Google Workspace / 任意のユーザを SSO 対象外とする設定
Google Workspace で任意のユーザを SSO (※)対象外とできる機能がリリースされました。
※ Google Workspace を Service Provider とするSAML ベースの SSO
この機能の意義
現在のところ、サードパーティの ID プロバイダを利用した SSO を設定すると、その設定はドメイン全体に適用されます。ただし、一部のユーザー(ベンダーや請負業者など)のみを対象として、代わりに Google を使用して認証したい場合もあります。そのような場合は、部分的 SSO 機能を使用すると、必要に応じて組織内のさまざまなユーザーに対して認証方式を柔軟に指定することができます。
認証機能ということもありベータ版はビビって様子見していましたが、GA されたので使ってみました。
手順
設定マニュアルはこちらです。
一部のユーザーにのみ Google への直接のログインを許可する場合は、それらのユーザーを組織部門またはグループに移動します。次に、その組織部門またはグループに対して SSO を設定し、それらのユーザーがサードパーティの IdP ではなく Google によって認証されるようにします。
マニュアルに沿って、すでに SSO を設定済みの状態から「一部ユーザのみ SSO 対象外とする」設定をしてみました。作業は 5 分で完了でした ⌛
事前準備
上記引用のとおり、SSO プロファイルを除外する設定の対象は「組織部門」もしくは「グループ」です。
今回は新規に “sso-disable” というグループを作成し、対象ユーザを所属させました。
SSO プロファイルの設定
SSO の設定画面にアクセスします。
「組織部門またはグループ向けの SSO プロファイルの割り当てを管理」で「使ってみる」をクリックします。
対象グループを検索・指定して、「次の組織部門のユーザー設定を表示しています」に目的のグループ名が表示されていることを確認します。
「SSO プロファイルの割り当て」で「なし」を選択し、設定を保存します。
設定画面に表示されている注意事項は以下の通りです。
ドメイン固有のサービス URL でサードパーティ IdP ログインページにユーザーをリダイレクトしている場合、これらのユーザーはそのページからログインできません。そうしたユーザーがドメイン固有のサービス URL を利用できるようにするには、このポリシーを調整してください。
これらのユーザーがパスワードを変更する必要がある場合は、組織のパスワード変更用 URL ではなく、Google アカウントで行うよう求めるメッセージが表示されます。
オーバーライドすると親組織部門(「xxxxx (※マスク)」)から継承された設定が無効になります
すべてのユーザーに変更が反映されるまでに、最長で 24 時間かかることがあります。
監査ログで以前の変更を確認できます
設定は以上で完了です。
念のため、もともと SSO プロファイルを適用していた最上位の組織部門を参照し、プロファイルが適用されたままであることを確認しました。
動作検証
以下の挙動となることを確認しました。
sso-disabe グループに所属しているユーザ
Google Workspace のログイン画面から、直接ログイン可能
sso-disabe グループ未所属のユーザ
Google Workspace のログイン画面にアクセスすると、 IdP の認証画面にリダイレクトされる
IdP 経由で Google Workspace に SSO 可能
設定の反映に時間がかかる可能性がある旨の記載がありましたが、検証時点 (2021/11/26) では即時で反映されました。
監査ログ
SSO プロファイルの設定変更については、「監査ログ (管理者)」 に「アプリケーションの設定の作成」、「アプリケーション設定のグループの優先度の変更」のログが出力されていました。
「監査ログ (ログイン)」では、SSO (SAML) ではなく直接ログインしているログ (Google のパスワード) が出力されていました。
まとめ
Google Workspace での SSO 回避が手軽に実現できるようなりました。
「原則として全体に SSO を強制するが、例外的に回避させたいユーザがいる」、「これから SSO を設定するので、検証中のあいだは一部ユーザにのみプロファイルを適用したい」というニーズに応えてくれそうですね。
いただいたサポートは記事を書くためのエネルギー(珈琲、甘いもの)に変えさせていただきます!