概要
Gluegent Gate では、 Gluegent Gate を経由して Google Workspace へのログイン・アクセス制御を行う機能と、Google Workspace の ID 管理を行う機能を提供しています。
設定方法については「スタートアップガイド Google Workspace編」で紹介しておりますので、本マニュアルでは Google Workspace との連携についてご紹介しています。
シングルサインオン設定
ユーザー管理
ログイン(一般ユーザー)
組織管理
ユーザーグループ管理
連絡先管理
マルチテナントの設定
特定の組織・グループのユーザーのみシングルサインオンなしでログインさせる
シングルサインオン設定
設定方法はスタートアップガイドGoogle Workspace編をご参照ください。
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」→「クラウドサービス」の順にクリックします。
設定を確認するときは、一覧の「Google Workspace」の操作アイコンをクリックします。
新しく設定を行うときは、「登録」をクリックし、「Google Workspace」の操作アイコンをクリックします。設定方法はスタートアップガイドをご参照ください。
Google Workspace に対するシングルサインオン設定が表示されます。
- シングルサインオンの設定
- Google Workspace とのシングルサインオンの設定をオンにします。チェックをオンにすると、Gluegent Gate の各画面 (ユーザーの許可するサービスなど) で、連携対象として Google Workspace の設定項目が表示されます。
- この設定は Gluegent Gate 側の設定です。Google Workspace 側のシングルサインオン設定は別途行う必要があります。
- Google Workspace プライマリドメイン
- Google Workspace の契約ドメインを入力します。
入力されたドメインが正しいことを確認するため、「ドメインの所有権確認」クリックが必要です。
- Google Workspace ドメイン
- Google Workspace でプライマリドメインとは別にマルチドメイン設定を行っている場合に、ドメインを追加します。
- 「ドメインを追加」をクリックすると入力欄が増えます。
- SSOプロファイルの種類
- Google Workspace 側との連携に使用するプロファイルを選択します。
- 組織向けのSSOプロファイル:「組織向けサードパーティの SSO プロファイル」を使用します。
- SAML SSOプロファイル:「サードパーティーのSSOプロファイル」を使用します。※こちらを選択した場合は、「エンティティID」と「Assertion Consumer Service」の設定が必要になります。
- エンティティID
- SSOプロファイルの種類で「SAML SSOプロファイル」を選択された場合のみ有効となります。
Google Workspace 側に作成したSAML SSOプロファイルの「エンティティID」のURLを入力します。
- Assertion Consumer Service
- SSOプロファイルの種類で「SAML SSOプロファイル」を選択された場合のみ有効となります。
Google Workspace 側に作成したSAML SSOプロファイルの「ACS の URL」のURLを入力します。
- シングルログアウト
- チェックをオンにすると Gluegent Gate と連携しているサービス(またはユーザーポータル)でログアウトした場合に、Google Workspace もログアウト対象となります。
- チェックをオフにするとログアウト対象となりません。
- POP/IMAPプロキシのIPアドレス
- Gluegent Gate Enterprise をご契約の場合のみ表示されます。特定の条件下での使用方法を行う場合に使用します。
- ID同期
- チェックをオンにすると Gluegent Gate で作成したユーザー・ユーザーグループが Google Workspace に同期されます。
オフにすると同期されません。 -
注意:
チェックがオフのときに Gluegent Gate で実行された操作内容は、再度チェックをオンにしたときに Google Workspace に同期されることはありません。
- Google Workspace 管理アカウント名
- Google Workspace 側の特権管理者権限を持つユーザーのメールアドレスを入力します。
- Gluegent Gate からの ID 同期はここで入力されたユーザーの権限を使って行われます。
-
重要:
プライマリドメインの管理者を入力してください。
- パスワード同期
- 「なし」「シングルサインオンのパスワード」「ランダムパスワード」のいずれかを選択します。
- ユーザーの論理削除
- チェックをオンにすると Gluegent Gate でユーザーを削除した時に Google Workspace のユーザーが停止中になります。
-
注意:
停止中となったユーザーはライセンスを消費します。 - オフにすると Gluegent Gate でユーザーを削除した時に Google Workspace のユーザーが削除されます。
- メールアドレスの属性
- Google Workspace のメールアドレスの同期対象は Gluegent Gate のユーザー情報の「メールアドレス」となっていますが、これを別の追加属性にしたい場合に使用します。
追加属性は「システム」>「追加属性」で設定します。 -
情報:
属性として使用できるのは seciossExtensionAttribute:x-custom-01〜05 です。
- メールエイリアスの属性
