OIDC を使用した Google Workspace

OIDC (OpenID Connect) を使用して Google Workspace を使用した Claris Studio のシングルサインオン (SSO) を設定するには、次の手順に従います。アイデンティティプロバイダと Claris Studio チームとの間に信頼を確立するには、次が必要です:

  • Claris Studio の特定の設定で Google Cloud OIDC アプリケーションクライアントを作成する。

  • Claris Studio で作成したアプリケーションの詳細を入力する。

Google OIDC の準備

これらの指示を実行するには、次が必要です:

  • 複数のユーザのライセンスを持つビジネス用の Google Workspace アカウント

    • このアカウントの確認済みドメイン。

      Google Workspace コンソールにサインインして [Verify Domain (ドメインの検証)] 警告 (次を参照) が出ていなければドメインは検証済みです。

    • Google Workspace 管理者コンソール用の特権管理者アカウント。通常社内で最初に Google Workspace を設定したユーザアカウントが特権管理者アカウントになります。

Google Workspace OIDC ドメイン

Claris Studio の設定ページを開く

  1. Claris Studio チームにサインインします。

  2. 左側の [ユーザ] タブをクリックして [外部 IdP を構成] をクリックします。

    Claris Studio の外部 IdP の設定

  3. [外部アイデンティティプロバイダを設定] ダイアログボックスの [プロトコル] で [OIDC] を選択します。後で戻るためこのページを開いたままにしておきます。

OIDC アプリケーションの作成

  1. Google Cloud Platform で、サインインして新しいプロジェクトを作成します。説明となる名前を入力してから、組織および組織の所在地を追加します。[Create (作成)] をクリックします。

    Google Workspace OIDC、新しいプロジェクトの作成

  2. 新しいプロジェクトが選択されています。左側のサイドバーのナビゲーションメニューがまだ開いていない場合、上部のメニューアイコンをクリックして開きます。

    [APIs & Services (API とサービス)] > [Credentials (認証情報)] を選択します。または、[Credentials (認証情報)] ページに移動します。

    Google Workspace OIDC、API とサービス、認証情報

  3. [Credentials (認証情報)] ページには、警告および OAuth 同意画面を設定するオプションが表示されます。[Configure Consent Screen (同意画面を設定)] をクリックするか、または [OAuth consent screen (OAuth 同意画面)] ページに移動します。

    Google Workspace OIDC、同意画面を設定

  4. OAuth 同意画面で、[Internal (内部)] を選択してから、[Create (作成)] をクリックします。

    Google Workspace OIDC、OAuth 同意画面、内部

  5. 次の画面で、次の詳細を入力します。他のフィールドはすべてオプションです。完了したら [Save and Continue (保存して次へ)] をクリックします。

    • App Name (App 名): あなたの企業のユーザがサインイン時に認識できるように Claris Studio チーム名を含む名前を入力します (例: 「Claris Studio - Acme Corp. セールスチーム」)。

    • User support email (ユーザサポートメール): ユーザに質問や懸念事項がある場合にコンタクトできる組織内の人物の電子メールアドレスを入力します。

    • Developer contact information (デベロッパの連絡先情報): 自分自身の電子メールアドレスを入力します。

    Google Workspace OIDC、App 登録の編集

  6. スコープの設定画面で、[Add or Remove scopes (スコープの追加または削除)] をクリックしてから、次のスコープを有効にします:

    • [.../auth/userinfo.email] (ユーザ向けの説明 [See your primary Google Account email address (Google アカウントのメインのメールアドレスを表示)])

    • [.../auth/userinfo.profile] (ユーザ向けの説明 [See your personal info... (ユーザの個人情報を表示...)])

    完了したら [Update (更新)] をクリックします。

    Google Workspace OIDC、スコープの追加

  7. [Save and Continue (保存して次へ)] をクリックします。

    Google Workspace OIDC、ルールの追加、保存して次へ

  8. [Credentials (認証情報)] ページに戻ります (左側のサイドバーの [Credentials (認証情報)] をクリックまたは [Credentials (認証情報)] ページに移動します)。[Create Credentials (認証情報を作成)] > [OAuth client ID (OAuth クライアント ID)] をクリックします。

    Google Workspace OIDC、認証情報の作成、OAuth クライアント ID

  9. [Application type (アプリケーションの種類)] で [Web application (Web アプリケーション)] を選択してから、次のフィールドに入力します。

    • Name (名前): 説明となる名前を入力します。

    • Authorized redirect URIs (承認済みのリダイレクト URI): Claris Studio で、[アプリケーションリダイレクト URL] をコピーして (前述の「Claris Studio の設定ページを開く」を参照) このフィールドに貼り付けます。

    完了したら [Create (作成)] をクリックします。

    Google Workspace OIDC、OAuth クライアント ID、アプリケーションの種類

    Google Workspace OIDC、承認済みのリダイレクト URI、作成

  10. これで [Client ID (クライアント ID)] と [Client secret (クライアントシークレット)] が表示されるようになります。

    それぞれをコピーするには、クリップボードアイコンをクリックしてコピーした値を安全な場所に保存します。この 2 つの値は後で必要になります。

    Google Workspace OIDC、作成された OAuth クライアント

Claris Studio への値の入力

  1. 先ほど開いた Claris Studio ページに戻ります (「Claris Studio の設定ページを開く」を参照)。

  2. [外部アイデンティティプロバイダを設定] ダイアログボックスの [プロトコル] で、[OIDC] を選択してから、次の情報を入力します:

    • クライアントシークレット: 以前にコピーしたクライアントシークレットのトークン

    • クライアント ID: 以前にコピーしたクライアント ID のトークン

    • メタデータ URL: https://accounts.google.com/.well-known/openid-configuration

  3. この外部 IdP を使用してサインインする 1 つ以上のデフォルトのグループを選択してから、[適用] をクリックします。

    グループがない場合、ここでグループを作成して後でユーザを追加できます。詳細については、グループの操作を参照してください。

    Claris Studio、Google Workspace OIDC 外部 IdP 構成

  4. [ユーザ] ページで [アプリケーションログイン URL] のリンクをコピーしてユーザに提供します。この URL を使用すると SSO 資格情報を使用して Claris Studio にサインインできます。