KDDI サテライトオフィスツールmedia3.kddi.com/extlib/files/business/user/apps_manual/...Google Apps アカウントを管理することを推奨致します。【補足】

© KDDI

* Google 、 Google Apps for Work 、Google Drive for Work は、Google Inc.の登録商標または商標です。

KDDI サテライトオフィスツール

「 SSO ( シングルサインオン ) 」

スタートアップガイド

KDDI 株式会社

2016年9月

Google Drive for Work™ / Google Apps for Work ™

© KDDI

目次 ( 1/5 )

2

[目次]………………………………………………………………………………………… P2

[まずはじめに] ………………………………………………………………………………………… P7

[1章初期設定編]

1-1 Google Apps にインストールする

1-1-1. シングルサインオンをインストールする…………………………………………………………… P12

1-1-2. Google Apps のAPIアクセスを有効にする………………………………………………………… P17

1-1-3. 管理者のみ安全性の低いアプリの管理をユーザに許可する …………………………………… P19

1-2 シングルサインオン管理画面の初期設定をする

1-2-1. シングルサインオン管理コンソールへログイン…………………………………………………… P22

1-2-2. シングルサインオン管理画面の初期設定をする

( 通知先メールアドレス、連携用特権管理者アカウント設定など ) ………………………………

P25

1-3 管理者アカウントを Google Apps からを取り込み、特権管理者用のプロファイルを設定する

1-3-1. ユーザ情報を Google Apps から取り込む…………………………………………………………… P27

1-3-2. 特権管理者用のプロファイルを設定する……………………………………………………………… P31

© KDDI

目次 ( 2/5 )

3

[1章初期設定編]つづき

1-4 ユーザを作成後 Google Apps に反映し、社外アクセス禁止の設定をする

1-4-1. シングルサイオンからユーザを作成する……………………………………………………………… P34

1-4-2. シングルサイオン管理画面から登録したユーザ情報を Google Apps に反映する………………… P39

1-4-3. 『デフォルトで適用するプロファイル』に『一般ユーザ用プロファイル』を設定する………… P43

1-4-4. 『ダッシュボード』から『社内IPアドレス』を設定する…………………………………………… P46

1-5 Google Apps でシングルサインオンを有効にする

1-5-1. シングルサインオンを有効にする…………………………………………………………………… P48

[参考. SSO 初期設定動画マニュアル ( YouTube )] …………………………………………… P53

© KDDI

目次 ( 3/5 )

4

[2章動作確認編]

2-1 動作確認

2-1-1. シングルサインオンログイン動作確認……………………………………………………………… P54

2-1-2. アクセス申請動作確認………………………………………………………………………………… P58

[重要.サテライトオフィス・シングルサインオン障害時リカバリー対策の事前検証のお願い] … P63

[参考.こんな時は編]

2-A. 特権管理者がSSOログイン画面から『Appsパスワード』でログインできなかったら…………… P65

2-B. ユーザがパスワードを忘れた場合に、再設定する …………………………………………… P71

2-C. ログイン画面やマイページで『端末申請』や『予備のメールアドレス登録』リンクを非表示にしたい………………………………………………………………………………………………

P76

2-D. シングルサイオンのログインページをカスタマイズしたい…………………………………………… P77

© KDDI

目次 ( 4/5 )

5

[3章応用編]

応用3-1 セキュリティルール管理のプロファイル

3-1-1. 『管理者用プロファイル』の設定…………………………………………………………………… P79

3-1-2. 『一般ユーザ用標準プロファイル』の設定…………………………………………………………… P82

[参考3-1. プロファイル適用の優先順位]……………………………………………………… P89

[参考3-2. ユーザのパスワードの設定ポリシーを強化する]…………………………………… P90

[参考3-3. ログイン後に遷移させるURLを指定する] ……………………………………… P91

応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 )……………………… P92

応用3-3 Google グループの管理………………………………………………………………… P97

応用3-4 組織 (OU ) 情報の管理…………………………………………………………………… P98

応用3-5 組織 ( Group )・( OU ) 情報を Google Apps へ反映する ( 自動連携処理 ) P99

応用3-6 ユーザに委託管理者の権限を割り当てる………………………………………………… P102

© KDDI

目次 ( 5/5 )

6

[3章応用編]つづき

応用3-7 セカンダリドメインを追加する…………………………………………………………

P108

応用3-8 ユーザのメールアドレスを変更する…………………………………………………… P110

応用3-9 外部システム連携管理

3-9-1. Works Mobile とのシングルサインオン連携する…………………………………………………… P113

© KDDI

Google Apps の仕様では、『Appsパスワード』を知っているユーザは、シングルサインオン

のログイン制御を通らずに、直接 Google Apps にログインすることができてしまいます。

基本的には『Appsパスワード』はユーザに教えず『SSOパスワード』にてログインいただく運用を推奨します。

ご注意

まずはじめに ( 1/5 )

7

KDDI サテライトオフィスツール・SSO ( シングルサインオン ) では、以下の設定を行うのが一般的です。

•特権管理者は『Google Apps 自体のID ( メールアドレス) ・パスワード』でログイン

•一般ユーザには Google Apps のID・パスワードを教えずに、

『シングルサインオン独自のID・パスワード』を設定し、

シングルサインオンのログイン制御を通してログイン

1章初期設定編『1-1〜1-5』では上記設定を行うための一般的な操作手順について記載します。

作業を中断される際は各タイトル章の設定が終わってから終了してください。初期設定の順序を誤ると管理者も含めて

ログインできなくなりますのでご注意ください。

また、初期設定完了後は『シングルサインオンログイン動作確認』を実施し、正しく設定できたことを確認してく

ださい。および『緊急モードの事前検証』の実施をお願いします。

※本マニュアルでは「Google Apps for Work」および「Google Drive for Work」を『Google Apps』といいます。

また『Google Apps のパスワード』を『Appsパスワード』といいます。

本書について

* Google 、 Google Apps for Work 、Google Drive for Work は、Google Inc.の登録商標または商標です。

© KDDI

KDDI サテライトオフィスツール・SSO ( シングルサインオン ) は、さまざまなアップデートが随時

行われています。 SSO機能のアップデートにより本マニュアルに表記されている画面と異なる場合が

ありますので、何卒ご了承ください。

詳細情報についてはウェブマニュアルでご確認ください。

https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso

ご注意


8

最初に Google Apps にのみ登録されているアカウントをシングルサインオンへ取り込みます。

運用開始後は、シングルサインオン側でアカウント登録を行い、

シングルサインオン ⇒ Google Apps 方向への同期 ( ユーザをGoogle Apps に反映 ) 処理にて、

Google Apps アカウントを管理することを推奨致します。

【補足】

Google Apps にのみアカウントが登録済で、

シングルサインオン管理画面側にアカウントが作成されていない場合、

当該アカウントは SSO 経由で Google Apps にログインできません。

( Google Apps とSSO管理画面側の両方にアカウントが作成されると、SSO経由でログイン可能です。)

Google Apps のアカウント運用について

https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/ssohttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/ssohttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/ssohttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso

© KDDI

機能構成一覧 ( 1/3 )


