コンテンツまでスキップ

【Okta】Google Workspaceとの連携を劇的に簡素化するExpress Setupを体験してみた!

Picture of tatsumin

こんにちは!たつみんです。

今回は、現在Early Accessとして提供されている Google Workspace express setup について検証した結果をご紹介します。

Google Workspace express setup は、OktaとGoogle Workspaceの連携をこれまでよりも少ない手順で完了できる機能です。

設定方法

Early Access の有効化

はじめに Okta Admin Console > Settings > Features から Google Workspace express setup を有効化します。

Early Accessの一覧からGoogle Workspace express setupを有効にした画面です

Okta設定

Applications > Applications から Browse App Catalog を選択し、Google Workspace を追加します。

プライマリドメインを入力し、「Next」をクリックします。

プライマリドメインを入力している画面です。

Sign-On Options の画面で、SAML 2.0 セクション内の 「1-click setup」 をクリックします。

1-click setupをクリックしている画面です。

表示されるアラート画面で「Connect Google Workspace account」をクリックします。

1-click setupをクリック後に表示されるアラート画面です。

Google Workspace の画面が別ウィンドウで表示されます。画面の指示に従って、必要な権限を付与します。

別ウィンドウで開いたGoogle Workspaceの権限付与画面です。

Google Workspace での作業が完了すると、Okta の画面に戻り、以下のポップアップ画面が表示されます。

1-click setupが完了したことを示すポップアップ画面です。

Oktaの設定画面で「Done」をクリックします。

注目すべき点として、Advanced Sign-on SettingsにRPIDが自動的に反映されています。この詳細については後ほど説明します。

RPIDが反映された画面です。

プロビジョニング設定

プロビジョニング設定を行うには、「Provisioning」タブから「Configure API Integration」をクリックします。

プロビジョニング設定を行う画面です。

「Enable API integration」にチェックを入れ、「Save」をクリックするだけでプロビジョニングのための連携が完了します。

通常、この段階でプロビジョニングに必要な権限を付与するための認証が必要ですが、Google Workspace express setup の過程で既に必要な権限を付与しているため、手順が簡略化されています。

API連携を実施する画面です。

今回のプロビジョニングオプションとして、「Create Users」、「Update User Attributes」を有効化しました。

プロビジョニングオプションを設定している画面です。

Google Workspace設定

Google Workspace管理画面で「セキュリティ」>「認証」>「サードパーティのIdPによるSSO」を表示します。

以下のように、サードパーティのSSOプロファイルとしてOktaのSAML設定が表示されています。

Google WorkspaceでSSOプロファイルを確認している画面です。

SSOプロファイルの割り当て管理で、テスト用の組織部門を選択します。次に、「別のSSOプロファイル」からOktaが作成したプロファイルを選び、オーバーライドします。

テスト用の組織部門に対してOktaが作成したSSOプロファイルを設定している画面です。

動作確認

Google Workspaceに存在しないOktaユーザーをアサインし、ユーザーが作成されるか、およびSSOが実行できるかを確認します。

RPIDとサードパーティのSSO プロファイルの関係

今回の設定過程で、Okta側にRPIDが反映されていました。RPIDは、Google Workspaceで複数設定できるサードパーティのSSO プロファイルを特定するために存在します。

Google Workspaceには以下の2つの概念があります。

  • 組織向けのサードパーティのSSO プロファイル
    • 単一のプロファイルのみ作成可能
  • サードパーティのSSO プロファイル
    • 複数のプロファイルを作成可能

名称が似ているので少し紛らわしいのですが、今回検証したGoogle Workspace express setupが「サードパーティのSSO プロファイル」として作成される理由は、組織向けのサードパーティのSSO プロファイルが既に存在している可能性を考慮してのことだと推測されます。

 

まとめ

Google Workspace express setupを利用することで、OktaとGoogle Workspaceの連携がこれまでよりも簡単になりました。特に以下の点が大きなメリットとして挙げられます。

  • SSOの設定が自動化され、手順がより簡素化された
  • プロビジョニング設定時の追加認証プロセスが省略された

今後、Google Workspace以外のSaaSでも同様の仕組みが実装されることを期待したいですね。

それでは、また次の記事でお会いしましょう!
,