Google Workspace
概要
Google Workspaceのプロビジョニングについて
このガイドでは、Okta組織でGoogle Workspaceのプロビジョニングを構成する方法について説明します。

推奨されるセットアップは次のとおりです。
- OktaとGoogleの間で構成されたSAML。
- プロビジョニングを有効にし、すべてのオプションを有効にします。
- 特に、パスワードのプッシュを有効にすると、ユーザーのOktaログイン・パスワードがGoogle Workspaceのパスワードと同期されます。これは、メール用のPOP3/IMAPクライアントなどのクライアントでもパスワードが必要なためです。
Active Directoryの統合が必要な場合は、上記の推奨事項が適用されます。トポロジーは次のようになります。
AD統合により、エンド・ユーザーは以下のメリットを享受できます。
- ファイアウォールの内側でログインする場合のシームレスなデスクトップSSO
- ファイアウォールの外側でAD資格情報を使用してOkta経由でGoogle WorkspaceにSAMLを送信します。
- ユーザー名/パスワードを必要とするメール・クライアントでは、ユーザーのADパスワードが活用されるため、エンド・ユーザーが覚えるパスワードが1つ少なくなります。これはADパスワードの同期によって行われます。

- SSOの場合、SAMLを目標にする必要があります。これにより、すべてのWebベースのセッションがIDプロバイダーとしてOktaを経由するため、アクセスを一元管理できます。
- SAMLは最初に少人数のユーザー・グループでテストする必要があります。Googleの ネットワーク・マスク機能を使用すると、SAMLが有効なユーザーを一部のITスタッフなどに限定して、構成とエンド・ユーザー・エクスペリエンスをテストできます。
- 同じブラウザセッションでGoogle PersonalとGoogle Workspaceを一緒に使用するには、アカウント設定を変更する必要があることをエンドユーザーに知らせることが重要です。この設定は、Oktaがデプロイされているかどうかには関係ありません。セッションCookieの共有を許可するためにGoogleが必要とします。
- Google Market Placeの一部のアプリは、SSOの観点からGoogle Workspaceと緊密に統合されていない可能性があることに注意してください。問題についてはOktaにお知らせください。Oktaサポートが問題の解決をお手伝いします。
- Google Workspaceのパスワードが、引き続き推奨されます。Oktaは、Google Workspaceでパスワード同期機能を有効にすることをお勧めします。パスワードの同期がオンになっているときに、Google Workspace内からパスワードを変更しようとすると、ユーザーがOktaに戻るようにパスワード変更URLを設定する必要があります。このURLによってユーザーはOktaに戻ります。
- バックドアURLの可用性と使用について、管理者が十分に理解していることを確認してください。Google Workspace管理アプリは、アプリケーションカタログでも利用できます。
- プロビジョニングを有効にするときは、統合に使用する管理者資格情報を慎重に選択してください。システムアカウントを使用するのが理想的です。エンドユーザーアカウントを使用する場合は、パスワードのリセットが正しく処理され、それに応じてOkta API設定が更新されていることを確認してください。
- Google Workspaceユーザーが主にGoogle Workspaceで作成され、Oktaの外部に既存のプロセスがある場合は、Oktaでアカウント作成を有効にする必要はありません。ユーザーのインポート(APIまたはCSVを介して)を使用すると、既存のGoogle WorkspaceアカウントをOktaユーザーに簡単にマッピングできます。これは、新規ユーザーのブートストラップのために継続的に行う必要があります。
- Oktaでは、ユーザーがOktaまたはOktaと統合されたADで非アクティブ化されたときに、自動的に非アクティブ化が行われるように、ユーザーの非アクティブ化/リアクティベーションを有効にすることを推奨します。
前提条件
Oktaでプロビジョニングを構成する前に、以下の操作が必要です。

この手順ではGoogle WorkspaceアプリのインスタンスがすでにOktaに追加され、SSOを設定済みであることを前提とします。詳しくは[Google WorkspaceでのSAML 2.0の設定方法」を参照してください。
アプリケーションの追加に関する一般的な情報については、「既存のアプリ統合の追加」を参照してください。

以下のように、Google Workspaceで[Enable API Access (APIアクセスを有効にする)]チェックボックスをオンにします。
Google Workspace管理コンソールにサインインします。
[Security (セキュリティ)]>[API Controls (API制御)]に移動します。
[Unrestricted (無制限)]を選択します。

