SSO について

SSO が設定されている場合、サードパーティの IdP にログインしたユーザーは、追加の確認なしで Google アプリにアクセスできます。ただし、次のような例外があります。

• ユーザーがすでに IdP にログインしていても、追加のセキュリティ対策として、Google は ID の確認を求めることがあります。詳細（ならびに必要に応じてこの ID 確認を無効にする方法）については、SAML を使用した安全なログインについてをご確認ください。
• Google サービスにアクセスするユーザー向けに 2 段階認証プロセスを追加で設定することもできます。SSO が有効になっているときは、通常、2 段階認証プロセスは迂回されます。詳しくは、SSO による本人確認を有効にするをご覧ください。

図 1 は、パートナーが運営する SAML ベースの SSO サービスを介して、ユーザーが Gmail などの Google アプリケーションにログインするプロセスを示しています。図に続く番号付きリストは、各ステップの詳細を示しています。

重要: このプロセスが開始される前に、パートナーは Google に SSO サービスの URL、Google が SAML レスポンスを確認するのに使う公開鍵を提供しなければなりません。

図 1: SAML ベースの SSO サービスを使用して Google にログインするプロセスを示しています。

この図では以下のステップが解説されています。

1. ユーザーが、ホストされている Google アプリケーション（Gmail、Google カレンダー、その他の Google サービスなど）にアクセスしようとしています。
2. Google が SAML 認証リクエストを生成します。SAML リクエストはエンコードされ、パートナーの SSO サービスの URL に埋め込まれます。SSO URL には RelayState パラメータも埋め込まれます。このパラメータには、ユーザーがアクセスしようとしている Google アプリケーションのエンコードされた URL が含まれます。この RelayState パラメータは不透明な識別子で、変更や検査なしで送り返されます。
3. Google がユーザーのブラウザにリダイレクトを送信します。リダイレクト URL にはエンコードされた SAML 認証リクエストが含まれ、これはパートナーの SSO サービスに送信されます。
4. ブラウザが SSO URL にリダイレクトします。
5. パートナーは SAML リクエストをデコードし、Google の Assertion Consumer Service（ACS）とユーザーの宛先 URL（RelayState パラメータ）の両方の URL を抽出します。
6. ユーザーを認証します。パートナーは、有効なログイン認証情報を要求するか、有効なセッション クッキーを確認してユーザーを認証できます。
7. パートナーは、認証されたユーザーのユーザー名が含まれる SAML レスポンスを生成します。このレスポンスは、SAML v2.0 の仕様に従ってパートナーの DSA または RSA の公開鍵と秘密鍵でデジタル署名されます。
8. パートナーは SAML レスポンスと RelayState パラメータをエンコードして、その情報をユーザーのブラウザに返します。パートナーが提供するメカニズによって、ブラウザはその情報を Google の ACS に転送できます。たとえば、パートナーは SAML レスポンスと宛先 URL をフォームに埋め込み、クリックすると Google にフォームが送信されるボタンを表示することができます。また、フォームを Google に送信する JavaScript をページに含めることも可能です。
9. ブラウザが ACS の URL に応答を送信します。Google の ACS は、パートナーの公開鍵を使用して SAML レスポンスを確認します。レスポンスが正常に確認されると、ACS は宛先 URL にユーザーをリダイレクトします。
10. ユーザーが Google アプリにログインします。