメールのURLから設定を解除することができます。

確認

ログインしていない状態で、サブドメインにアクセスすると、Googleのログイン画面が表示されます。すでにログインしている場合は、Runbookのトップ画面に遷移します。

シングルサインオンを使うと、利便性が向上するだけでなく、IdP側で用意されている多要素認証やパスキーを利用することで、セキュリティを高められる効果もあります。Google Workspaceを使っていればかんたんに設定できますので、お試しください。