- Google Workspace のメールエイリアスの同期対象は Gluegent Gate のユーザー情報の「メールエイリアス」となっていますが、これを別の追加属性にしたい場合に使用します。
- 追加属性は「システム」>「追加属性」で設定します。
-
情報:
属性として使用できるのは seciossExtensionAttribute:x-custom-01〜05 です。
- 組織同期
- マルチテナントの場合に使用します。いずれかを選択してください。
- 全て:Gluegent Gate で作成された組織をすべて同期します。
- なし:Gluegent Gate で作成された組織を同期しません。
- 組織名:Gluegent Gate で作成された組織が選択できます。この組織以下の組織のみ同期します。
- ライセンス管理
- チェックをオンにするとユーザーが使用するライセンスの選択が可能になります。
-
重要:
2022 年 6 月以前にご契約いただいたお客様は、この機能を使用する場合、データアクセスの許可を行う必要があります。
Google Workspace の管理コンソールにてアプリ>Google Workspace Marketplaceアプリ>Gluegent Gateをクリックします。
ステータスが「一部許可」になっている場合は「アクセスを許可」をクリックしてください。ステータスが「許可」になっている場合はこの操作は必要ありません。
- 管理するライセンス
- ユーザーが使用するライセンスを選択します。ライセンス管理のチェックがオンの場合、使用可能です。契約しているライセンスのみ選択してください。契約しているライセンスが一覧に表示されていない場合は、当サポートへお知らせください。
ドメインの所有権確認
「Google Workspaceプライマリドメイン」に入力されたドメインが正しいことを確認するため、「ドメインの所有権確認」をクリックします。
別のタブが開き、「ドメインの所有権確認に成功しました」というメッセージが表示されます。「閉じる」をクリックします。
注意:
- Google Workspace の管理コンソールにログインしていない場合は、Google Workspace へのログインが求められます。特権管理者権限を持つユーザーでログインしてください。
- 「ドメインの所有権確認」はスタートアップガイドのステップ1 の Gluegent Gate のインストールからしばらく時間をおいて実行してください。
パスワード同期
ID 同期により Google Workspace に作成されたユーザーのパスワードに関する設定を行います。以下の 3 つから選択してください。
- なし
- ユーザー作成時に、Google Workspace 側にランダム値のパスワードが伝搬されます。
-
情報:
パスワード変更時は Gluegent Gate 側のみ変更され、Google Workspace 側のパスワードは変更されません。
Google Workspace にすでにユーザーが作成されている場合はパスワードは変更されません。 - Google Workspace 側には何も伝搬されません。
- シングルサインオンのパスワード
- ユーザーの作成時およびパスワード変更時に、Gluegent Gate と同じ値のパスワードが Google Workspace 側に伝搬されます。(変更したパスワード値がそのまま Google Workspace 側に伝搬されます。)
- ランダムパスワード
- ユーザー作成時に、Google Workspace 側にランダム値のパスワードが伝搬されます。パスワード変更時もその都度 Google Workspace 側にランダム値のパスワードが伝搬されます。
-
情報:
設定されたパスワードを確認することはできません。
各種設定を行い「保存」をクリックします。
ユーザー管理
ユーザー情報の同期対象
Gluegent Gate で作成されたユーザーは Google Workspace の「ユーザー」に作成されます。ユーザー情報の入力内容と Google Workspace への同期対象は以下の通りです。
Gluegent Gate の項目名 |
Google Workspace の同期対象項目名 |
---|---|
ユーザーID |
同期なし |
社員番号 |
従業員ID 注意: |
氏名
|
姓、名 |
氏名(かな)
|
同期なし |
別名 |
同期なし |
メールアドレス |
メールアドレス 注意: |
メールエイリアス |
メールエイリアス 注意: |
組織 |
組織 |
地域 |
同期なし |
言語 |
同期なし |
パスワード |
パスワード 情報: |
ユーザー状態 |
「無効」のときはユーザーが停止状態 |
権限 |
同期なし |
許可するサービス |
チェックがオフの場合はユーザー同期しない |
Google Workspaceのロール |
ユーザーのライセンス |
通知用メールアドレス |
同期なし |
連絡先情報の同期対象
連絡先情報はユーザーの新規作成後、編集画面で設定可能です。
連絡先情報の入力内容と Google Workspace への同期対象は以下の通りです。
Gluegent Gate の項目名 | Google Workspace の同期対象項目名 |
---|---|
会社名 |
会社名 |
部署 |
部門 |
役職 |
役職 |
事業所 |
同期なし |
電話番号 |
電話番号(仕事) |
FAX |
電話番号(FAX(仕事)) |
携帯電話番号 |
電話番号(モバイル) |
自宅電話番号 |
電話番号(ホーム) |
国 |
住所(仕事) 町名・番地(改行) |
郵便番号 |
|
都道府県 |
|
市区郡 |
|
町名・番地 |
情報:
この機能がリリースされる前からご契約いただいているお客様は連絡先の同期機能がオフになっています。同期をご希望のお客様はサポートへご依頼ください。
ユーザーの新規登録