プロファイルソーシング機能を使用するには、次の機能フラグを有効にする必要があります。組織でサポートを有効にするには、Oktaサポートにお問い合わせください。
- ATTRIBUTE_LEVEL_MASTERING
機能
以下のプロビジョニング機能をサポートします。

グループとそのメンバーをリモート システムにプッシュできます。詳細については、 グループ・プッシュについて および グループ・プッシュ操作を参照してください。

サードパーティ アプリケーションで作成された新規ユーザーがダウンロードされ、既存のOktaユーザーとのマッチングのために新規AppUserオブジェクトに変換されます。
具体的には:これはプロビジョニングが構成されている場合、つまりユーザー名とパスワードが設定および検証されている場合に暗黙的な機能です。インポートを使用すると、OktaでアクティブなGoogleアカウントをOktaユーザーにマッピングできます。これは、初期のアプリ割り当てのブートストラップで通常行われます。CSVは、APIインポートと同様に、ファイルベースのアカウント・マッピングにも使用できます。

Google Workspaceから追加のユーザー属性をインポートします。

Oktaを通して新規ユーザーが作成されると、サードパーティ アプリケーションでも作成されます。

Oktaを通して新規ユーザーが作成されると、サードパーティ アプリケーションでも作成されます。
具体的には:アカウントを作成すると、OktaはGoogle Workspaceで新しいアカウントを作成できます。Google Workspaceでは、最近削除されたユーザー名を新しいアカウントで再利用することは許可されていないことに注意してください(1週間の制限)。Google Workspaceユーザーは、初回ログイン時にGoogleからのウェルカム・ルーチンを実行します

ユーザーのパスワードに対する変更は、自動的にアプリケーションに同期されます。
具体的には:この機能により、Oktaは、OktaユーザーがOktaにログインしてから、Google Workspaceにログインするために使用するパスワードを同期できます。ユーザーがADアカウントに関連付けられていない場合、またはADへのOkta委任認証が有効になっていない場合、ユーザーはOktaパスワードを使用してログインします。これが、Google Workspaceにプッシュされる値です。
ユーザーがADユーザーに関連付けられていて、ADに対するOkta委任認証が有効になっている場合、ユーザーがOkta org(myorg.okta.com)にログインすると、ADパスワードがGoogle Workspaceにプッシュされます。
SAMLが有効になっている場合でも、Google Workspaceでパスワードが必要になるユースケースがあります。他のメール、カレンダークライアント(デスクトップまたはモバイル)は、個別の認証メカニズムを利用しており、セットアップにGoogle Workspaceのユーザー名とパスワードが必要になります。パスワードをOktaと同期させることで、エンド・ユーザーが管理するパスワードが1つ減ります。これは、多くのOktaの既存のお客様にとって標準的なデプロイ・モデルです。
注:プロビジョニングを機能させるには、Oktaのパスワード・ポリシーがGoogleの要件と一致している必要があります。

Oktaを通してユーザーのプロファイルに加えられた変更が、サードパーティ アプリケーションにプッシュされます。
具体的には: Oktaで検出されたプロファイルの変更はすべてGoogle Workspaceにプッシュされます。これには、名、姓などが含まれます。部署や役職などの一部の属性は、プロファイルのプッシュにのみ使用され、インポート・ユーザーでは機能しません。これらの属性は、最初にOktaから更新された場合にのみ機能します。

Oktaを介してユーザーを非アクティブ化すると、そのユーザーは組織とサード・パーティー製アプリケーションのすべてのチームから削除されます。Oktaを通してユーザーを再アクティブ化すると、そのユーザーはサードパーティ アプリケーションでも再アクティブ化されます。
具体的には:ユーザーがOktaで非アクティブ化されると、OktaはユーザーのGoogle Workspaceアカウントを非アクティブ化します。Google WorkspaceではアカウントをGoogle Workspaceで完全に削除できますが、削除はかなり破壊的な操作であり、このユーザーが作成したすべてのメール、ドキュメント、ページなどを削除します。ほとんどの企業にとって、これは望ましい操作ではありません。Oktaはユーザーを非アクティブ状態に設定します。これにより、管理者は、物理的な削除が必要かどうかを判断する前に、情報をクリーンアップできます。
手順

