Google AppsとOAMおよびIdPの統合

Google Appsは、企業が日常業務で利用することがある一連のサービスを提供し、従業員がGoogleクラウドにメール、カレンダ、ドキュメント・ストレージをオフロードできるようにします。

会社が従業員のためにGoogle Appsを購入する場合、Googleでユーザー・アカウントを作成し、従業員にアカウント情報を提供する必要があります。

ユーザーがGoogle Appsにアクセスする必要があるたびに、ユーザーがGoogle Apps資格証明を入力する認証操作が行われます。これは、オンプレミス会社のユーザー資格証明とは異なります。

Google AppsはSAML 2.0 SSOプロトコルをサービス・プロバイダとしてサポートしており、ここでは、企業のGoogle AppsサービスをオンプレミスのフェデレーションSSO IdPサーバーと統合して、次のことを実行できます。

この記事では、SAML 2.0 SSOプロトコルを使用して、Google AppsをSPとしてOAMをIdPとして統合する方法をステップごとに説明します。

重要なノート: ドメインに対してフェデレーションSSOを有効にすると、その後フェデレーションSSOを介して認証する必要があるそのドメインの管理者にも影響します。

ユーザー・マッピング

Google Appsのユーザーは、ユーザーの作成時に設定された電子メール・アドレスによって一意に識別されます。

SAML 2.0 SSOフロー中に、IdPはGoogleアプリケーションにユーザーIDを提供する必要があります。

Google Appsサービスを購入した会社ACMEの例を、ACME.comドメインについて考えてみましょう。

Google Appsのユーザー・アカウントを表示するには、次のステップを実行します。

  1. ブラウザの起動

  2. http://www.google.com/aにアクセスします。

  3. 「サインイン」をクリックします

    4. 図Google_SignIn.jpgの説明

  4. 「domain」フィールドに、ドメインの名前(この例ではwww.acme.com)を入力します。

  5. Admin Consoleを選択します

  6. 「実行」をクリックします

    7. 図Admin_Console.jpgの説明

  7. ダッシュボードで「ユーザー」をクリックします

    8. 図Dashboard.jpgの説明

  8. 表示するユーザーの選択

図User_View.jpgの説明

次の画面には、ユーザーに関する詳細が表示されます。電子メール・アドレスは、ユーザーのアイデンティティの下に表示されます。この例では、SAML 2.0 SSO操作中にACME IdPをaliceまたはalice@ACME.comのいずれかでGoogle Appsに送信する必要があります。

図User_Details.jpgの説明

IdP構成

Google Apps識別子

Google Appsは、Google Apps管理者がIdPに認識されるように構成できます。

この動作は、Google Apps SSO管理セクションの「ドメイン固有の発行者の使用」によって決まります。

通常、特定の発行者/providerIDを使用する必要はなく、SAML 2.0 SSOフローのGoogle Appsはgoogle.comと呼ばれます。

Google Apps SPパートナー

SPパートナとしてGoogle Appsを作成するには、次のステップを実行します。

  1. OAM管理コンソールに移動します: http(s)://OAM-admin-host:OAM-adminport/oamconsole

  2. 「アイデンティティ・フェデレーション」「アイデンティティ・プロバイダ管理」のナビゲート

  3. 「サービス・プロバイダ・パートナの作成」ボタンをクリックします

  4. 「Create」画面で:

    1. パートナの名前(GoogleAppsなど)を入力します。

    2. プロトコルとしてSAML 2.0を選択します。

  5. サービス詳細:

    1. 「手動で入力」をクリックします

    2. プロバイダIDをgoogle.comに設定します(Google Appsで「ドメイン固有の発行者の使用」機能を有効にした場合は、google.com/a/<YOUR_DOMAIN.COM>と入力します)。

    3. アサーション・コンシューマURLをhttps://www.google.com /a/<YOUR_DOMAIN.COM>/acsに設定します(例: https://www.google.com/a/acme.com/acs)。