Gluegent Gateでユーザーを作成すると、Google Workspaceにもユーザーが作成されます。
登録後、ログで正しくGoogle Workspaceにユーザーが作成されたことを確認します。
ログファイルで「操作ログ」を選択し、「適用」をクリックします。
Gluegent Gate への追加ログと Google Workspace への追加ログの 2 件が表示されます。「(Google Workspace)」が付いているものが Google Workspace への追加ログです。
成功した処理は黒いテキスト、失敗した処理は赤いテキストで表示されます。
ユーザー情報の更新
ユーザー情報を変更すると、変更内容が Google Workspace に同期されます。
ユーザーの削除
ユーザーを削除すると Google Workspace からも削除されます[1]。
許可するサービスのチェックについて
許可するサービスの「Google Workspace」のチェックをオフにすると、Google Workspace のユーザーは削除されます。
ただし、シングルサインオン>Google Workspace の「ユーザーの論理削除」のチェックがオンになっている場合、ユーザーは削除されず停止状態になります。
「Google Workspace」のチェックをオンにすると、Google Workspace のユーザーが作成されます。
ログイン(一般ユーザー)
Gluegent Gate・Google Workspace 双方のシングルサインオンの設定が正しく行われていれば、Google Workspace へのログインは Gluegent Gate を経由したログインになります。
Google Workspace へのログイン方法はいくつかあります。
Google 検索などの画面右上の「ログイン」をクリックする
こちらをクリックするとメールアドレスの入力を求められます。入力されたメールアドレスのドメインを判断し、シングルサインオンの設定がある場合は、Gluegent Gate のログイン画面に遷移します。Gluegent Gate のログイン画面では Gluegent Gate の ユーザーID / パスワードを入力してください。
情報:
この方法でログインした場合、Google Workspace の特権管理者は Gluegent Gate のログイン画面には遷移しません。これは Google Workspace の仕様です。
→SSO を使用してログインする
Gluegent Gate へ直接ログインできる URL にアクセスする
Google Workspace の各種サービス(Gmail、カレンダーなど)の URL にドメインを含めることで Gluegent Gate のログイン画面に直接アクセスし、各サービスへログインします。
Gmail:https://mail.google.com/a/<Google Workspaceのドメイン>
カレンダー:https://calendar.google.com/a/<Google Workspaceのドメイン>
※例えばGoogle Workspaceのドメインがexample.comの場合は以下のURLとなります。
Gmail:https://mail.google.com/a/example.com
カレンダー:https://calendar.google.com/a/example.com
ユーザーポータルにアクセスする
Gluegent Gate にはユーザーポータルが用意されています。ユーザーポータルでは Google Workspace を始め各種サービスへのアクセスやパスワード変更などの操作が行なえます。
ユーザーポータルには以下の URL にアクセスしてログインしてください。
https://auth.gluegent.net/user?tenant=<Gluegent GateのテナントID>
※例えばGluegent GateのテナントIDがexampleの場合は以下のURLとなります。
https://auth.gluegent.net/user?tenant=example
組織管理
Gluegent Gate で作成された組織は Google Workspace の組織部門に同期されます。組織情報の入力内容と Google Workspace への同期対象は以下の通りです。
Gluegent Gateの項目名 | Google Workspaceの同期対象項目名 |
---|---|
上位組織 |
- |
組織名 |
組織の名前 |
説明 |
説明 |
最大ユーザー数 |
同期なし |
ユーザーグループ管理
Gluegent Gate で作成されたユーザーグループは Google Workspace のグループに同期されます。ユーザーグループの入力内容と Google Workspace への同期対象は以下の通りです。
Gluegent Gate の項目名 | Google Workspace の同期対象項目名 |
---|---|
グループ名 |
同期なし |
表示名 |
グループの名前 |
メールアドレス |
メールアドレス |
説明 |
説明 |
連絡先管理
Gluegent Gate で作成された連絡先は Google Workspace の連絡先に同期されます。追加された連絡先は各ユーザーの「連絡先」にて確認できます。
情報:
2020 年 1 月より前にご契約いただいたお客様は連絡先連携は追加機能(無償)となります。ご利用を希望される場合は、弊社サポートへご連絡ください。
連絡先の入力内容と Google Workspace への同期対象は以下の通りです。
Gluegent Gate の項目名 | Google Workspace の同期対象項目名 |
---|---|
メールアドレス |
メールアドレス |
氏名 |
氏名 |
氏名(かな) |
フリガナ(氏名) |
