EntraID

Entra ID と Google Workspace の SAML/SCIM連携手順

ⓘ本ページはプロモーションが含まれています

もっとスキルを活かしたいエンジニアへ

スポンサードリンク
働き方から選べる

無料で使えて良質な案件の情報収集ができるサービス

エンジニアの世界では、「いつでも動ける状態を作っておけ」とよく言われます。
技術やポートフォリオがあっても、自分に合う案件情報を日常的に見れていないと、いざ動こうと思った時に比較や判断が難しくなってしまいます。
普段から案件情報が集まる環境を作っておくと、良い案件が出た時にすぐ動きやすくなりますよ。
筆者自身も、メガベンチャー勤務時代に年収1,500万円を超えた経験があります。振り返ると、技術だけでなく「どんな案件や働き方があるか」を日頃から見ていたことが、キャリアの選択肢を広げるきっかけになりました。
このブログを読んでくれた方に感謝を込めて、実際に使っている情報収集サービスを紹介します。

フルリモート・週3日・高単価、どんな条件も妥協したくないなら

フリーランスボードに無料会員登録する

利用者10万人以上。業界最大規模45万件の案件。AIマッチ機能や無料の相場情報が人気。

年収800万円以上のキャリアアップ・ハイクラス正社員を視野に入れているなら

Beyond Careerに無料相談する

内定獲得率90%以上。紹介先企業とは役員クラスのコネクションがある安心と信頼できるエージェント。

スポンサードリンク

前提条件と必要な権限

Entra ID と Google Workspace を SAML/SCIM で連携させるには、両システムの管理権限が必須です。本セクションでは、作業に最低限必要となるロールと、実装を円滑に進めるための環境要件をまとめます。権限が不足していると設定途中でエラーになるだけでなく、後続のプロビジョニングや条件付きアクセスポリシーまで手が付けられません。

対象者とロール

ロール 必要なライセンス・条件
Entra ID テナント管理者 Azure AD Premium P1 以上(SCIM と条件付きアクセスを利用するため)
Google Workspace 管理者 Google Cloud Identity または Workspace Business/Enterprise エディションが必要

※ロールはテナント単位で付与されます。権限が不足している場合は、組織の上長や IT 部門に事前相談してください。

環境要件

項目 推奨設定
ブラウザ 最新版 Microsoft Edge または Google Chrome(ポップアップブロックを無効化)
Azure サブスクリプション Entra ID が有効なテナント、Premium P1 以上
Google Workspace 管理コンソールへのフルアクセス権
ネットワーク login.microsoftonline.comaccounts.google.com へアウトバウンド通信が許可されていること

Entra ID 側の SAML アプリケーション作成手順

このセクションでは、Azure ポータル上で「非ギャラリー」アプリとして Google Workspace 用の SAML 設定を行う流れを解説します。正しい構成情報(Identifier と Reply URL)を取得できれば、Google 側へのインポート作業がスムーズに進みます。

エンタープライズ アプリの新規作成

  1. Azure ポータル https://entra.microsoft.com にテナント管理者としてサインインします。
  2. 左メニューから 「エンタープライズアプリケーション」 を選択し、上部の 「+ 新規登録」 をクリック。
  3. 「非ギャラリー アプリ」 を選び、名前を Google Workspace SAML と入力して 「作成」
  4. 作成完了画面で左ペインの 「シングルサインオン」「SAML」 を選択し、構成ページへ遷移します。

Identifier (Entity ID) と Reply URL (ACS) の取得

  • Identifier (Entity ID) は「基本的な SAML 構成」セクションに表示されます。例: https://sts.windows.net/<テナントID>/
  • Reply URL (Assertion Consumer Service URL, ACS) も同セクションにあり、Google が要求するエンドポイントです。例: https://www.google.com/a/<ドメイン>/acs

※2026 年 UI のリニューアル情報は執筆時点で公式に未発表です(※情報が確定次第、本文を更新します)。UI が変わっても概念は従来と同じですので、項目名が多少異なる場合でも「Identifier」・「Reply URL」を探してください。

注意点

  • 証明書の有効期限:デフォルトでは 1 年間有効です。期限切れになる前に Azure ポータルで再生成し、Google 側にも新しいメタデータを再インポートしてください。
  • 属性マッピングは後述 の Google 設定で行うため、ここでは SAML の署名と暗号化設定だけに留めます。

