Google Workspace は、Googleが提供するグループウェアです。
この記事では、Google Workspaceのシングルサインオン機能を使って、cybozu.comにログインするための設定手順を説明します。

• Google Workspaceの管理者権限があること
• cybozu.com共通管理者 の権限があること
• Google Workspaceのメールアドレスをログイン名としたユーザーをcybozu.comのユーザーに追加していること

• 「SAML認証の使用を必須にする」を有効にすると、Google Workspace経由のシングルサインオンでのみcybozu.comにログインできます。
• cybozu.comのSAML認証は、SP-initiated SSOとして動作します。
• kintoneのゲストユーザーはSAML認証の対象外です。
• cybozu.comのユーザーのメールアドレスのドメインは、Google Workspaceのドメインと一致している必要があります。

ここでは、カスタムSAMLアプリを作成するながれを紹介します。

手順1：SAMLアプリを作成

次のページの手順にしたがって、Google管理コンソールでカスタムSAMLアプリを作成します。
カスタムSAMLアプリを設定する

手順の詳細はGoogleの公式ヘルプを参照してください。
本記事では、特に重要な設定項目や注意点を抜粋して解説します。

1. [カスタムSAMLアプリの追加]画面では、任意のアプリ名（例：cybozu）を入力してください。

   

2. 「Google IDプロバイダの詳細」画面で、次の情報を確認し、メモしておきます。
   cybozu.comでの設定 で必要になります。

   • SSOのURL
   • エンティティID
   • 証明書（証明書ファイルをダウンロードしてください）

3. 「サービス プロバイダの詳細」画面で、次の情報を入力します。

   例：kintoneサブドメインがsampleの場合

   • ACSのURL： https://{sample}.cybozu.com/saml/acs
   • エンティティID： https://{sample}.cybozu.com
   • 開始URL： https://{sample}.cybozu.com/k/#/portal

4. 「属性のマッピング」の設定は省略可能のため、そのまま[完了]をクリックします。
   必要な場合は、適宜設定してください。

手順2：SAMLアプリを有効にする

次のページの手順で、カスタムSAMLアプリを有効化します。
SAML アプリを有効にする

次の図のように、作成したSAMLアプリの管理画面を開き、「サービスのステータス」で[オン（すべてのユーザー）]を選択し、保存します。

次のページの手順にしたがってIdentity Provider（IdP）の情報を設定してください。
cybozu.comでSAML認証を設定する

Google Workspaceでの設定 でメモした、Google Workspaceの情報を入力します。

• Identity ProviderのSSOエンドポイントURL：「SSOのURL」の値
• cybozu.comからのログアウト後に遷移するURL：任意のURL（例：cybozu.comのログイン画面など）
• 証明書を登録する：ダウンロードした証明書ファイル

SAML認証を使用してcybozu.comにシングルサインオンできることを確認します。
次の操作ができれば完了です。

1. cybozu.comをログアウトする。
2. Googleにログインする。
3. Webブラウザーからcybozu.com（https://{sample}.cybozu.com）にアクセスすると、GoogleWorkspaceでの認証に成功し、cybozu.comの画面が表示される。
4. 正常にログアウトもできる。

［SAML認証の使用を必須にする］を有効にしていても、cybozu.com共通管理者はパスワード認証を利用してcybozu.comにログインできます。
詳しくは次のページを確認してください。
SAML認証を回避するURL

その他、SAML認証の設定に失敗する場合は次のページも参考にしてください。
SAML認証のトラブルシューティング