9

ダッシボードドメイン設定

ドメイン設定

基本設定

ログイン制御設定

GoogleApps設定

ログインページ設定

SSOダウン時リカバリー対策

シングルサインオン設定

ユーザ管理

ユーザ管理

ユーザ一覧

ユーザの追加

ユーザ一括エクスポート

ユーザ一括インポート

申請一覧・ログイン履歴アクセス申請一覧

ログイン履歴一覧

セキュリティブラウザ履歴一覧

© KDDI



10

組織(Group)管理組織(Group)管理

組織一覧

組織の追加

組織(Group)一括エクスポート

組織(Group)一括インポート

組織(OU)管理組織(OU)管理組織(OU)一覧

組織(OU)の追加

組織(OU)一括エクスポート

組織(OU)一括インポート

セキュリティルール管理セキュリティルール管理プロファイル一覧

プロファイルの追加

ショートカット

共有ブックマーク設定一覧

アクセス申請一覧



© KDDI



11

タスク管理タスク管理タスク一覧

タスクの追加ユーザをAppsから取込

ユーザをAppsに反映

組織(Group)をAppsから取込

組織(Group)をAppsに反映

組織(OU)をAppsから取込

組織(OU)をAppsに反映

外部システム連携管理外部システム連携管理外部システム連携一覧

連携設定の追加

ショートカットアクセス申請一覧



オペレーションログ一覧

など

2015年10月時点

© KDDI 12

ステップ１管理コンソール ( URL：https://admin.google.com/) へログインします。

Google Apps 管理コンソールにログインし、

KDDI サテライトオフィスツール・SSO ( シングルサインオン ) をインストール

初期設定編 [1-1 Google Apps にインストールする]

1-1-1. シングルサインオンをインストールする ( 1/5 )

https://admin.google.com/

© KDDI 13

ステップ２

申込書に記入いただいたご担当者宛てに、KDDIより『サービス開通のご案内』メールが届きます。

添付ファイル ( PDF ) に記載されているセットアップURL ( 短縮URL ) をコピーし、ブラウザに貼り付けます。

『利用規約に同意する』ページへ遷移しますので『利用規約に同意します』にチェック後、

『同意』をクリックします。

これでインストールは完了です。

初期設定編初期設定編


© KDDI 14

ステップ４

『Marketplace アプリケーション』をクリックします。

ステップ３

『管理コンソール』の『アプリ』をクリックします。


インストールが正常に完了したことを確認


© KDDI 15

ステップ５

『S.ログイン ( シングルサインオン )』が表示されていることを確認します。

つづいて『S.ログイン ( シングルサインオン ) 』をクリックします。

•最大で48時間かかる場合が

あります。

Google ツールバーの『もっ

と見る』からも確認可能です。



© KDDI 16

ステップ6

詳細画面よりデータアクセスが『許可』されていることを

確認します。『データアクセス』の『許可』をクリック後の遷移画面

データアクセスが『承認が必要』となっていた場合は、『データへのアクセスを許可する』の設定を行ってください。

ご注意

シングルサイオンのインストール完了後、つづいて『1-1-2. Google Apps のAPIアクセスを有効にする』作

業を行ってください。



© KDDI

ステップ１

管理コンソールの『セキュリティ』をクリックします。

1-1-2. Google Apps のAPIアクセスを有効にする ( 1/2 )

17

Google Apps 管理コンソールの『セキュリティ』からAPIアクセスを有効にします


© KDDI

ステップ2

セキュリティの『APIリファレンス』を

クリックします。

ステップ３

『APIアクセスを有効にする』にチェックし、

『変更を保存』をクリックします。

1-1-2. Google Apps のAPIアクセスを有効にする ( 2/2 )

18


© KDDI

ステップ１管理コンソール ( URL：https://admin.google.com/ )へログインし、『セキュリティ』をクリックします。

ステップ2 『基本設定』をクリックします。

ステップ3 『安全性の低いアプリの設定に移動』をクリックします。

1-1-3. 管理者のみ安全性の低いアプリの管理をユーザに許可する ( 1/3 )

19

管理コンソールにて、『安全性の低いアプリの管理をユーザに許可する』



© KDDI

ステップ4 『安全性の低いアプリの管理をユーザに許可する』にチェックを入れ、『変更を保存』します。

※ 組織またはグループを作成し、作成した組織またはグループに該当ユーザを割り当てると組織・グループ単位で設定の利用権限の許可を適用することが可能です。 ※ 組織またはグループを作成し、特権管理者アカウント(一部のユーザ）のみ本設定を適用することをおすすめします。

組織、グループの作成方法は以下『Google Apps 管理者ヘルプサイト』をご参照ください。 < A: 組織部門の追加>

https://support.google.com/a/answer/182537?hl=ja


A

B

20



https://support.google.com/a/answer/182537?hl=jahttps://support.google.com/a/answer/2370108?hl=ja

© KDDI

管理者にて『安全性の低いアプリの管理をユーザに許可する』をオンにすると、該当ユーザは

『安全性の低いアプリのアクセス』のオンとオフの切り替え操作を自分で行えるようになります。

ステップ5

管理者さまのアカウントにて、以下URLにアクセスし、

『安全性の低いアプリのアクセス』を『オンにする』に設定を変更します。

https://www.google.com/settings/security/lesssecureapps

設定画面

21



https://www.google.com/settings/security/lesssecureappshttps://www.google.com/settings/security/lesssecureapps

© KDDI

1-2-1. シングルサインオン管理コンソールへログイン ( 1/3 )

22

ステップ１

Google ツールバーの

『もっと見る』から『S.ログイン』を


ステップ２

初回のみ、『利用開始』をクリックし、『設定を完了しました』

ダイアログの表示を確認します。

管理者アカウントにて、KDDI サテライトオフィスツール・SSO 画面を開き、初回のみ、『利用開始』ボタンをクリック

『利用開始』をクリック後、ブラウザを更新すると、以下文言が表示されます。『本環境では利用開始設定済です。設定されている管理者アカウント：( 省略 )』

ここで設定した管理者の方のメールアドレスを変更された際は、再度『利用開始』をクリックする必要があります。

ご注意

初期設定編初期設定編 1-2 シングルサインオン管理画面の初期設定をする

© KDDI


23

ステップ３

管理者の方向けのシングルサインオン管理画面のリンク『サテライトオフィス・シングルサインオン』を


< シングルサインオン管理画面ログインURL >

https://kddi-sso.appspot.com/a/お客さまドメイン名/


https://kddi-sso.appspot.com/a/https://kddi-sso.appspot.com/a/https://kddi-sso.appspot.com/a/

© KDDI


24

ステップ４

シングルサインオンのログイン画面に遷移後、

Google Apps の特権管理者ID ( メールアドレス )・パスワードを入力し、『LOGIN』をクリックします。

←シングルサインオンのログイン画面

ログイン後、シングルサインオンの管理画面が表示されます→


シングルサイン管理画面にアクセス完了後、

つづいて『1-2-2 シングルサインオン管理画面の初期

設定』を行ってください。

＜SSOログイン画面から『Appsパスワード』でログインできない場合＞

以下の設定をご確認ください。

□特権管理者のアカウントは『管理コンソール』〉『アプリ』〉『Gmail』サービスを有効にする必要が

あります。詳細は以下シングルサインオンマニュアルページをご参照ください。

URL：https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#INFO_SMTPAUTH

□ 安全性の低いアプリのアクセスをオンにする

詳細は『2-A. 特権管理者がSSOログイン画面から『Appsパスワード』でログインできなかったら』の章をご参照ください。

ご注意

https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#INFO_SMTPAUTHhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#INFO_SMTPAUTHhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#INFO_SMTPAUTHhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#INFO_SMTPAUTHhttps://www.google.com/settings/security/lesssecureappshttps://www.google.com/settings/security/lesssecureappshttps://www.google.com/settings/security/lesssecureapps