    4. NameID形式として「電子メール・アドレス」を選択します

  6. Google Appsに提供する必要があるuserIDを含むLDAPユーザー属性を選択します。この例では、uid属性にuserIDが含まれていました。「ユーザーIDストア属性」を選択し、uidと入力します

  7. SAMLアサーションに属性を移入するために使用される属性プロファイルを選択します(Google AppsはSAMLを想定していないため、デフォルトの空のプロファイルは許容されます

  8. NameID以外の属性)

  9. 「保存」をクリックします

図Google_Apps.jpgの説明

OAM情報の収集

Google Apps SSO管理コンソールに次の情報を提供する必要があります。

以前の記事では、OAMによって公開されたエンドポイントをリストしています。SAML 2.0 SSO IdPエンドポイントおよびSAML 2.0ログアウト・エンドポイントはHTTP(s)://oampublic-hostname:OAM-public-port/oamfed /idp/samlv20, with OAM-public-hostnameで、ユーザーがOAMアプリケーション(ロード・バランサ、HTTPリバース・プロキシなど)にアクセスするパブリック・エンドポイントの値であるoampublic- portになります。

oam- public- hostnameおよびoham- public- portについて不明な場合は、次のことができます。

  1. OAM管理コンソールに移動します: http(s)://OAM-admin-host:OAM-adminport/oamconsole

  2. 「構成」「Access Managerの設定」にナビゲートします。

  3. OAM-public-hostnameはOAMサーバー・ホスト、OAM-public-portはOAMサーバー・ポート、プロトコル(httpまたはhttps)はOAMサーバー・プロトコルにリストされています。

図Access_Manager_Settings.jpgの説明

同じ記事で、SAMLメッセージの署名に使用するキー・エントリを決定する方法と、IdPで使用される対応する署名証明書を取得する方法についても説明します。

  1. OAM管理コンソールに移動します: http(s)://OAM-admin-host:OAM-adminport/oamconsole

  2. 「構成」「連邦設定」に移動します

  3. 「一般」セクションの「署名キー」フィールドは、SAMLメッセージ署名操作に使用されるキーIDエントリを示します

図Federation_Settings.jpgの説明

特定のキーIDの証明書ファイルを取得するには、ブラウザを開き、次のURLを使用して証明書を取得し、ローカルに保存します:

http://oam-runtime-host:oam-runtime-port/oamfed /idp/cert?id=<KEYENTRY_ID>

Google Apps構成

Google Apps for SAML 2.0 SSOフローを構成するには、次のステップを実行します。

  1. ブラウザの起動

  2. https://www.google.com/enterprise/apps/business/に移動します

  3. 認証して管理ダッシュボードに移動

  4. 「その他のコントロール」をクリックします

    5. 図More_Controls.jpgの説明

  5. 「セキュリティ」をクリックします

    6. 図Security_Screen.jpgの説明

  6. 「Advanced Settings」をクリックします

    7. 図Advanced_Settings.jpgの説明

  7. 「シングル・サインオン(SSO)」をクリックします。

図SSO_Screen.jpgの説明

「SSO設定」ページで、証明書をアップロードします。

  1. 「検証証明書」セクションで、「ファイルの選択」をクリックします

  2. 以前に保存したOAM IdP証明書を選択します

  3. 「アップロード」をクリックします

図Upload_certificate.jpgの説明

「SSO設定」ページで、URLを設定し、フェデレーションSSOを有効にするには:

  1. http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20に似たサインインURL (IdP SAML 2.0 SSOエンドポイント)を入力します(例: https://SSO.acme.com/oamfed/idp/samlv20)

  2. http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20と同様に(https://sso.acme.com/oamfed/idp/samlv20など)、サインアウトURL (IdP SAML 2.0ログアウト・エンドポイント)を入力します

  3. デプロイメントのパスワード変更URLを入力します(注意: この例では/changePasswordを使用しますが、これはOAMサービスではありません。デプロイメントのパスワード管理サービスURLを入力する必要があります)。

  4. 「シングル・サインオンの有効化」を選択して、フェデレーションSSOをオンにします

  5. 「保存」をクリックします

図Enable_SSO.jpgの説明

テスト

テストするには:

  1. 新しいブラウザーを開く

  2. 次のGoogle AppsのフェデレーションSSOを介して認証するには、これらのURLに移動します:

  3. Gmail: https://mail.google.com /a/\<YOUR_DOMAIN.COM\>/ (https://mail.google.com/a/acme.com/など)

  4. カレンダ: https://calendar.google.com /a/\<YOUR_DOMAIN.COM\>/ (https://calendar.google.com/a/acme.com/など)

  5. ドキュメント: https://docs.google.com /a/\<YOUR_DOMAIN.COM\>/ (https://docs.google.com/a/acme.com/など)

  6. たとえば、GmailのURLを入力します。

OAM IdPにリダイレクトされます

  1. 資格証明の入力

    2. 図Access_Manager.jpgの説明

  2. 「ログイン」をクリックします

Gmailアプリケーションが表示されます。

図Gmail_Login.jpgの説明

[Description of the illustration Gmail_Login.jpg](files/Gmail_Login.txt)

その他の学習リソース

docs.oracle.com/learnで他のラボを探すか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。