Google Workspace
Okta orgでGoogle Workspaceのプロビジョニングを構成する方法について説明します。
概要
推奨セットアップ
推奨されるセットアップは以下のとおりです。
- OktaとGoogleの間でSAMLを構成します。
- プロビジョニングを有効にし、すべてのオプションを有効にします。
- ユーザーのOktaパスワードとGoogle Workspaceのパスワードを同期させるパスワードプッシュを有効にします。メールのPOP3/IMAPクライアントなどでは、引き続きパスワードが必要となります。
この推奨事項は、Active Directoryの統合が必要なシナリオでも有効です。
AD統合によるエンドユーザーの利点は次のとおりです。
- ファイアウォールの背後でログインするときのシームレスなデスクトップSSO
- ファイアウォール外部からSAMLおよびAD資格情報を使用して、Okta経由でGoogle Workspaceにアクセス可能
- ユーザー名とパスワードが必要だった電子メールクライアントで、ユーザーのADパスワードを利用できるようになりました。ADパスワードの同期により、エンドユーザーが覚えておくべきパスワードが1つ減ります。
推奨されるロールアウト
- 可能であれば、SSOにはSAMLを使用してください。すべてのWebベースのセッションがIDプロバイダーとしてOktaを経由する必要があるため、一元化されたアクセス管理が可能になります。
- 最初に、少数のユーザーグループでSAMLをテストする必要があります。Googleのネットワークマスク機能を使用すると、SAML対応のユーザーを少数(たとえば、一部のITスタッフ)に制限して、構成とエンドユーザーエクスペリエンスをテストできます。
- 同じブラウザーセッションでGoogle PersonalとGoogle Workspaceを一緒に使用するには、アカウント設定を変更する必要があることをエンドユーザーに知らせることが重要です。この設定は、Oktaがデプロイされているかどうかとは関係ありません。Googleでは、セッションCookieの共有を許可するためにこの設定を構成する必要があります。
- Google Marketplaceの一部のアプリは、SSOの観点からGoogle Workspaceと緊密に統合されていない可能性があることに留意してください。問題があればOktaに知らせてください。Oktaサポートが問題の解決を支援します。
- Google Workspaceのパスワードが推奨されます。Oktaは、Google Workspaceでパスワード同期機能を有効にすることをお勧めします。パスワードの同期がオンになっているときに、Google Workspace内からパスワードの変更を試行する場合は、ユーザーがOktaに戻るようにパスワード変更URLを設定する必要があります。URLにより、ユーザーはOktaに戻ります。
- 管理者がバックドアURLとその使用方法を認識していることを確認します。Google Workspace管理アプリは、アプリケーションカタログから入手できます。
- プロビジョニングを有効にし、統合用の管理者資格情報を選択する場合は、システムアカウントの使用を検討してください。エンドユーザーのアカウントを使用する場合は、パスワードのリセットが正しく処理され、それに応じてOkta API設定が更新されていることを確認してください。
- Google WorkspaceユーザーがOkta外部の既存のプロセスを使用して主にGoogle Workspaceで作成されている場合、Oktaでアカウント作成を有効にすることはできません。ユーザーのインポート(APIまたはCSVを介して)を使用すると、既存のGoogle WorkspaceアカウントをOktaユーザーにマッピングできます。この操作は、新しいユーザーをブートストラップするために継続的に実行する必要があります。
- Oktaでは、ユーザーがOktaまたはOktaと統合されたADで非アクティブ化されたときに、自動的に非アクティブ化されるように、ユーザーの非アクティブ化/リアクティベーションを有効にすることを推奨します。
前提条件
- Google Workspaceアプリのインスタンスを追加し、SSOを設定します。Google WorkspaceアプリのインスタンスがすでにOktaに追加され、SSOを設定済みであることを前提とします。「Google WorkspaceでのSAML 2.0の設定方法」を参照してください。
アプリケーションの追加に関する一般的な情報については、「既存のアプリ統合の追加」を参照してください。
-
Google Workspace:Google Workspaceで[API Access(APIアクセス)]チェックボックスをオンにします。
- Google Workspace管理コンソールにサインインします。
- [Security(セキュリティ)]>[API Controls(API制御)]に移動します。
- [Unrestricted(無制限)]を選択します。
プロビジョニング機能
グループをプッシュ | グループとそのメンバーをリモートシステムにプッシュできます。詳細については、「グループプッシュについて」および「グループプッシュ操作」を参照してください。 |