© KDDI

1-2-2. シングルサインオン管理画面の初期設定をする ( 1/2 )

25

ステップ１

『連絡先メールアドレス』を入力します。( 必須 )

ユーザ名が日本語の場合は、『ファイルのエンコード』のプルダウンニューから『日本語 ( Shift-JIS )』を

選択します。( 任意 )

『ダッシュボード』タブのドメイン設定から通知先メールアドレスを設定

連絡先メールアドレスの登録がない場合、システムからの通知メールが受け取れません。ご注意


© KDDI

1-2-2. シングルサインオン管理画面の初期設定をする ( 2/2 )

26

ステップ2

『Apps管理者アカウント』にデータ連携のために必要な、

適切な特権管理者のメールアドレスが入力されているか確認します。

ステップ3

ダッシュボードの設定変更後、画面下までスクロールし、『保存』をクリックします。

Google Apps との連携のために必要な、特権管理者のメールアドレスを確認

シングルサイオンのユーザや組織 ( Group ) 情報などを Google Apps と連携するためには、

Google Apps の管理者アカウント情報が必要です。

ここで設定した『Apps管理者アカウント』が変更になると、ログインおよび連携処理および緊急モード

など一部の機能が利用できなくなりますので、変更されないアカウントをご指定ください。

( 変更後は速やかに設定を更新してください。 )

ご注意


© KDDI

1-3-1. ユーザ情報を Google Apps から取り込む ( 1/4 )

27

ステップ１

サイドバーから『ユーザをAppsから取込』をクリックします。

最初に Google Apps にのみ登録されているアカウント( 特権管理者 )をシングルサインオンに取り込みます


ここで設定した管理者の方のメールアドレスを変更された際は、再度『利用開始』をクリックする必要があります。ご注意

1-3 管理者アカウントを Google Apps からを取り込み、特権管理者用のプロファイルを設定する

© KDDI


28

ステップ２

『タスク新規登録 – Google Apps アカウントからユーザ情報を取り込む』画面で、

そのまま『タスクを登録する』をクリックします。

タスク登録後、タスクが実行されます。


※『エイリアスアドレス』を同期したい場合はチェックを入れます。

© KDDI


29

ステップ３

『タスク管理』タブのタスク一覧の画面左にある『』ボタンをクリックして、

随時画面を更新しながら、タスクの『稼働状況』が『処理開始中』から『処理完了』となるまで待ちます。

『ステータス』が『成功』となったらユーザの取り込み処理は完了です。


© KDDI


30

『ユーザ一覧』から、Google Apps から取り込んだユーザが表示されます。

開通直後の環境では、『特権管理者アカウント』が Google Apps から取り込まれます。

ステップ４

『ユーザ管理』タブをクリックします。

【お願い】

ここまで終了したら、作業を中断せず以降の章『1-3-2. 特権管理者用のプロファ

イルを設定する』の手順にしたがって設定作業を進めてください。

設定の順序を誤ると管理者も含めてログインできなくなりますのでご注意ください。


© KDDI

1-3-2. 特権管理者用のプロファイルを設定する ( 1/3 )

31

ステップ１

『ユーザ管理』タブをクリックします。

ステップ２

ユーザ一覧から『特権管理者』アカウントの右側にある鉛筆アイコン『』をクリックします。


『特権管理者』の権限ユーザに対して、『管理者用プロファイル』を設定する

© KDDI

ステップ３

ユーザ編集画面に遷移後、『プロファイル』項目のプルダウンメニューから

『管理者用プロファイル』を選択します。

本紙では例として、『管理者用プロファイル』の初期設定のまま利用した場合です。

※『Appsパスワード』でログインさせて、社内、社外ともに無制限でアクセスが可能です。



32

© KDDI

ステップ4

設定変更後、『ユーザ情報を更新する』をクリックします。


更新後、管理者アカウントに『管理者用プロファイル』が設定されたことを確認します。


33

特権管理者カウントの設定は以上で完了です。

© KDDI

ステップ1

サイドバーから『ユーザ追加』をクリックします。

( または『ユーザ一覧』の『ユーザの追加』ボタンをクリックします。 )

シングルサインオン管理画面からユーザを作成ここでは個別にユーザを作成する操作手順を説明します。

【補足】

ユーザ情報をCSVファイルで一括出力し、ユーザを一括登録するためのテンプレートとして使用し、

加工後アップロードすることで、ユーザを一括で登録することも可能です。

詳細は『応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 )』をご参照ください。

1-4-1.シングルサイオンからユーザを作成する ( 1/5 )


34

1-4 ユーザを作成後 Google Apps に反映し、社外アクセス禁止の設定をする

© KDDI

ステップ2

『ユーザ新規登録』画面に遷移後、ユーザの基本情報を入力します。

項目については次頁参照


ステップ3

基本情報を入力後、『ユーザを登録する』をクリックして、作成完了です。


35

© KDDI



ユーザ基本情報の項目一覧

36

区分項目名説明

必須メールアドレス Google Apps アカウントの＠前を設定します。 ※マルチドメインの場合は、ドメインもプルダウンから選択してください。

社員ID メールアドレス以外のＩＤでログインさせたい場合は設定します。『プロファイル』の『ログインタイプ』を『社員ＩＤ』にすることで利用できます。

必須（注1）

SSOパスワードログイン認証に使用するSSOパスワードを設定します。 ( 注１) 本マニュアルでは、一般ユーザには必ず設定します。特権管理者の設定は任意です。 ※ Google Apps パスワードとは別のパスワードを設定してください。 ※一般ユーザには、SSOパスワードでログインさせて、シングルサインオンのログイン制御を通してアクセスさせるのが一般的です。)

Appsパスワード ( 連係用 )

基本は空白のままです。 ※ガラ携帯アプリなど一部のサービスをご利用の場合は、Google Apps パスワードとなる値をご設定ください。 ※ガラ携帯アプリなど一部のサービス連係用なので、ユーザのログイン認証やパスワード変更では使用されません。

必須姓、名 Google Apps アカウントの姓、名

姓カナ、名カナアカウントのフリガナ ( 任意 )

必須（注2）

プロファイル本マニュアルでは、特権管理者に『管理者専用プロファイル』を割り当てます。 ( 注2 ) 本マニュアルでは、一般ユーザの設定は不要です。（※『ダッシュボード』タブの『デフォルトで利用するプロファイル』から『一般ユーザ用標準プロファイル』を設定するため) なお、ユーザごとに個別にプロファイルを設定したい場合はご利用ください。

© KDDI

区分項目名説明

言語設定基本は『標準』のままです。※ダッシュボードの全体設定で設定した言語とは別にユーザに言語( 英語など ) を指定したい場合に設定ください。

ユーザ時停止デフォルトの設定では『稼動中』です。 ※アカウントを一時的に無効にしたい場合にご利用ください。一時停止のユーザはログインできません。 Google Apps のアカウントの『一時停止』に連係されます。

