メインコンテンツにスキップ
すべてのコレクションセキュリティを強化する
Google WorkspaceをIdPとしてSAML SSOを設定する
Google WorkspaceをIdPとしてSAML SSOを設定する
3か月以上前に更新

Centouでは、SAML2.0の規格に対応しているGoogle WorkspaceやOkta、OneLoginなどのIDプロバイダー(以下、IdP)と連携することで、シングルサインオン(以下、SSO)を使ったログインができます。

SAML認証によるSSOは、特定プラン・有料オプションの場合のみご利用いただけます。

このページではSAML認証によるSSOを有効化するために必要な3つの手順を説明します。

  1. IdP側での設定:カスタム SAML アプリの追加

  2. IdP側での設定:カスタム SAML アプリの有効化

  3. IdPの情報をサポート担当者に共有する

[情シスの方向け] CentouでのSSOの概要

SAML認証について、現在対応している内容について記載しております。内容はプロダクトのアップデートに伴い、随時更新いたします。

  • ログイン方法 ... IdP-Initiatedは未対応であり、SP-Initiatedのみ対応しております。

  • 許可するドメイン ... 複数のドメインを追加することが可能です。

  • メール認証との併用 ... SAML認証に切り替えた場合、メール認証(メール/パスワードでのログイン)は利用不可になります。

  • プロビジョニング ... 通常は提供しておりません。別途有料オプションでご対応いたします。

1. IdP側での設定:カスタム SAML アプリの追加

Centouでは、SAML2.0に対応したIdPでSSOの設定ができます。

以下、例として Google WorkspaceをIdPとした設定手順を説明いたします。

1-1. カスタム SAML アプリの作成

Google 管理コンソールにアクセスし、サイドバーからアプリ > ウェブアプリとモバイルアプリ のページを開き、アプリを追加 から カスタム SAMP アプリの追加 をクリックします。

※ Google Workspaceの管理者権限のアカウントからログインをする必要があります


1-2. アプリ情報を入力する

アプリ名を入力して 続行 をクリックします。

アプリのアイコンはこちらからダウンロードが可能です。

1-3. IdP情報を保存する

続いて、表示される SSOのURL証明書 をコピーし手元に保存してください。後ほどSAML認証の接続を有効化する設定で使います。手元に保存できたら、 [続行] をクリックします。

1-4. サービスプロバイダの情報の入力

Centou のサポート担当者から受け取った

  • ACSのURL

  • エンティティID

を入力しサービスプロバイダの情報を設定します。

※ サービスプロバイダの情報を受け取っていない場合はサポート担当者までご確認ください

また、名前ID の欄が、UNSPECIFIED Basic Information > Primary email になっていることを確認してください。

確認ができたら、[続行] をクリックします。

1-5. 属性をマッピングする

Googleの情報とCentouの情報を一致させるための項目が、属性になります。デフォルトでは、何も追加されておらず、属性のマッピングをしていただく必要があります。

マッピングを追加

まず、属性のセクション下部にある [マッピングを追加] をクリックします。

属性の入力

続いて、追加されたインプット欄に以下の情報を入力し、属性を設定します。

Google Directoryの属性

アプリの属性

Primary email

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

First name

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Last name

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

それぞれの属性が追加ができたら、[完了] をクリックして、カスタム SAML アプリの追加が出来ました。

2. IdP側での設定:追加したカスタムアプリをオンにする

Google内に追加されたCentouのカスタムSAMLアプリを利用できるように、サービスのステータスを オン(全てのユーザー) に切り替えてください。

上記の例ではすべてのユーザーに対して、SAMLアプリを利用できるように設定していますが、One LoginやOktaなどの認証サービス、もしくはGoogle Workspaceでも設定によっては、

・アプリにユーザー(Centouアカウントを持つ社員)の割り当て
・または、ユーザーが所属する組織部門に対して、アプリを割り当て

を別途行っていただく場合がございます。

参考 :

Oktaでのユーザーの割り当て

3. IdPの情報をサポート担当者に共有する

1-3. IdP情報を保存する で保存したIdPの情報をサポート担当者まで共有してください。設定に必要な情報は、以下の3つの項目となります。

1. SSOのURL

例)https://~~

2. 署名証明書

例)----BEGIN CERTIFICATE----- ~~(省略)~~

3. ログインに使用するアカウントのドメイン

例)[email protected] の場合 centou.design

※ ドメインは複数指定いただくことが可能です。

受け取ったIdP情報を元に、運営側でCentou(サービスプロバイダ)側での SAML 認証の有効化が完了次第ご連絡いたします。

4. SSOを使って、Centouでログインをする

SSOの有効化が完了した連絡をサポート担当者から受け取ったら、Centou にアクセスします。ログイン画面でメールアドレスを入力し、[ログインする] をクリックします

※ Centou上でユーザー招待をされていない場合は、ログインができません(1人目のアカウントは運営側で作成・招待をおこないます)。

自分のアカウントを選択し、クリックするとSSOを使ってCentouにログインすることができます。

もし、有効化した後にSSOによるログインができない場合は、お手数ですがサポート担当者までお問い合わせください。

関連記事
リサーチタグを設定する
インサイトのタグを設定・管理する
Centouにおける「インサイト」の定義と考え方
OneLoginをIdPとしてSAML SSOを設定する
OktaをIdPとしてSAML SSOを設定する
こちらの回答で解決しましたか?