G Suiteにアクセスするとログインし続ける現象について(シングルサインオン)

G Suite とシングルサインオン(SSO)サービス(または社内にて認証サーバー)を連携し運用されているお客様において、ブラウザを閉じてもログアウトされず、次回アクセス時に直接 Google サービスにアクセスできる現象が発生しております。

本件については、下記ブログに記載されている機能追加による仕様変更の影響です。

G Suite アップデート ブログ: ウェブ上の Google サービスのセッションの長さを管理する
https://gsuiteupdates-ja.googleblog.com/2018/04/google_5.html

上記は、G Suite Business、G Suite Enterprise、G Suite for Education の管理者を対象に、ウェブセッションの長さ(ログイン Cookie の保持期間)を指定できる機能です。

なお、こちらは現在 SSO を利用しているユーザーについては指定ができませんが、今後対応予定となっております。

以下は Google 社からの回答です。

 

今回のログインの挙動の変更は、上記機能への対応準備として、SSO 経由でログインした際に保存される Cookie の種類を、ブラウザを閉じると無効になるものから、指定された期日まで有効なものへと変更されたためでございました。

デフォルトでは有効期限は 14 日後に設定されており、G Suite Basic のお客様については当該機能は実装されないため変更できません。

もし共有の端末を使用されているユーザーがいらっしゃいましたら、今後はブラウザを閉じる前に明示的にログアウトするよう、ご利用手順の変更などをお願いいたします。

この度は、事前のお知らせなく機能の変更を行い、ご迷惑をおかけしてしまい、誠に申し訳ございませんでした。

[ 今後の対策 ]

この度、SAML 認証に対して発行される cookie の session cookie から persistent cookie への変更 (以下、SAML persistent cookie) を予告なく行ってしまいましたことについて複数のお客さまより問題をご指摘いただきましたため、本変更を一時的にロールバックすることに決定いたしました。

Session cookie : ブラウザを閉じるまで有効な Cookie

Persistent cookie : 設定された有効期限まで、ブラウザを閉じても有効な Cookie

SAML persistent cookie のロールバックは日本時間の 4月18日(水)未明に行い、5月8日(火)未明に再度ロールアウトする予定です。

この間にお客様には移行に必要な対処をお願いいたします。( 下記にいくつかの設定方法を解説しております。) Persistent cookie への移行が、予定されているいくつかのセキュリティ上の改善に必要なため、ロールバック期間が限られてしまいましたことをお詫び申しあげます。

Persistent cookie への移行の理由

従来、Google はサードパーティーの SAML プロバイダ経由で作成されたセッションについては、常に一時的な cookie (session cookie) を発行していました。その意図は、お客様が選ばれた認証方法をより尊重するため、ブラウザが閉じられればセッションが失効し、次回ブラウザを起動したときに再度 SAML プロバイダのログイン画面へとリダイレクトされるように、というものでした。

しかし、近年、session cookie がブラウザによって異なる挙動を示すようになってきました。そのため、管理者がユーザーのセッションをより確実に管理できるよう session cookie の使用をやめ、かわりにこのブログ記事 ( https://gsuiteupdates-ja.googleblog.com/2018/04/google_5.html ) のとおり、セッションの長さを明示的に指定する機能を公開することとしました。Session cookie の場合とは異なり、この設定によるセッションの長さの指定はブラウザの実装に依存することなく、管理者様はより確実にセッションの管理を行うことができるようになります。

なお、SAML 向けのウェブ セッション継続期間設定は近日中にリリースする予定です。

[ お客様の側で行っていただく必要がある作業につきまして ]

- ロールバック直後

すでに存在する persistent cookie の寿命は14日で、ロールバックによって自動的に期限が切れることはありませんので、必要があればお客様側でセッションを無効化していただく必要があります。ロールバック完了後に、各ユーザ様に一度明示的にログアウトしていただくか、管理コンソールのユーザーの詳細画面 > セキュリティ > ログイン Cookie より、cookie のリセットを行ってください。(申し訳ございませんが、複数のユーザに対して同時に cookie をリセットする方法はございません。)

- 5月8日の SAML persistent cookie の再ロールアウトまで

-- 明示的にセッションの継続期間を指定されたいお客様 (G Suite Business, Enterprise, Education のみ)
管理コンソールの セキュリティ > Google のセッション管理より、セッションの継続期間をご指定ください。本機能が SAML に対して有効になり次第、設定は有効になります。本機能は SAML persistent cookie の再ロールアウトより前に有効になる予定です。

-- 従来のようにブラウザを閉じた際にセッションが切れるようにしたいお客様 (Chrome のみ)

--- 各端末での設定

Chrome 設定の cookie > 終了時に消去 (https://support.google.com/chrome/answer/95647) を各 PC の Chrome で設定していただきますと、ブラウザを閉じるたびに cookie がクリアされ、セッションが無効になります。

--- ポリシーテンプレートを複数の端末に適用する方法

Chrome のポリシーテンプレートに "CookiesSessionOnlyForUrls" という項目があり、こちらに "google.com" を設定することで、同様の設定を複数端末で適用することが可能です。

ポリシーテンプレートは下記ヘルプ記事にてダウンロード可能です。

端末用の Chrome ポリシーを設定する - Google Chrome Enterprise ヘルプ
https://support.google.com/chrome/a/answer/187202?hl=ja

--- 管理コンソールにてユーザー ポリシーを設定する方法

管理コンソールの 端末管理 > Chrome 管理 > ユーザー設定 > コンテンツ > cookie > 「URL パターンに対してセッションのみの Cookie を許可します」 (https://support.google.com/chrome/a/answer/2657289) にて、google.com を設定していただくことにより、その設定が適用される組織のユーザがログインしている Chrome では、ブラウザを閉じるたびに Google の cookie がクリアされます。

-- その他のお客様

ユーザ様にセッションの挙動が5月8日以降変更されることをお伝えいただき、ブラウザを閉じる前に明示的にログアウトしていただくようお伝えください。

重ねてのお詫びとなりますが、本事象によりお客様にご迷惑をおかけしておりますこと、誠に申し訳ございません。

他にご質問がございましたら、リクエストを送信してください

0 コメント

記事コメントは受け付けていません。