必須（推奨）

パスワード次回変更フラグ

(推奨) 次回、シングルサインオンにログインしたタイミングで、ユーザへパスワードの変更を強制したい場合はチェックを入れます。 ※ユーザがパスワードを変更したら、自動でこのフラグはOFFに変更されます。 ※変更されるパスワードは、ログイン認証で使用されるパスワードです。 ( シングルサインオンの SSO パスワードまたは Google Apps 自体のパスワードです。) ※プロファイルで『パスワードの一元管理』を有効にしている場合は、SSOパスワード、 Google Apps 自体のパスワードのどちらも更新されます。( これは通常利用しません。 ) ※Google Apps アカウントのパスワード変更フラグには連係されません。

パスワード有効期限

ユーザに定期的にパスワードの変更をさせることができます。 ※『パスワード履歴チェック』と合わせてご利用ください。

管理グループ委託管理者が管理するためのデータカテゴリ。指定すると委託管理者にこのデータの管理を委任することができます。

メモ管理用のメモ欄です。



ユーザ基本情報の項目一覧 ( つづき )

37

© KDDI

ステップ4

『ユーザ一覧』に追加したユーザが表示されるのを確認します。


【お願い】

シングルサインオン管理画面にひと通りユーザ登録ができたら、

以降の章『シングルサイオン管理画面から登録したユーザ情報を Google Apps に反

映する』の手順にしたがって設定作業を進めてください。

シングルサインオン管理画面にのみアカウントが登録済で、 Google Apps 側にアカウントが作成されて

いない場合、当該アカウントは Google Apps にログインできません。

( Google Apps とSSO管理画面側の両方にアカウントが作成されると、SSO経由でログイン可能です。)


38

© KDDI

1-4-2. シングルサイオン管理画面から登録したユーザ情報を Google Apps に反映する ( 1/4 )

39

ステップ１

ユーザの登録作業が完了後、サイドバーから『ユーザをAppsに反映』をクリックします。

シングルサインオン管理画面に登録したアカウントを Google Apps へ反映 ( 同期処理 ) します


↑登録したユーザアカウント

© KDDI


40

ステップ２

『タスク管理』タブに遷移後、

『タスク新規登録 – ユーザ情報を Google Apps アカウントに反映する』画面で、




© KDDI


41

ステップ３



『ステータス』が『成功』となったらユーザ情報の反映処理完了です。


© KDDI


42

[補足]

Google Apps の『管理コンソール』＞『ユーザ』に遷移し、

シングルサイオン管理画面から登録したユーザ情報がGoogle Apps に反映されてることが確認できます。


ユーザ情報を Google Apps に反映完了後、

つづいて、以降の章『『デフォルトで適用するプロファイル』に『一般ユーザ用プロファイル』を設定する』

の手順にしたがって設定作業を進めてください。

設定の順序を誤ると管理者も含めてログインできなくなりますのでご注意ください。

© KDDI

1-4-3. 『デフォルトで適用するプロファイル』に『一般ユーザ用プロファイル』を設定する ( 1/3 )

『デフォルトで適用するプロファイル』に『一般ユーザ用プロファイル』を設定する

43

【作業開始の前提条件】

設定作業前に必ず本章の以前の設定が済んでいることをご確認ください。

※設定されてないと、管理者も含めてログインできなくなります。

□『管理者アカウント』を Google Apps から取り込みかつ『管理者用プロファイル』を設定する

( 上記手順は1章『1-3-1 、1-3-2』ご参照ください。 )

□『SSO管理画面』に『ユーザアカウント』を登録後『SSOパスワード』を設定し、かつ

ユーザ情報を Google Apps へ反映 ( 連携処理) する

( 上記手順は1章『1-4-1 、1-4-2』ご参照ください。)


© KDDI

ステップ 1

『ダッシュボード』タブの『デフォルトで利用するプロファイル』から

『一般ユーザ用標準プロファイル』を選択します。

44

【補足】

デフォルトで用意されている『一般ユーザ用標準プロファイル』は、『SSOパスワードにてログインさせて、シングルサイオンのログイン制御を通してアクセスさせる』設定です。

• 社内からであれば、どの端末からも申請なしでログイン可能 • 社外、スマートフォンからのログインはアクセス申請が必要です。

初期設定編初期設定編 1-4-3. 『デフォルトで適用するプロファイル』に『一般ユーザ用プロファイル』を設定する ( 2/3 )

© KDDI

• 『デフォルトで利用するプロファイル設定』を設定すると『ユーザ管理』に登録していない

ユーザはログインできなくなります。

• 『デフォルトで利用するプロファイル設定』は管理者にも適用されますので、あらかじめ用意

されている『管理者用プロファイル』を、特権管理者に設定しておいてください。

ご注意

ステップ2

画面下までスクロールし、『保存』をクリックし、確認画面で『はい』をクリックします。

【お願い】事前の設定が済んでいることを必ずご確認のうえ保存してください。

( 特権管理者に『管理用プロファイル』を設定、アカウントに『SSOパスワード』の設定など )

初期設定編初期設定編 1-4-3. 『デフォルトで適用するプロファイル』に『一般ユーザ用プロファイル』を設定する ( 3/3 )

45

© KDDI

1-4-4.『ダッシュボード』から『社内IPアドレス』を設定する ( 1/2 )

ステップ１

『プロファイルで使用する社内ネットワーク』にアクセス許可するIPアドレスを入力し、

『社内ネットワークのIPアドレスを追加』をクリックします。( 複数ご指定可能です。 )

『調査方法はこちら』をクリックしていただくと、IPアドレスが確認できます。

シングルサインオンログイン経由から Google Apps へアクセス許可する固定グローバルIPアドレス ( 社内ネットワーク ) を設定し、社外からのアクセスを制限します

46


ステップ２

必要に応じて、支店や工場など、各拠点のIPアドレスを登録してください。

↑社内ネットワークに追加したIPアドレスの確認/削除ができます。

© KDDI 47

ステップ3

画面下までスクロールし、『保存』をクリックします。


【補足】

初期の『一般ユーザ用標準プロファイル』では、

『ドメイン設定で設定された社内ネットワークのグローバルIPアドレスが使用される』( 下記赤枠 ) の設定が適用されています。

『ダッシュボート』で指定した『社内ネットワーク』のIPアドレスが、プロファイル内の社内ネットワークと認識されますので、

プロファイルごとに社内ネットワークを指定する必要がなく、設定が簡単になります。

『一般ユーザ用標準プロファイル』設定例→

1-4-4.『ダッシュボード』から『社内IPアドレス』を設定する ( 2/2 )

© KDDI

1-5-1. シングルサインオンを有効にする ( 1/5 )