以下の手順に従い、Google Workspaceの[Provisioning(プロビジョニング)]設定を構成します。
Oktaで、Google Workspaceアプリのプロビジョニングを選択し、[API統合の構成]をクリックします。
[Enable API integration(API統合を有効化)]をオンにし、[Authenticate with Google Workspace(Google Workspaceで認証)]をクリックします。
Google Workspaceの管理者アカウントの認証情報を入力し、 [ Log In(ログイン)]をクリックします。
管理者のユーザー名を入力します。
管理者パスワードを入力します。
GoogleがOktaにGoogle Workspaceテナントで実行するために付与する権限のリストを確認します。問題がなければ、[Allow (許可)]をクリックします。
- Oktaの[ Provisioning(プロビジョニング)]ページに戻り、認証成功メッセージが表示されます。[Save(保存)]をクリックします。
[To App(アプリへ)]を選択し、次に有効化したいプロビジョニング機能を選択します。
[Save(保存)]をクリックします。

[To Okta (Oktaへ)]を選択し、[Allow Google Workspace to source Okta users (Google WorkspaceにOktaユーザーのソースを許可する)]をオンにします。
ユーザーがGoogle Workspace内で非アクティブ化された場合、 [Profile and Licycle Sourcing (プロファイルとライフサイクルソーシング)] オプションを使用して、一致するOktaユーザーに対してOktaが実行するアクションを選択できます。
ユーザーがアプリで非アクティブ化されている場合のオプションは、次のとおりです。
何もしない:他のアプリと同様に、Oktaユーザーは単にGoogle Workspaceアプリの割り当てを解除されます。
非アクティブ化:Oktaユーザーが非アクティブになり、Oktaにログインしたりアクセスしたりできなくなります。将来Google Workspaceで再アクティブ化された場合、OktaユーザーはOktaで再アクティブ化プロセスを実行します。ユーザーは最初のOktaユーザー設定手順を再度実行する必要があります。
一時停止:Oktaユーザーは一時停止になり、Oktaにログインしたりアクセスしたりすることができなくなります。将来Google Workspaceで再度アクティブ化された場合、ユーザーはOktaで再アクティブ化され、Oktaユーザーがログインできるようにするための追加の手順は必要ありません。

ユーザーをGoogle Workspaceアプリに割り当てるには:
アプリを開き、 [Assignments (割り当て)] ]タブを選択し、 [Assign to People (ユーザーに割り当てる)]をクリックします。
[Assign Google Workspace app to People (Google Workspaceアプリをユーザーに割り当てる) ] ダイアログで、ユーザーを選択し、 [Assign (割り当て)]をクリックします。
どの組織単位をプッシュするかの選択、非アクティブ化オプションの設定、ユーザーのライセンスの管理(詳細は「Google Workspace ユーザーの管理」を参照)を行うことができます。

概要
デフォルトでは、次の基本属性がGoogle Workspaceからインポートされます。
FIRST_NAME
LAST_NAME
SECOND_EMAIL
MOBILE_PHONE
Google Workspaceはユーザーのスキーマ検出をサポートするため、ユーザーのプロファイルに他の属性を追加することができます。
スキーマ検出の強化:
拡張スキーマ検出は、Google Workspaceで定義されたカスタムユーザースキーマを使用する機能を提供します。Oktaでは、すべてのカスタム・ユーザー・スキーマをインポートして、これらの属性を管理できます。インポート時に、Oktaは通常の属性と同じようにユーザーからこれらのカスタム属性を取り込み、作成および更新操作でそれらをGoogle Workspaceにプッシュします。
Oktaは、Google Workspaceからの複数値のカスタム属性のインポートもサポートしています。Oktaでは動的配列として表されます。ブール値の複数値プロパティーには制限があります。これらは現在Universal Directoryでサポートされておらず、スキーマのインポート中に無視されるためです。複数値のbooleanプロパティは、 プロファイルエディターには表示されません。
スキーマ検出を使用できない場合は、OAuthを使用して再認証する必要があります。
手順
Oktaで、管理者ダッシュボードから、[Directory(ディレクトリ)]>[Profile Editor(プロファイル エディター)]を選択します。
左のナビゲーション ペインから[APPS(アプリ)]セクションを選択し、リストから目的のアプリを見つけます。
属性のリストを確認し、さらに必要な場合は、[Add Attribute (属性の追加)]をクリックします。拡張された属性リストが表示されます。
追加したい属性をチェックし、[Save(保存)]をクリックします。
これらのユーザー属性値をGoogle Workspaceとの間でインポートおよびプッシュできるようになりました。