このガイドでは、Google Workspace に新しいアプリケーションを作成し、Axur プラットフォームのサービスと SAML 2.0 を通じて通信できるようにする手順を順を追って説明します。
このガイドでは、シングルサインオン(SSO)が正しく、期待通りに機能するようにするために必要なすべての設定について説明します。
目次
はじめに
Google Workspace の管理者アカウントを所有しており、問題なくアクセスできることを確認してください。
設定を行う際は、指定された場所にコピーまたは入力する情報が正確であることを必ず確認してください。誤った入力は、後にアプリケーションのテストを行う際に問題を引き起こす可能性があります。
Google Workspace における SSO アプリケーションの作成プロセスは、非常にシンプルな手順で進められます。設定を完了するために複数のセクションを移動する必要はありません。このプロセスは順を追って進みますが、理解しやすくするためにチュートリアルをいくつかのセクションに分けています。
グループ、ユーザー、および割り当て
Axur プラットフォームでの SSO アプリケーション作成に関するすべてのチュートリアルでは、「ユーザー」と「グループ」という概念が登場します。
というのも、プロバイダ(ここでは Google Workspace)は、ユーザー情報の保管場所であり、ユーザーが所属するグループ(グループの作成は任意)もここで管理されるからです。
このセクションでは、Google Workspace でのグループとユーザーの作成方法、そしてユーザーをグループに割り当てる方法について解説します。
グループの作成(任意)
このセクションは任意です。グループは、必要に応じて Axur プラットフォーム上で直接管理することも可能です。
そのため、「グループの作成」「グループをユーザーに割り当てる」「ユーザーグループのマッピング」の各セクションをスキップしても構いません。
注意:
グループ名は、あらかじめ定められた形式に従っていることが非常に重要です。
具体的には、新しく作成するグループには、以下の表にある値を**サフィックス(接尾辞)**として含める必要があります。
グループ |
one-viewer |
one-practitioner |
one-expert |
one-manager |
one-basic |
このように、「Axur-one-manager」 や 「ClientX-one-expert」 のようなグループ名は有効ですが、「Axur-manager」 や 「ClientX-analyst」 のような名前は無効です。
これは、期待されるサフィックスが含まれていないためです。
以下の画像に沿って、グループ作成の手順を進めてください。
なお、上記すべてのグループを作成する必要はなく、必要なものだけで構いません。
画像の前に、グループに関する情報をまとめた以下の表をご確認ください。
グループ名 | グループの説明 |
one-viewer | このグループのユーザーは Axur プラットフォームにアクセスでき、チケット情報、結果、請求書のすべてを閲覧できますが、操作は一切行えません。 |
one-practitioner | このグループのユーザーは Axur プラットフォームにアクセスでき、すべての情報を閲覧できるだけでなく、請求対象外の操作(削除リクエストを除く)を行うことができます。 |
one-expert | このグループのユーザーは Axur プラットフォームにアクセスでき、請求対象外の操作に加えて、削除リクエストも行うことができます。 |
one-manager | このグループのユーザーは Axur プラットフォームにアクセスでき、請求対象外および請求対象のすべての操作を行うことができ、さらに自分のユーザーが Axur プラットフォームで行った活動を閲覧することもできます。 |
one-basic | このグループのユーザーはカスタマイズされた権限セットを持っています。作成時に管理者がその権限内容を決定できます。 |
完了するには「Done」をクリックしてください!
