ブラウザを再起動後、G Suiteにアクセスするとログインし続ける現象が発生しています

【現象の概要】

Gluegent Gate をお使いの場合、ブラウザを終了した時点で G Suite のログインセッションが切断され、再度ブラウザを起動し、G Suite にアクセスすると Gluegent Gate のログイン画面が表示されておりました。

Chrome へのログインやプロセスを終了させない拡張機能をインストールされていた場合はログインセッションが保持されることがあります

2018 年 3 月 27 日以降、上記の挙動にならず、ブラウザを再起動後に G Suite にアクセスすると、Gluegent Gate のログイン画面を経由せず、前回ログインしていたユーザーで G Suite のサービスに遷移します。

 

【原因】

Google 社に確認したところ、下記ブログに記載されている機能追加による仕様変更であることが判明いたしました。

G Suite アップデート ブログ: ウェブ上の Google サービスのセッションの長さを管理する

この仕様は、G Suite Business、G Suite Enterprise、G Suite for Education の管理者を対象に、G Suite のログインセッションの長さ(ログイン Cookie の保持期間)を指定できる機能です。

デフォルトでは有効期限は 14 日後に設定されており、G Suite Basic のお客様については当該機能は実装されないため変更できません。

なお、Gluegent Gate などのシングルサインオン (SSO) をお使いのドメインでは現在上記の指定ができません。こちらは今後対応予定とのことです。

【対応策】

シングルサインオンをお使いのドメインでも上記の仕様が利用できるようになりましたら、14日以外の設定変更が可能になります。(G Suite Basic を除く)

誠に恐れ入りますが、ブラウザを閉じる前に明示的にログアウトするよう、ご利用手順の変更をお願いいたします。

上記の仕様変更により、G Suite のログインセッションの保持期間を1時間〜セッション切れなしまで指定できるようになっておりますが、これまでの仕様に合わせるため、ブラウザ終了と同時に切れるような選択肢の追加をリクエストしました。また、G Suite Basic につきましては、上記仕様が適用されずデフォルトで 14 日となっているとのことですが、こちらをこれまでの仕様に戻していただくようリクエストいたしました。

※上記対応策の採用有無は Google 社の判断によりますので実現をお約束できるものではございません。

【2018/04/18 14:00 追記】

Google 社より回答が得られましたのでご報告いたします。

先日実施された仕様変更をロールバックすることになったとのことです。また、その際に各ユーザー様には一度 G Suite からログアウトしていただく必要がございます。下記をご参照いただき、ご対応いただけますようお願いいたします。


[ 今後の対策 ]

この度、SAML 認証に対して発行される cookie の session cookie から persistent cookie への変更 (以下、SAML persistent cookie) を予告なく行ってしまいましたことについて複数のお客さまより問題をご指摘いただきましたため、本変更を一時的にロールバックすることに決定いたしました。

Session cookie : ブラウザを閉じるまで有効な Cookie

Persistent cookie : 設定された有効期限まで、ブラウザを閉じても有効な Cookie

SAML persistent cookie のロールバックは日本時間の 4月18日(水)未明に行い、5月8日(火)未明に再度ロールアウトする予定です。

この間にお客様には移行に必要な対処をお願いいたします。( 下記にいくつかの設定方法を解説しております。) Persistent cookie への移行が、予定されているいくつかのセキュリティ上の改善に必要なため、ロールバック期間が限られてしまいましたことをお詫び申しあげます。

Persistent cookie への移行の理由

従来、Google はサードパーティーの SAML プロバイダ経由で作成されたセッションについては、常に一時的な cookie (session cookie) を発行していました。その意図は、お客様が選ばれた認証方法をより尊重するため、ブラウザが閉じられればセッションが失効し、次回ブラウザを起動したときに再度 SAML プロバイダのログイン画面へとリダイレクトされるように、というものでした。

しかし、近年、session cookie がブラウザによって異なる挙動を示すようになってきました。そのため、管理者がユーザーのセッションをより確実に管理できるよう session cookie の使用をやめ、かわりにこのブログ記事 ( https://gsuiteupdates-ja.googleblog.com/2018/04/google_5.html ) のとおり、セッションの長さを明示的に指定する機能を公開することとしました。Session cookie の場合とは異なり、この設定によるセッションの長さの指定はブラウザの実装に依存することなく、管理者様はより確実にセッションの管理を行うことができるようになります。

なお、SAML 向けのウェブ セッション継続期間設定は近日中にリリースする予定です。

[ お客様の側で行っていただく必要がある作業につきまして ]

- ロールバック直後

すでに存在する persistent cookie の寿命は14日で、ロールバックによって自動的に期限が切れることはありませんので、必要があればお客様側でセッションを無効化していただく必要があります。ロールバック完了後に、各ユーザ様に一度明示的にログアウトしていただくか、管理コンソールのユーザーの詳細画面 > セキュリティ > ログイン Cookie より、cookie のリセットを行ってください。(申し訳ございませんが、複数のユーザに対して同時に cookie をリセットする方法はございません。)

- 5月8日の SAML persistent cookie の再ロールアウトまで

-- 明示的にセッションの継続期間を指定されたいお客様 (G Suite Business, Enterprise, Education のみ)
管理コンソールの セキュリティ > Google のセッション管理より、セッションの継続期間をご指定ください。本機能が SAML に対して有効になり次第、設定は有効になります。本機能は SAML persistent cookie の再ロールアウトより前に有効になる予定です。

-- 従来のようにブラウザを閉じた際にセッションが切れるようにしたいお客様 (Chrome のみ)

--- 各端末での設定

Chrome 設定の cookie > 終了時に消去 (https://support.google.com/chrome/answer/95647) を各 PC の Chrome で設定していただきますと、ブラウザを閉じるたびに cookie がクリアされ、セッションが無効になります。

--- ポリシーテンプレートを複数の端末に適用する方法

Chrome のポリシーテンプレートに "CookiesSessionOnlyForUrls" という項目があり、こちらに "google.com" を設定することで、同様の設定を複数端末で適用することが可能です。

ポリシーテンプレートは下記ヘルプ記事にてダウンロード可能です。

端末用の Chrome ポリシーを設定する - Google Chrome Enterprise ヘルプ
https://support.google.com/chrome/a/answer/187202?hl=ja

--- 管理コンソールにてユーザー ポリシーを設定する方法

管理コンソールの 端末管理 > Chrome 管理 > ユーザー設定 > コンテンツ > cookie > 「URL パターンに対してセッションのみの Cookie を許可します」 (https://support.google.com/chrome/a/answer/2657289) にて、google.com を設定していただくことにより、その設定が適用される組織のユーザがログインしている Chrome では、ブラウザを閉じるたびに Google の cookie がクリアされます。

-- その他のお客様

ユーザ様にセッションの挙動が5月8日以降変更されることをお伝えいただき、ブラウザを閉じる前に明示的にログアウトしていただくようお伝えください。

重ねてのお詫びとなりますが、本事象によりお客様にご迷惑をおかけしておりますこと、誠に申し訳ございません。

他にご質問がございましたら、リクエストを送信してください

1 コメント

  • 0
    Avatar
    須藤

    Google 社より回答が得られましたのでご報告いたします。

    先日実施された仕様変更をロールバックすることになったとのことです。また、その際に各ユーザー様には一度 G Suite からログアウトしていただく必要がございます。記事本文をご参照いただき、ご対応いただけますようお願いいたします。

記事コメントは受け付けていません。