48

ステップ１

キーファイルの『SSO用証明書ファイルを再取得 ( 差し替え )』をクリックしてダウンロードします。

シングルサインオンの管理画面から、SSO用証明書ファイルをダウロードします

２回目以降、シングルサインオン用証明書ファイルをダウンロードした場合は、

シングルサインオン側に対となる秘密鍵が上書き保存され、ユーザはログインできなくなります。

速やかに Google Apps の管理コンソール側にも、再ダウンロードした『SSO用証明書ファイル』

をアップロードしなおしてしてください。

ご注意


【作業開始の前提条件】

設定作業前に必ず本章以前の設定が済んでいることをご確認ください。

※設定されてないと、管理者も含めてログインできなくなります。

1-5 Google Apps でシングルサインオンを有効にする

© KDDI 49

Google Apps 管理コンソールにてシングルサインオンの設定を有効にします

ステップ３

『シングルサインオン ( SSO ) の設定』

をクリックします。


ステップ2

管理コンソール ( URL：https://admin.google.com/ )へ

ログインし、『セキュリティ』をクリックします。



© KDDI 50

ステップ４

はじめに、『サードパーティの ID プロバイダで SSO を設定する』セクションで

先程シングルサインオン管理コンソールより発行した『SSO用証明書ファイル』をアップロードします。

設定画面の中程にある『認証の確認』項目からアップロードを実行してください。

SSO用証明書ファイルをアップロード



© KDDI 51

ステップ５

『サードパーティのID プロバイダでSSO を設定する』にチェックを入れ、各URLを入力してください。

シングルサインオン設定を有効にし、ログイン・ログアウト・パスワード変更時のURLを設定します

・ログインページのURL ：https://kddi-sso.appspot.com/a/{お申し込みドメイン名}/sso/login

・ログアウトページのURL：https://kddi-sso.appspot.com/a/{お申し込みドメイン名}/sso/logout

・パスワード変更URL ：https://kddi-sso.appspot.com/a/{お申し込みドメイン名}/sso/password

※各URLの最後に『/』はつけないでください。

※{お申し込みドメイン名}の部分は、ご登録いただいた

Google Apps のドメイン ( マルチドメインの場合はプライマリドメイン ) をご入力ください。

※ Google Apps のシングルサインオン設定画面に入力するURLです。ユーザが直接ログインするURLではございません。

※プロキシサーバをご利用で『X-Forwarded-For』ヘッダによるアクセス制御をする場合は、ログインURLのみ先頭は

『http://』としてください。 ( セキュリティルール ( プロファイル ) で『Chromeログインを禁止する』制御を

する場合は『https://』で始まる必要があります。)



© KDDI 52

ステップ６

『ドメイン固有の発行元を使用』をチェックを入れ、『変更を保存』をクリックします。

以上でシングルサインオンの初期設定は完了です。以降の章『シングルサインオンログイン動作確認』を実施し、正しく設定できたことを確認します。



© KDDI

参考. SSO 初期設定動画マニュアル ( YouTube )

53

KDDI サテライトオフィス SSO 初期設定動画マニュアル

公開：2015年10月時点

1. Google Apps にインストールする ( 1分36秒 ) 2. シングルサインオン管理画面の初期設定をする ( 2分00秒 ) 3. 管理者アカウントをAppsからを取り込み、特権管理者用のプロファイルを設定する ( 1分27秒 ) 4. ユーザを作成、Appsに反映し、社外アクセス禁止の設定をする ( 3分42秒 ) 5. Google Apps でシングルサインオンを有効にする ( 2分55秒 )

初期設定は以下の手順で設定をお願い致します。 ※設定の順序を誤ると管理者も含めてログインできなくなりますのでご注意ください。

※上記リンク元は以下サイトにもございます。『Google Drive for Work』『Google Apps for Work』システム管理者さま向け KDDI サテライトオフィス SSO編 http://www.kddi.com/business/support/movie/google-apps/150201/


https://www.youtube.com/watch?v=_8oEklE_2FQ&index=40&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttps://www.youtube.com/watch?v=_8oEklE_2FQ&index=40&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttps://www.youtube.com/watch?v=_8oEklE_2FQ&index=40&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=uZcmHycPrJE&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=uZcmHycPrJE&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=uZcmHycPrJE&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=Je3z8w0Lmok&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=Je3z8w0Lmok&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=Je3z8w0Lmok&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=Je3z8w0Lmok&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=Je3z8w0Lmok&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=l-NWOkPaGA4&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=l-NWOkPaGA4&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=l-NWOkPaGA4&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=l-NWOkPaGA4&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=l-NWOkPaGA4&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=p3pYKshx7ak&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=p3pYKshx7ak&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=p3pYKshx7ak&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.youtube.com/watch?v=p3pYKshx7ak&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttps://www.youtube.com/watch?v=_8oEklE_2FQ&index=40&list=PL3s_mLtEVeo3WQGJ9ROHkC7jd3QVLj2RShttp://www.kddi.com/business/support/movie/google-apps/150201/http://www.kddi.com/business/support/movie/google-apps/150201/http://www.kddi.com/business/support/movie/google-apps/150201/http://www.kddi.com/business/support/movie/google-apps/150201/

© KDDI

2-1-1. シングルサインオンログイン動作確認 ( 1/4 )

54

ステップ１

ブラウザから Gmail のURLにアクセスしてください。

https://mail.google.com/

シングルサインオンが正しく設定できたことを確認 ~ 一般ユーザ編 ~

[2-1 動作確認] 初期設定編動作確認編

https://mail.google.com/

© KDDI


55

ステップ２

Google のログイン画面が表示されるので、

登録済の一般ユーザのメールアドレスを入力し、

『ログイン』ボタンをクリックします。

※パスワードの入力は不要です。

ステップ３

Google Apps 管理者コンソールで設定した

ログインページにリダイレクトされることを

確認します。

初期設定編動作確認編

© KDDI

ステップ４

IDとシングルサインオン管理コンソールで設定した『SSOパスワード』を入力し、

『LOGIN』をクリックしてください。

この画面を挟んで…

ステップ5

社内ネットワークからログインした場合、

Gmail 画面にリダイレクトされることを確認します。


56

＜社内ネットワークからログインした場合＞


© KDDI

本手順では一般ユーザに対してはアクセス制御が適用されますので、

管理者が許可したIPアドレス ( 社内ネットワーク ) 以外からログインしようとした場合、

アクセス申請を行わないとログインできなくなります。

アクセス申請については次頁を記載があります。

ご注意

ステップ6

社内ネットワーク以外からログインした場合、

『ご利用の環境、端末からのアクセスは禁止されています。『アクセス申請』を行うか管理者

にお問い合わせください。』というメッセージが表示されることを確認します。


57

＜社内ネットワーク以外からログインした場合＞


© KDDI

STEP1

管理者による端末制限が設定されている場合、ユーザにはアクセス

制御が適用されます。申請が必要な環境や端末 ( ブラウザ ) から

ログインしたら、『端末のアクセス申請はこちら』をタップし、

アクセス申請をしてください。

STEP2

『ログインID』と『SSOパスワード』

入力し、『LOGIN』をタップします。

一般ユーザによる、端末ごとのアクセス申請例


58

2-1-2. アクセス申請動作確認 ( 1/5 )

© KDDI 59

【補足】 ※アクセス申請はご利用いただく端末ごと ( ブラウザごと ) に必要です。 ※端末制御はブラウザの『Cookie』機能を利用していますので、ブラウザの設定で『Cookieをクリアする』の操作をしないようにご注意ください。

