メインコンテンツまでスキップ

Google Workspace を使用してシングルサインオンを設定する

最小限の設定作業で、このコネクターを使用して Microsoft Entra ID と統合し、エンタープライズシングルサインオン (SSO) を実現できます。

ヒント:

SSO についての詳細や Logto での SSO の設定方法については、エンタープライズシングルサインオン (SSO) (SAML & OIDC) ドキュメントを参照して始めてください。

ステップ 1: Google Cloud Platform で新しいプロジェクトを作成する

Google Workspace を認証 (Authentication) プロバイダーとして使用する前に、Google API Console でプロジェクトを設定し、OAuth 2.0 資格情報を取得する必要があります。すでにプロジェクトがある場合は、このステップをスキップできます。そうでない場合は、Google 組織の下で新しいプロジェクトを作成してください。

新しい OIDC 資格情報を作成するには、アプリケーションの同意画面を設定する必要があります。

  1. OAuth 同意画面 ページに移動し、Internal ユーザータイプを選択します。これにより、OAuth アプリケーションは組織内のユーザーのみが利用可能になります。
Google Workspace 同意画面のユーザータイプ
  1. ページの指示に従って Consent Screen 設定を入力します。次の最低限の情報を提供する必要があります:
  • アプリケーション名:アプリケーションの名前です。同意画面に表示されます。
  • サポートメール:アプリケーションのサポートメールです。同意画面に表示されます。
Google Workspace 同意画面の設定
  1. アプリケーションの Scopes を設定します。ユーザーのアイデンティティ情報とメールアドレスを IdP から適切に取得するために、Logto SSO コネクターは IdP から次のスコープを付与する必要があります:
Google Workspace 同意画面のスコープ
  • openid:このスコープは OIDC 認証 (Authentication) に必要です。ID トークンを取得し、IdP の userInfo エンドポイントにアクセスするために使用されます。
  • profile:このスコープはユーザーの基本的なプロフィール情報にアクセスするために必要です。
  • email:このスコープはユーザーのメールアドレスにアクセスするために必要です。

Save ボタンをクリックして同意画面の設定を保存します。

ステップ 3: 新しい OAuth 資格情報を作成する

Credentials ページに移動し、Create Credentials ボタンをクリックします。ドロップダウンメニューから OAuth client ID オプションを選択して、アプリケーション用の新しい OAuth 資格情報を作成します。

Google Workspace create credentials

次の情報を入力して OAuth 資格情報の設定を続行します:

Google Workspace credentials config
  1. アプリケーションタイプとして Web application を選択します。
  2. クライアントアプリケーションの Name を入力します。例えば、Logto SSO Connector。これにより、将来的に資格情報を識別するのに役立ちます。
  3. Authorized redirect URIs に Logto のコールバック URI を入力します。これは、Google が認証 (Authentication) に成功した後にユーザーのブラウザをリダイレクトする URI です。ユーザーが IdP での認証に成功した後、IdP はユーザーのブラウザをこの指定された URI に認可 (Authorization) コードと共にリダイレクトします。Logto は、この URI から受け取った認可 (Authorization) コードに基づいて認証 (Authentication) プロセスを完了します。
  4. Authorized JavaScript origins に Logto コールバック URI のオリジンを入力します。これにより、あなたの Logto アプリケーションのみが Google OAuth サーバーにリクエストを送信できるようになります。
  5. Create ボタンをクリックして OAuth 資格情報を作成します。

ステップ 4: クライアント資格情報を使用して Logto コネクターを設定する

OAuth 資格情報の作成に成功すると、クライアント ID とクライアントシークレットが表示されるプロンプトモーダルが表示されます。

Google Workspace create credentials

Client IDClient secret をコピーし、Logto の SSO コネクターの Connection タブの対応するフィールドに入力します。

これで、Logto 上で Google Workspace SSO コネクターの設定が完了しました。

ステップ 5: 追加のスコープ (オプション)

Scope フィールドを使用して、OAuth リクエストに追加のスコープを追加します。これにより、Google OAuth サーバーからより多くの情報を要求できます。詳細については、 Google OAuth Scopes ドキュメントを参照してください。

カスタムスコープ設定に関係なく、Logto は常に openidprofile、および email スコープを IdP に送信します。これは、Logto がユーザーのアイデンティティ情報とメールアドレスを適切に取得できるようにするためです。

ステップ 6: メールドメインを設定し、SSO コネクターを有効にする

Logto のコネクターの SSO experience タブで、組織の email domains を提供してください。これにより、これらのユーザーに対する認証 (Authentication) 方法として SSO コネクターが有効になります。

指定されたドメインのメールアドレスを持つユーザーは、唯一の認証 (Authentication) 方法として SSO コネクターを使用するようにリダイレクトされます。

Google Workspace SSO コネクターの詳細については、 Google OpenID Connector をご確認ください。