新規ユーザーをインポート | サードパーティアプリケーションで作成された新規ユーザーがダウンロードされ、既存のOKTAユーザーとのマッチングのために新規AppUserオブジェクトに変換されます。 具体的には:これは、プロビジョニングが構成されている場合の暗黙の機能です。つまり、ユーザー名/パスワードを設定して検証します。インポートにより、OktaはアクティブなGoogleアカウントをOktaユーザーにマッピングできます。これは、最初のアプリ割り当てブートストラップでは通常の機能です。ファイルベースのアカウントマッピング用としてCSVを使用することもできます。これは、APIインポートと同様です。 |
スキーマ検出 | Google Workspaceから追加のユーザー属性をインポートします。 |
プロファイルソーシング | Oktaを通して新規ユーザーが作成されると、サードパーティアプリケーションでも作成されます。 |
新規ユーザーをプッシュ | Oktaを通して新規ユーザーが作成されると、サードパーティアプリケーションでも作成されます。 具体的には:アカウントを作成すると、OktaはGoogle Workspaceで新しいアカウントを作成できます。Google Workspaceでは、最近削除されたユーザー名が新しいアカウントで再利用されることはないことに留意してください(1週間の制限)。Google Workspaceユーザーは、最初にログインしたときにGoogleからのウェルカムルーチンを実行します。 |
カスタム・フィールドの空の値をプッシュ |
このオプションを選択すると、必須でないカスタムフィールドに空の値をプッシュできます。 |
パスワードの更新をプッシュ | ユーザーのパスワードに対する変更は、自動的にアプリケーションと同期されます。 具体的には:この機能により、Oktaは、OktaユーザーがOktaにログインしてから、Google Workspaceにログインするために使用するパスワードを同期できます。ユーザーがADアカウントに関連付けられていない場合、またはADへのOkta代理認証が有効になっていない場合、ユーザーはOktaパスワードを使用してOktaにログインします。これが、Google Workspaceにプッシュされる値です。 ユーザーがADユーザーに関連付けられていて、ADに対するOkta代理認証が有効になっている場合、ユーザーがOkta org(myorg.okta.comなど)にログインすると、ADパスワードはGoogle Workspaceにプッシュされます。 SAMLが有効になっている場合でも、Google Workspaceでパスワードが必要になるユースケースがあります。他のメール、カレンダークライアント(デスクトップまたはモバイル)は、個別の認証メカニズムを利用しているため、セットアップにはGoogle Workspaceのユーザー名とパスワードが必要になります。パスワードをOktaと同期すると、エンドユーザーが管理するパスワードが1つ少なくなります。これは、既存するOktaの多くのお客様に使用される標準的なデプロイモデルです。 注:プロビジョニングを機能させるには、OktaのパスワードポリシーがGoogleの要件と一致している必要があります。 |
プロファイルのアップデートをプッシュ | Oktaを通してユーザーのプロファイルに加えられた変更がサードパーティアプリケーションにプッシュされます。 具体的には:Oktaで検出されたプロファイルの変更はすべてGoogle Workspaceにプッシュされます。これには、名、姓などが含まれます。部門やタイトルなどの一部の属性は、プッシュプロファイルにのみ使用され、インポートユーザー向けには機能しません。これらの属性は、Oktaから最初に更新された場合にのみ機能します。 |
ユーザーの非アクティブ化/再アクティブ化をプッシュ | Oktaを介してユーザーを非アクティブ化すると、サードパーティアプリケーションの組織およびすべてのチームからユーザーが削除されます。Oktaを通してユーザーを再アクティブ化すると、そのユーザーはサードパーティアプリケーションでも再アクティブ化されます。 具体的には:ユーザーがOktaで非アクティブ化されると、OktaはユーザーのGoogle Workspaceアカウントを非アクティブ化します。Google WorkspaceではアカウントをGoogle Workspaceで完全に削除できますが、削除は破壊的な操作であり、このユーザーが作成したすべてのメール、ドキュメント、ページなどを削除してしまいます。ほとんどの企業にとって、これは望ましい操作ではありません。Oktaは、ユーザーを非アクティブ状態に設定します。これにより、管理者は、ハード削除が必要かどうかを判断する前に、問題を解決できます。 |
手順
Google Workspaceプロビジョニングを設定する
以下に従い、Google Workspaceの[Provisioning(プロビジョニング)]設定を構成します。
-
Oktaで、Google Workspaceアプリの[Provisioning(プロビジョニング)]タブを選択し、[Configure API Integration(API統合を構成)]をクリックします。
-
[Enable API integration(API統合を有効化)]をオンにし、[Authenticate with Google Workspace(Google Workspaceで認証)]をクリックします。