STEP4

アクセス申請が登録されると、ダッシュボードで設定したメールア

ドレスに通知メールが送信されます。

管理者によって承認処理されるとアクセスできるようになります。

STEP3

『ご利用目的』を入力し、『アクセ

ス申請をする』をタップします。


←管理者によって承認処理後、

『元の承認処理に戻る』をタップします。

再度『ログインID』と『SSOパスワード』を

入力し、『LOGIN』をタップしアクセスします。


© KDDI 60

STEP1

シングルサインオンの管理画面にアクセスし、

サイドメニューの『アクセス申請一覧』をクリックします。

STEP2 『アクセス申請一覧』にユーザのアクセス申請が表示されます。『』マークをクリックすると、『アクセス申請詳細・編集』画面に遷移します。

特権管理者さまによる、アクセス申請個別に承認処理編



© KDDI 61

STEP3

内容を確認し、『承認』あるいは『拒否』を選択し、『アクセス申請を更新する』クリックし設定を保存します。


管理者によって『承認』処理されると、ユーザは申請端末のブラウザまたは Gmailアプリなど

からアクセスできるようになります。

『アクセス申請-個別に承認処理編』の設定は以上で完了です。


© KDDI 62

【補足】

複数人のアクセス申請の承認あるいは否認処理を一括で行いたい場合は、

該当ユーザの左枠のチェック欄をクリックし、『一括許可』あるいは『一括拒否』をクリックします。


そのほか詳細はウェブマニュアルを参照ください管理者さま向け： http://goo.gl/jAsdp6 ( アクセス申請の承認、否認 ) 一般ユーザさま向け： http://goo.gl/Z4RcL7 ( 端末ごとのアクセス申請 )

特権管理者さまによる、アクセス申請一括承認処理編


http://goo.gl/jAsdp6http://goo.gl/Z4RcL7

© KDDI

重要.サテライトオフィス・シングルサインオン障害時リカバリー対策の事前検証のお願い ( 1/2 )

63

障害時のリカバリー機能『緊急モード』の事前検証のお願い

＜障害発生時のリカバリー機能のご説明＞

サテライトオフィス・シングルサインオンは、Google App Engine で稼働しております。

Google App Engine は、他のプラットフォームよりも圧倒的に安定稼働しておりまが、

万が一の対策として、Amazon EC2 にてリカバリーサーバを用意しています。

Google App Engine の稼働に不備がある場合でも、管理者の方が数クリックで

緊急モード(AmazonEC2サーバ) に切り替えられます。

万が一障害が発生した場合にスムーズに緊急モードに切り替えいただけるよう、

緊急モードの事前検証をお願い致します。


© KDDI 64

緊急モードの【制限事項について】

緊急モード時の制限事項についてはシングルサインオンのマニュアルサイトをご確認ください。

https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#URGENTSSO

緊急モードの事前検証の方法は以下サイトマニュアル ( PDF ) をご覧ください。

http://www.sateraito.jp/images/20130505-sso2.pdf

□ 事前検証完了後はSSO/GAE障害時のリカバリ―対策 ( 緊急モード ) にチェックをいれてください。

□ 管理者さまにて、AmazonEC2版SSOのログインURLのブックマーク（お気に入り）をお願い致します。

https://sp.sateraito.jp/u/{お申し込みドメイン名}/sso/config/

重要.サテライトオフィス・シングルサインオン障害時リカバリー対策の事前検証のお願い ( 2/2 )


https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#URGENTSSOhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#URGENTSSOhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#URGENTSSOhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#URGENTSSOhttp://www.sateraito.jp/images/20130505-sso2.pdfhttp://www.sateraito.jp/images/20130505-sso2.pdfhttp://www.sateraito.jp/images/20130505-sso2.pdf

© KDDI

2015年9月に Google Apps のセキュリティ強化に関する仕様変更に伴い、

プロファイルのログインタイプを『Appsパスワード』で運用されている場合、

シングルサインオンのログイン画面でログインできない事象が発生しております。

【 Google Apps アップデートブログ管理コンソールで安全性の低いアプリのアクセスをブロックする】

http://goo.gl/Bg6pz0

回避策として次頁のいずれかの設定を行ってください。対処法１：『Appsパスワード』認証から『SSOパスワード』認証への切り替えをご検討ください。対処法２：管理者にて、『安全性の低いアプリの管理をユーザに許可する』をご検討ください。

↓ログインタイプが『Appsパスワード』

該当ユーザがSSOログイン画面からログインを試みた場合、

システム側から右記通知メールが届きます。

65

[参考.こんな時は編]

2-A. 特権管理者がSSOログイン画面から『Appsパスワード』でログインできなかったら ( 1/6 )

初期設定編こんなときは

http://goo.gl/Bg6pz0http://goo.gl/Bg6pz0http://goo.gl/Bg6pz0

© KDDI

STEP１

SSO管理画面にて、該当ユーザの『SSOパスワード』の初期値を設定し、

『次回パスワードの変更』にチェックを入れ、ユーザ情報を更新します。

66

対処法1:『Appsパスワード』認証から『SSOパスワード』認証への切り替えをご検討ください



© KDDI 67

STEP２

該当ユーザへSSO初期パスワードを通知し、ログイン後パスワードを変更するようご案内します。

STEP3

つづけて、該当ユーザに適用されている『プロファイル』の『えんぴつ』アイコンをクリックし、

『ログインタイプ』をすべて『SSOパスワード』に変更します。変更後『プロファイルを更新する』をクリックします。



© KDDI

ステップ１管理コンソール ( URL：https://admin.google.com/ )へログインし、『セキュリティ』をクリックします。

ステップ2 『基本設定』をクリックします。

ステップ3 『安全性の低いアプリの設定に移動>>』をクリックします。

68

対処法2：管理者にて、『安全性の低いアプリの管理をユーザに許可する』




© KDDI

ステップ4 『安全性の低いアプリの管理をユーザに許可する』にチェックを入れ、『変更を保存』します。

組織、グループの作成方法は以下『Google Apps 管理者ヘルプサイト』をご参照ください。 < A: 組織部門の追加>



A

B

69

※一部のユーザのみ設定を適用したい場合は、組織またはグループを作成し、作成した組織またはグループに該当ユーザを割り当てると、組織・グループ単位で設定の利用権限の許可を適用することが可能です。



https://support.google.com/a/answer/182537?hl=jahttps://support.google.com/a/answer/2370108?hl=ja

© KDDI

管理者にて『安全性の低いアプリの管理をユーザに許可する』をオンにすると、該当ユーザは

『安全性の低いアプリのアクセス』のオンとオフの切り替え操作を自分で行えるようになります。

ステップ5

該当ユーザへ、以下URLから『安全性の低いアプリのアクセス』を『オンにする』よう依頼します。

https://www.google.com/settings/security/lesssecureapps

該当ユーザの設定画面

70



https://www.google.com/settings/security/lesssecureappshttps://www.google.com/settings/security/lesssecureapps

© KDDI 71

【事前準備】

・事前に予備のメールアドレスを登録しておく必要があります。

＜＜管理者にて登録する場合＞＞

以下いずれかの方法で『予備のメールアドレス』が登録できます。

①ユーザCSVファイルによるインポート：項目名『sub_email』

②ユーザ編集画面

※利用ユーザさまにて『予備のメールアドレス』を登録するには以下URLのマイページ画面からとなります。

https://kddi-sso.appspot.com/a/｛お客さまドメイン名｝/personal/

※マイページ画面に『予備のメールアドレス登録』リンクを表示する方法は、本章の『2-2-2. ログイン画面や

マイページで『端末申請』や『予備のメールアドレス登録』リンクを非表示にしたい場合』をご参照ください。

2-B. ユーザがパスワードを忘れた場合に、再設定する ( 1/5 )