ユーザーの作成
ユーザーを作成するには、以下の画像に示された手順に従ってください。
ユーザーへのグループ割り当て(任意)
このセクションは任意です。グループは、必要に応じて Axur プラットフォーム上で直接管理することも可能です。
そのため、「グループの作成」「ユーザーへのグループ割り当て」「ユーザーグループのマッピング」の各セクションは省略しても構いません。
作成したグループにユーザーを割り当てるには、以下の画像に示された手順に従ってください。
新しいアプリケーションの作成
以下のリンクから Google Workspace にアクセスし、管理者アカウントでログインしてください。
その後、以下の画像に示された手順に従い、Axur プラットフォーム向けの情報を入力して新しい SAML アプリケーションを作成します。
Google Workspace プロバイダからのデータ取得
Google Workspace をアイデンティティプロバイダとして使用しているため、Axur プラットフォームに対して通信相手が誰であるか、そしてそのデータが安全で信頼できるものであることを伝えるための情報を取得する必要があります。
SAML アプリケーション作成のプロセスに従って、以下の画像をご覧ください。
本チュートリアルでは、最初のオプションを使用します。ファイルをダウンロードし、問題なく開けることを確認してください。
このファイルはチュートリアルの最後に、Axur プラットフォームでの SSO 設定に使用します。
Axur プラットフォームのデータを Google Workspace に送信
Google は SSO が正しく機能するために、通信相手を認識する必要があります。
以下の画像に従い、Axur プラットフォームの以下の情報を Google Workspace の設定に入力してください。
以下は入力が必要な情報です(これらの値は固定されており、記載通りに正確に入力してください):
フィールド | 値 |
ACS URL |
|
Entity ID |
|
ユーザー属性のマッピング
Google Workspace をプロバイダとして利用する場合、Google が管理・保存している既存の認証情報を活用しています。これらの認証情報はプロバイダによって定められたフォーマットで保存されています。
しかし、SAML を使って Axur プラットフォームと通信するためには、ユーザーデータを標準化された形式で送信する必要があります。
つまり、Google やその他のプロバイダからのデータに関わらず、Axur プラットフォームが常にユーザーのメール属性を同じ形式で受け取れるように保証しなければなりません。異なるプロバイダはデータを異なる方法で管理しており、このマッピングによってその問題を解決します。
以下の画像に示された手順に従い、Google Workspace アプリケーションにユーザー属性のマッピングを追加してください。
入力が必要な値は以下の通りです:
フィールド | 値 |
Primary Email |
|
First name |
|
Last name |
|
ユーザーグループのマッピング(任意)
このセクションは任意です。グループは必要に応じて Axur プラットフォーム上で直接管理することも可能です。
そのため、「グループの作成」「ユーザーへのグループ割り当て」「ユーザーグループのマッピング」の各セクションは省略しても構いません。
ユーザー属性と同様に、特定の基準に基づいてユーザーをまとめる「グループ」もあります。これらのグループは管理者が Google Workspace で作成します。前のセクションで説明したように、これらのデータをプロバイダに関係なく標準化された形式で Axur プラットフォームに送信するために、マッピングを作成する必要があります。
このセクションでは、「グループ、ユーザー、および割り当て」のセクションで作成した各グループについて、Google Workspace に対してこれらのグループ名が Axur プラットフォームに送信される際にどのようにマッピングされるべきかを設定する方法に焦点を当てています。
以下の画像に従い、Google Workspace の設定でグループマッピングを作成してください(右側に入力する値は指定されたものを使用してください)。
http://schemas.xmlsoap.org/claims/Group
グループ属性およびユーザー属性のマッピング作業が完了したら、以下の画像のようにアプリケーションの設定が正しいか確認してください。
アプリケーションへのグループ/ユーザーの割り当て
作成した新しいアプリケーションにユーザーまたはグループを割り当てる作業だけが残っています。
以下の画像に示された手順に従って、この作業を行ってください。
もしプロバイダ経由でグループを作成することを選択した場合は、作成したグループを選択し、それらがアプリケーションで有効になっていることを確認してください。これにより、これらのグループに所属するすべてのユーザーがアプリケーションにアクセスできるようになります。
プロバイダ経由でグループを作成しない場合は、組織単位(OU)に対してアプリケーションを有効にすることも可能です。これにより、その OU に所属するすべてのユーザーがグループを作成せずにアプリケーションにアクセスできるようになります。
OU(組織単位)について:
グループについて:
よくあるエラー
Google Workspace には、SAML アプリケーション作成時によく発生するエラーをまとめたサポートページがあります。こちらのページは「ここをクリック」してアクセスできます。
一般的に、エラーが発生した場合は以下を必ず確認してください。
サービスプロバイダ(SP)(本ケースでは Axur プラットフォーム)の情報。該当セクションのデータが正しいかどうかを確認してください。
アイデンティティプロバイダ(IdP)(本ケースでは Google Workspace)の情報。ここでダウンロードしたファイルが改変されていないか確認してください。
ユーザーおよびグループのマッピング情報(プロバイダ経由でグループマッピングを作成した場合のみ)。値が正しいかどうかを確認し、必要に応じて修正してください。
アプリケーションへのアクセス情報。グループや直接ユーザーの割り当てが正しく行われているか確認してください。
以上で、Google Workspace 側の必要な設定は完了です。
プラットフォームの設定ガイドに戻り、アプリケーションの作成を完了してください。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