Google Workspace を使用した SAML SSO の設定
このガイドでは、Google Workspace を SAML Identity Provider (IdP) として、VeloDB Cloud を Service Provider (SP) として設定し、1つの VeloDB Cloud 組織に対して構成します。
前提条件
開始する前に、以下を確認してください:
- VeloDB Cloud 組織が Premium プランを使用している。
- VeloDB Cloud で Organization Admin である。
- SAML アプリケーションの作成と割り当て権限を持つ Google Workspace 管理者である。
- 企業メールドメインに対して DNS TXT レコードを作成できる。
- Google Workspace で必要な 2-Step Verification ポリシーを設定している。
SSO の設定とテスト中は、アクティブな Organization Admin セッションを開いたままにしてください。
VeloDB Cloud で SAML セットアップを開始
-
Organization Admin として VeloDB Cloud にサインインします。
-
コンソールの左下にあるプロフィール領域をクリックしてアカウントメニューを開き、Authentication を選択します。
-
SAML Single Sign-on をオンにします。
-
Add Application で、以下の値をコピーします:
- Single Sign-On URL
- Service Provider Entity ID
Google Workspace を設定している間は、このページを開いたままにしてください。
Google Workspace アプリケーションの作成
-
Google Admin console にサインインします。
-
Apps → Web and mobile apps に移動します。
-
Add app → Add custom SAML app を選択します。
-
VeloDB Cloudなどのアプリケーション名を入力し、Continue を選択します。 -
Google Identity Provider details ページで、Metadata URL をコピーし、次のセクション用に安全に保存します。
-
Continue を選択します。
-
Service Provider の詳細を設定します:
Google Workspace field Value ACS URL VeloDB Cloud の Single Sign-On URL Entity ID VeloDB Cloud の Service Provider Entity ID Start URL 空白のままにする Signed response Enabled Name ID format EMAILName ID Basic Information → Primary email -
Continue を選択します。
-
以下の属性マッピングを追加します:
Google directory attribute App attribute Primary email email -
Finish を選択します。
-
User access を開き、適切なグループまたは組織単位に対してアプリケーションを有効にします。
詳細については、Google Workspace ドキュメントの Set up your own custom SAML application を参照してください。
Google Workspace メタデータのインポート
- VeloDB Cloud に戻り、Configure Identity Provider に進みます。
- Google Workspace のメタデータ URL を Metadata URL に貼り付けます。
- Verify を選択します。
- VeloDB Cloud がインポートされた IdP SSO URL と証明書を表示することを確認します。
メタデータ URL は HTTPS 経由で公的にアクセス可能である必要があります。
ドメインの検証とプロビジョニングの設定
- Verify Domain に進みます。
- Add Domain を選択し、
@を除いた企業メールドメインを入力します。 - DNS プロバイダーで、VeloDB Cloud が表示する TXT Record Name と Record Value を使用して TXT レコードを作成します。
- DNS 変更が伝播されるまで待ち、そのドメインに対して Verify を選択します。
- JIT プロビジョニングを通じて作成されるユーザーに割り当てられる Default Role を選択します。
- JIT Provisioning Policy を選択します。
- Continue を選択します。
プロビジョニングポリシーの詳細については、JIT provisioning を参照してください。
SSO のテストと有効化
- Test SSO Login で、Test SSO Login を選択します。
- アプリケーションへのアクセス権を持つ Google Workspace アカウントで認証します。
- VeloDB Cloud が SSO Test Successful と報告することを確認します。
- Enable SSO に進み、Enable SSO を選択してセットアップを完了します。
SSO の強制
SSO を強制する前に、アクティブな Organization Admin が通常の SAML サインインを完了する必要があります:
- VeloDB Cloud からサインアウトします。
- Organization Admin のメールアドレスを使用して https://www.velodb.cloud で新しいサインインを開始します。
- Google Workspace を通じて認証し、管理者が組織にアクセスできることを確認します。
- Authentication に戻り、SAML SSO 設定を開きます。
- Enable SSO の横にある Configure を選択し、Enforce SSO を選択して変更を確認します。
Google Workspace アプリケーションタイルからサインインを開始しないでください。VeloDB Cloud は Service Provider-initiated サインインのみをサポートしています。
SSO が有効だが強制されていない場合、email sign-in page はパスワードまたは検証コードサインインで引き続き利用可能です。
ユーザーの Google Workspace アプリケーションアクセスを削除しても、既存の VeloDB Cloud 組織メンバーシップは削除されません。メンバーをオフボードする際は、VeloDB Cloud の Members ページでメンバーを個別に削除してください。