© KDDI 72

＜＜ユーザさま利用イメージ＞＞

Step1 ログイン画面で、『ログインID』

『パスワード』を入力します。

Step2 ログインしようとしてここで

『ログインIDかパスワードが違います。』というメッセージ

が表示されると、

『パスワードを忘れた方はこちら』が表示されますので

こちらをクリックします。



© KDDI 73


Step3 『ユーザIDを入力し、

『ユーザ情報を確認』を


Step4 予備のメールアドレスを入力し、

『予備のメールアドレスに再設定コードを送信』


2-B.ユーザがパスワードを忘れた場合に、再設定する ( 3/5 )


© KDDI 74


Step５予備のメールアドレス宛てに

パスワード再設定用の

コードが送信されます。

本文内の再設定コードをコピーします。

Step6 Step5で控えた再設定コードを張り付け、

『再設定コードを確認』をクリックします。



© KDDI 75


Step7 新しいパスワードを確認用も含めて

2カ所に同じパスワードを入力し、

『パスワードを再設定』を


Step8 『マイページトップへ』をクリックし、

パスワード再設定画面を閉じます。


以上、パスワードの再設定は完了です。


© KDDI

ステップ1

『ダッシュボード』の『ログイン制御設定』で、

『ログイン画面やマイページに端末申請のリンクを表示しない』にチェックをいれます。

『マイページに予備のメールアドレス登録のリンクを表示しない』にチェックをいれます。

（※デフォルトでは、表示する（チェックオフ）の設定です。）

76

ログイン画面やマイページの『端末申請はこちら』のリンクや『予備のメールアドレス』を非表示にしたい場合

2-C. ログイン画面やマイページで『端末申請』や『予備のメールアドレス登録』リンクを非表示にしたい


© KDDI 77

2-D. シングルサイオンのログインページをカスタマイズしたい ( 1/2 )

『ダッシュボード』の『ログインページ設定』からログインページに

表示するメッセージや背景画像をカスタマイズすることができます

※ 背景景画像に合わせて、文字やリンクの色も変更可能です。

※ セキュリティ強化するために、ログインID,パスワードをブラウザに記憶させるかどうかの設定

（オートコンプリート）も可能です。


© KDDI 78

2-D. シングルサイオンのログインページをカスタマイズしたい ( 2/2 )

『ダッシュボード』の『ログ設定』からログインページに表示するロゴ画像を

カスタマイズすることができます

カスタマイズ後のシングルサインオンのログイン画面→


© KDDI

応用3-1-1. 『管理者用プロファイル』の設定 ( 1/3 )

•プロファイルの詳細設定を確認する場合は、

『プロファイル名称』( 青字 ) をクリックします。

•プロファイル情報を編集する場合は

『』ボタンをクリックします。

シングルサインオン管理コンソールの『セキュリティルール管理』から

プロファイルを追加・編集することで、細かなアクセス制御を行うことが可能です

79

初期設定編応用編

【補足】初期のプロファイルの設定内容の詳細はウェブマニュアルを参照ください: http://goo.gl/Lcuiu6

[応用3-1 セキュリティルール管理のプロファイル ]

http://goo.gl/Lcuiu6http://goo.gl/Lcuiu6http://goo.gl/Lcuiu6

© KDDI


80

デフォルトで用意されているプロファイル

KDDI サテライトオフィスツール・SSO (シングルサインオン) には、

『セキュリティルール管理』タブのプロファイル一覧に、あらかじめ、

『管理者用プロファイル』と『一般ユーザ用標準プロファイル』の２つのプロファイルが用意されています。

Ｎｏ．項目名説明

① 管理者用プロファイル Google Apps 自体のパスワード ( Appsパスワード) でログインさせます。社内、社外ともに無制限でアクセスできます。

② 一般ユーザ用標準プロファイル

SSOパスワードにてログインさせてシングルサインオンのログイン制御を通してアクセスさせます。社内からであれば、どの端末からも申請なしでログイン可能です。社外、スマートフォンからのログインはアクセス申請が必要となり、管理者より許可された端末のみアクセス可能です。 ( 設定により自動承認も可能です。 )


© KDDI

・アクセス制御に関する設定

81

・ログイン設定

ログインタイプ … Appsパスワード ※『社内、社外、スマートフォン、ガラ携帯』からのアクセス時の制御も同様の設定です。 ※SSOパスワードを忘れた場合ログインができなくなるのを防ぐため、ここでは管理者はGoogle Apps 自体のパスワード ( Appsパスワード ) を設定しています。

『管理者用プロファイル』の設定『Appsパスワード』でログイン。社内、社外ともに無制限でアクセスできる設定です。以下、ポイントとなる設定画面です。

アクセス制御 … 『無効』が選択されています ※管理者は制約なくどこからでもアクセス可能という設定



© KDDI

『一般ユーザ用標準プロファイル』の設定

『SSOパスワード』にてログインさせてシングルサインオンのログイン制御を通してアクセスさせます。

以下、ポイントとなる設定画面です。

82

アクセス制御 … 『有効』を選択承認なしで利用可能な端末 … 初期設定では『３台』まで承認なしで利用可能

【補足】承認なしで利用可能な端末について

『承認なしで利用可能な端末』の台数を設定しておくと、

ユーザがアクセス申請後、その台数まで管理者さまの承認なしですぐにご利用いただけます。

初回のアクセス申請から承認を必要とする設定を行いたい場合は、台数を『0台』にご変更ください。


応用3-1-2. 『一般ユーザ用標準プロファイル』の設定 ( 1/7 )

・アクセス制御に関する設定 (1/2)

© KDDI

・アクセス制御に関する設定 (2/2)

83

MACアドレスによる自動承認 … MACアドレスを取得できる端末で『SSOログインアプリ』利用時に使用する項目です。 ※ブラウザからの通常アクセスでは利用できません。『SSOログインアプリ』については以下マニュアルサイトをご覧ください。スマートフォン・タブレット … 『タブレットはPCではなくスマートフォン扱いとする』にチェックを入れると、タブレットからのアクセス時に、スマートフォン扱いとして動作するようになります。 ( 標準ではタブレットはパソコンと同じ扱いです。) ※ログイン画面などのデザインは、従来通り、パソコンのデザインが使用されます。 … 社内アクセス時もスマートフォン、ガラ携帯の設定を優先する社内のネットワーク経由で、スマートフォン、ガラ携帯を使う場合、標準では『社内』の設定が適用されますが、これを『スマートフォン』、『ガラ携帯』の設定を使うように変更できます。 Chromeログイン … Chromeログインを禁止する



以下、ポイントとなる設定画面です。( つづき )

https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#ABOUT_DEVICE_CONTROLhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#ABOUT_DEVICE_CONTROLhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#ABOUT_DEVICE_CONTROLhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#ABOUT_DEVICE_CONTROLhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#ABOUT_DEVICE_CONTROL

© KDDI 84

・マイページに関する設定

表示リンク … マイページにGoogle Apps サービスへのリンクを表示可否を選択できます。初期設定では『メール、カレンダー、ドライブ』にチェックが入っています。




マイページURL：https://kddi-sso.appspot.com/a/{お申し込みドメイン名}/personal/

↓パソコンの場合

←スマートフォンの場合

© KDDI 85

・社内からのアクセス時の制御

社内ネットワーク … 初期設定では『ドメインで設定された社内ネットワークのグローバルIPアドレスの使用』にチェックが入っています。ここにチェックが入っていると、『ダッシュボード』タブの『プロファイルで使用する社内ネットワーク』で設定した社内IPアドレスが使用されます。