-
Google Workspace管理者アカウントの資格情報を入力し、[Log In(ログイン)]をクリックします。
-
管理者ユーザー名を入力します。
-
管理者パスワードを入力します。
-
GoogleがOktaにGoogle Workspaceテナントで実行するために付与する権限のリストを確認します。問題がなければ、[Allow(許可)]をクリックします。
-
- Oktaの[Provisioning(プロビジョニング)]ページに戻ると、認証の成功を確認するメッセージが表示されます。[Save(保存)]をクリックします。
-
[To App(アプリへ)]を選択し、有効化するプロビジョニング機能を選択し、[Save(保存)]をクリックします。
プロファイルおよびライフサイクルのソーシングを設定する
-
[To Okta(Oktaへ)]を選択し、[Allow Google Workspace to source Okta users(Google WorkspaceにOktaユーザーのソースを許可する)]を選択します。
-
ユーザーがGoogle Workspace内で非アクティブ化された場合、[Profile and Licycle Sourcing(プロファイルとライフサイクルソーシング)]オプションを使用することで、一致するOktaユーザーに対してOktaが実行するアクションを選択できます。
ユーザーがアプリで非アクティブ化されている場合のオプションは、次のとおりです。
- [Do nothing(何もしない)]:Google WorkspaceがOktaユーザーから割り当て解除されます。
- [Deactivate(非アクティブ化)]:Oktaユーザーが非アクティブ化され、Oktaにサインインまたはアクセスできなくなります。将来Google Workspaceで再アクティブ化された場合、OktaユーザーはOktaで再アクティブ化プロセスを実行します。ユーザーは、Oktaユーザーの初期設定手順を再度実行します。
- [Suspend(一時停止)]:Oktaユーザーは一時停止され、Oktaにログインまたはアクセスできなくなります。将来Google Workspaceで再度アクティブ化された場合、ユーザーはOktaで再アクティブ化されます。追加の手順は必要ありません。OktaユーザーはOktaにサインインできます。
ユーザーをGoogle Workspaceアプリに割り当てる
-
アプリを開き、[Assignments(割り当て)]タブを選択して[Assign to People(ユーザーに割り当てる)]をクリックします。
-
[Assign Google Workspace app to People(Google Workspaceアプリをユーザーに割り当てる)]ダイアログでユーザーを選択し、[Assign(割り当て)]をクリックします。
-
プッシュする組織単位を選択できます。ユーザーの[Deactivation(非アクティブ化)]オプションおよび[Manage licenses(ライセンスの管理)]オプションを設定します。「Google Workspaceユーザーの管理」を参照してください。
Google Workspaceスキーマ検出
デフォルトでは、次の基本属性がGoogle Workspaceからインポートされます。
FIRST_NAME
LAST_NAME
SECOND_EMAIL
MOBILE_PHONE
Google Workspaceはユーザーのスキーマ検出をサポートするため、ユーザーのプロファイルに他の属性を追加することができます。
スキーマ検出の強化
スキーマ検出の強化によって、Google Workspaceで定義されたカスタムユーザースキーマを使用できます。Oktaは、すべてのカスタムユーザースキーマをインポートして、これらの属性を管理する機能を提供します。インポート時に、Oktaは通常の属性と同じようにユーザーからこれらのカスタム属性を取り込み、作成および更新操作でそれらをGoogle Workspaceにプッシュします。
Oktaは、Google Workspaceからの複数値のカスタム属性のインポートもサポートしています。Oktaでは動的配列として機能します。ブール値の複数値プロパティには制限があります。これらは現在Okta Universal Directory内でサポートされておらず、スキーマのインポート中に無視されるためです。複数値のbooleanプロパティは、プロファイルエディタには表示されません。
スキーマ検出を使用できない場合は、OAuthを使用して再認証します。
スキーマ属性の追加
-
Okta Admin Consoleで、[Directory(ディレクトリ)]>[Profile Editor(プロファイルエディタ)]に移動します。
-
左のナビゲーションペインから[APPS(アプリ)]セクションを選択し、リストから目的のアプリを見つけます。
-
属性のリストを確認し、さらに必要な場合は[Add Attribute(属性を追加)]をクリックします。拡張属性のリストが表示されます。
-
追加したい属性をチェックし、[Save(保存)]をクリックします。
-
これで、これらのユーザー属性値をGoogle Workspaceとの間でインポートおよびプッシュできるようになりました。