別名 |
同期なし |
会社名 |
会社 |
部署 |
部門 |
役職 |
役職 |
事業所 |
所在地 |
電話番号 |
電話番号(仕事) |
FAX |
電話番号(FAX(仕事)) |
携帯電話番号 |
電話番号(携帯電話) |
自宅電話番号 |
電話番号(自宅) |
国 |
住所 町名・番地(改行) |
郵便番号 |
|
都道府県 |
|
市区郡 |
|
町名・番地 |
マルチテナントの設定
契約の異なる複数の Google Workspace を 1 つの Gluegent Gate と連携できます。企業の統合等により、異なる契約の Google Workspace テナントを併用するような場合に有効です。
Gluegent Gate 側の設定
設定は Gluegent Gate 管理画面のシングルサインオン>クラウドサービス>登録にて行います。
最初の Google Workspace ドメインのときと同様、Gluegent Gate の管理画面にアクセスし「シングルサインオン」→「クラウドサービス」の順にクリックします。
画面右上の「登録」をクリックします。
一覧の「Google Workspace」の操作アイコンをクリックします。
各項目を設定し「保存」をクリックします。
設定内容については「シングルサインオン設定」をご参照ください。
Google Workspace 側の設定
認証経路の切替時の設定を行う際、「ログインページの URL」に [&service=<サービスID>]が必要です。
サービスID は Gluegent Gate 管理画面のユーザー>CSV登録にてご確認ください。
例:テナントID が「example」サービスID が「googleapps02」の場合
https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=example&service=googleapps02
ユーザーを作成するときの注意点
ユーザーのメールアドレスのドメインと許可するサービスが一致するように作成してください。
例えば、許可するサービスの「Google Workspace」は Google Workspace ドメインA(example.com)、「Google Workspace 2」は Google Workspace ドメインB(example.net) を設定したとします。
「メールアドレス」のドメインに「example.com」を入力して「Google Workspace」を選択した場合は、メールアドレスのドメインと許可するサービスのドメインが正しいので、Google Workspace ユーザーの作成は成功します。
「メールアドレス」のドメインに「example.com」を入力して、「Google Workspace 2」を選択した場合は、メールアドレスのドメインと許可するサービスのドメインが一致しないため、Google Workspace のユーザーの作成は失敗します。
組織同期の設定と組織の作成を行う際の注意
マルチテナントの設定を行う場合、各 Google Workspace の組織に同期するため、組織同期を正しく設定してください。
下記のように Google Workspace 各ドメインの組織を設定するため、Gluegent Gate では組織A、組織B に当たる組織とその下に所属する組織を作成します。
まず Google Workspace ドメインA の組織を作成するので、Gluegent Gate 管理画面のシングルサインオン>クラウドサービスにて Google Workspace ドメインA の組織同期を「全て」にし、ドメインB の組織同期を「なし」にしておきます。
続いて、ドメインA の組織を作成します。ドメインA の組織同期を「全て」に設定します。
組織>新規登録にて「組織A」を作成します。
ドメインA の組織同期を「全て」から「組織A」に変更します。
ドメインB の組織同期を「全て」に変更します。
組織>新規登録にて「組織B」を作成します。
ドメインA の組織同期を「全て」から「組織B」に変更します。
以降、組織A-1、組織A-2、組織B-1、組織B-2 を順次作成します。
ユーザーを作成する際は、メールアドレス、組織、許可するサービスが一致するように作成してください。これらの組み合わせが正しくない場合、Google Workspace へのユーザー作成はエラーとなります。
ユーザーグループを作成するときの注意
ユーザーを作成する際は、許可するサービスがあるため、メールアドレスと許可するサービスが一致していればユーザーが作成されますが、ユーザーグループには許可するサービスがありません。
どちらのドメインにグループを作成するかを制御するために「グループの種類」を使用します。
ユーザーグループ>グループの種類をクリックします。
画面右上の「登録」をクリックします。
Google Workspace1 用、Google Workspace2 用のグループの種類をそれぞれ作成します。
ユーザーグループを作成するときは、種類とメールアドレスのドメインを一致させて作成してください。
特定の組織・グループのユーザーのみシングルサインオンなしでログインさせる
Google Workspace の機能として組織部門またはグループに対してシングルサインオンでのログイン可否を個別に設定できます。
→組織部門またはグループに SSO プロファイルを割り当てる
この設定によりシングルサインオン不要の設定を行った場合、Google Workspace のユーザーID / パスワードでログインが可能となります。Google 検索などの画面右上の「ログイン」をクリックしてログインを行ってください。
Gluegent Gate に直接ログインできる URL にアクセスした場合、Gluegent Gate のログイン画面に遷移せず、Google のメールアドレス入力画面に遷移します。