© KDDI 86

・社内からのアクセス時の制御

ログイン設定 - ログインタイプ … 初期設定では『SSOパスワード』が選択されています。 ※全ユーザに対して『SSOパスワード』を設定しておく必要があります。 - 自動ログイン … 初期設定ではオフです。社内ポリシーにあった設定を行ってください。




© KDDI 87

・社外からのアクセス時の制御(1/2) ( スマートフォンからのアクセス時の制御、ガラ携帯からのアクセス時の制御も同様の設定です。)

ログイン設定- ログインタイプ … 初期設定では『SSOパスワード』が選択されています。

二要素認証 … 初期設定ではオフです。社内ポリシーにあった設定を行ってください。『二要素認証』の詳細については以下マニュアルサイトをご覧ください。




© KDDI 88

ブラウザ・端末制御設定

-ネットワーク設定 …制御しない

※明示的に『この環境からのアクセスを全て禁止する』にチェックを入れた場合、

指定(社外)環境からのアクセスを禁止することができます。

- ブラウザ … 設定なし ※設定なしの場合、どのブラウザでもアクセスできます。

特定のブラウザに制限したい場合は、許可するブラウザを追加してください。

-持出PC端末制御… 初期設定ではオンです。( 基本はON )

アクセス申請で管理者にて許可された端末でのみアクセス可能となります。




・社外からのアクセス時の制御(2/2) ( ※スマートフォンからのアクセス時の制御、ガラ携帯からのアクセス時の制御も同様の設定です。)

© KDDI

適用の

優先順位

項目名説明

1 ユーザに設定されたプロファイル

ユーザに設定されたプロファイルがあればそれを使用します。以降のプロファイルは使用されません。

2 メイン組織に設定されたプロファイル

ユーザにプロファイルが設定されていない場合、ユーザの所属組織のうち『メイン組織』として設定された組織にプロファイルが設定されていればそれを使用します。 ※メイン組織が設定されていない場合、メイン組織にプロファイルが設定されていない場合は、適用されません。

3 デフォルトで利用するプロファイル

全体の共通プロファイル ⇒ユーザにもメイン組織にも有効なプロファイルがない場合、『ドメイン設定』の『デフォルトで利用するプロファイル』が使用されます。

プロファイルの詳細についてはウェブマニュアルでご確認ください。http://goo.gl/Y6Hy7y

【補足】『セキュリティルール管理』の『プロファイル』は、３箇所で設定することができます。適用の優先順位は以下の通りです。

89


参考3-1. プロファイル適用の優先順位

http://goo.gl/Y6Hy7yhttp://goo.gl/Y6Hy7yhttp://goo.gl/Y6Hy7y

© KDDI 90

ログオンに何度も失敗するアカウントをロックしたり、パスワードに有効期限を設定したりなどパスワードのポリシーを細かく制御したい場合

各プロファイルごとに『ログイン・パスワードに関する設定』が可能です。

参考3-2. ユーザのパスワードの設定ポリシーを強化する


© KDDI 91

-ログイン後に遷移するURL …初期設定では未設定です。

アクセス環境ごとログイン後に遷移させるURL （例：社内ポータルなど）を

指定することができます。

-ユーザがGoogleAppsサービス「https://mail.google.com/a/＜Appsドメイン＞/」などのサービスURLに

アクセスした場合にはそちらを優先する

…初期設定ではオンです。

例：ユーザがなどブックマークに登録しており、 Google Apps のメールを指定してログインしてきた場合にそのURLを優先させることができます


参考3-3. ログイン後に遷移させるURLを指定する

アクセス環境ごとログイン後に遷移させるURL （例：社内ポータルなど）を指定することができます

『社内/社外/スマートフォンからのアクセス時の制御』の『ログイン設定』

© KDDI

応用3-2 シングルサインオンへユーザを一括登録 ( CSVで一括登録 ) ( 1/5 )

92

ステップ１

サイドバーから『ユーザ一括エクスポート』を


ユーザ情報をCSV形式でファイルをエクスポート

ユーザ情報をCSVファイルに一括で出力することができます。

本紙は出力したCSVを使用してデータを編集し一括でインポートする手順を紹介します。

ステップ2

『エクスポート』をクリックしてCSVファイルを

ダウンロードします。


© KDDI 93

ステップ3

エクスポートしたCSVファイルをテンプレートとして使用し、ユーザ情報の追加や変更を行います。

必須項目は『command』『email』『last_name』『first_name』ですが、

以下項目も一括登録しておくことをおすすめします。

•SSOパスワード： sso_password

•SSOパスワード更新フラグ： sso_password_update_flag = UPDATE

編集が終わったら、CSV形式で保存してください。

( Machintosh をお使いの場合は正しくインポートできない場合があります。)

エクスポートしたファイルをテンプレートとして使用し、ユーザを一括登録するためのファイルに加工

【補足】 CSVファイルの詳細についてはウェブマニュアルでご確認ください。

http://goo.gl/FZe4k1



http://goo.gl/FZe4k1

© KDDI 94

ステップ4

サイドバーから『ユーザ一括インポート』をクリックします。

加工したCSVファイルをシングルサインオンへインポート

ステップ５

『インポート』をクリックして、加工したCSVファイルを選択し、アップロードします。



© KDDI 95

ステップ６

サイドバーから

『ユーザをAppsに反映』をクリックします。

シングルサインオンに登録したユーザ情報を Google Apps へ反映

ステップ7


『タスク新規登録 – ユーザ情報を Google Apps アカウントに反映する』

画面で、そのまま『タスクを登録する』をクリックします。




© KDDI

ステップ1

サイドバーから

『組織 ( Group ) をAppsから取込』


Google グループの一括処理 ( 登録・更新・削除 )

『ステータス』が『成功』となったら取り込み処理は

完了です。

『組織 ( Group ) 管理』タブの『組織一覧』から、

Google Apps から取り込んだグループが

表示されます。

ステップ２


『タスク新規登録 – Google Apps グループから

組織 ( Group ) を取り込む』画面で、


Google Apps のグループ ( メーリングリスト ) をシングルサイオン側の管理画面へ取り込み後、マスターとして Google

グループの登録や管理を行うことができます。また、定期的な連係やCSVファイルでの一括処理 ( 登録・更新、削除 )

も可能です。本章では、Google Apps からグループ情報の取り込みを行う操作例を記載します。

ステップ3 タスク登録後、タスクが実行されます。

応用3-3 Google グループの管理

【補足】 Google グループの管理やCSVファイルでの一括エクスポート、インポート方法の詳細はウェブマニュアルを参照ください。 https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#GROUP Google グループ CSVファイルの詳細： http://goo.gl/lrbYxE 『Groups for Business』権限の詳細： https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#GROUPPERMIT2


97

https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#GROUPhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#GROUPhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#GROUPhttp://goo.gl/lrbYxEhttps://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#GROUPPERMIT2https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#GROUPPERMIT2https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso#GROUPPERMIT2

Documents

KDDI サテライトオフィスツールmedia3.kddi.com/extlib/files/business/user/apps_manual/...Google Apps アカウントを管理することを推奨致します。 【補足】

KDDI サテライトオフィスツールmedia3.kddi.com/extlib/files/business/user/apps_manual/...Google Apps アカウントを管理することを推奨致します。【補足】