Google 管理コンソールでのカスタム SAML アプリ設定

Google 側で Entra ID が発行したメタデータを取り込み、ユーザー属性のマッピングを行います。正しく構成できれば、Google のログイン画面から自動的に Entra ID 認証へ遷移します。

メタデータのインポート手順

  1. Google Admin コンソール https://admin.google.com に管理者権限でサインイン。
  2. 「セキュリティ」「設定」「シングルサインオン (SSO)」 を開く。
  3. 「カスタム SAML アプリを追加」 をクリックし、アプリ名を Entra ID など任意で入力。
  4. 「メタデータファイルのアップロード」で、Azure ポータルからダウンロードした SAML メタデータ XML を選択し、インポートする。

属性マッピング設定

Google 属性 SAML アサーション内項目 推奨値
Name ID (User Identifier) user.userprincipalname UserPrincipalName
Email user.mail PrimaryEmail
First name user.givenname givenName
Last name user.surname surname
  • 手順:属性マッピング画面で 「属性の追加」 をクリックし、上表の通りに設定後 「保存」
  • カスタム属性(例: 部署)を追加したい場合は、Google 側でカスタムスキーマを作成し、extensionAttribute1 などとマッピングできます。

補足情報

  • メタデータの再インポートが必要になるケース:Azure の証明書ローテーション、Identifier/Reply URL の変更、または Google 側で SSO 設定をリセットした場合。
  • 属性マッピングに不備があると、Google のプロフィール画面に正しい情報が表示されないため、テストユーザーで必ず確認してください。

SCIM によるユーザープロビジョニングの有効化

SCIM を利用すると、Entra ID 上で行ったユーザー追加・変更・削除がリアルタイムで Google Workspace に反映されます。ここでは、必要な API 権限取得から Azure 側設定までをステップバイステップで示します。

必要な API 権限と管理者同意手続き

  1. Azure ポータルの 「エンタープライズアプリケーション」 → 作成した Google Workspace SAML アプリを開く。
  2. 左メニューの 「プロビジョニング」「属性マッピング」 画面で、上部の 「権限」 タブに移動。
  3. 「API 権限」 に以下を追加し、管理者同意 を求める。
  4. Directory.ReadWrite.All(テナント全体のディレクトリ操作)
  5. User.ReadWrite.All(ユーザー属性の読み書き)

同意画面が表示されたら、組織内の Azure AD 管理者が承認する必要があります。

SCIM エンドポイント URL とベアラートークン取得手順

手順 操作内容
1. Google Cloud Console へアクセス https://console.cloud.google.com に管理者権限でサインイン
2. API & Services → 認証情報 を開く 左メニューから「認証情報」を選択
3. OAuth 2.0 クライアント ID(またはサービス アカウント)を作成 - 名前例:SCIM‑EntraID
- 「アプリケーションの種類」は「ウェブアプリ」か「その他」でも可
4. スコープに https://www.googleapis.com/auth/cloudidentity.groups.readwrite.../scim/v2 を追加 必要な SCIM 操作用スコープを設定
5. クライアントシークレット(ベアラートークン)を取得 作成後の「クライアント ID」および「クライアント シークレット」をメモ。Azure 側ではこのシークレットを ベアラートークン として入力します
6. エンドポイント URL を確認 Google が公開する SCIM ベースエンドポイントは次の通りです:
- ユーザー: https://www.googleapis.com/scim/v2/Users
- グループ: https://www.googleapis.com/scim/v2/Groups

Azure 側でのプロビジョニング設定

  1. 「プロビジョニング」 タブ → 「SCIM 設定」 を選択。
  2. 「SCIM エンドポイント URL」に上記ユーザーエンドポイント(例:https://www.googleapis.com/scim/v2/Users)を入力。
  3. 「ベアラートークン」欄に ステップ 5 で取得したクライアントシークレット を貼り付け、「保存」
  4. 「テスト接続」 ボタンで通信が成功すれば、「自動プロビジョニング開始」 スイッチをオンにします。

接続テストと同期の確認

  • Azure の 「属性マッピング」 画面で、Google 側に送信する属性(userName, emails, name.givenName など)を必要に応じて調整。
  • テストユーザーを Entra ID に追加し、数分後に Google Admin コンソールの 「ディレクトリ」→「ユーザー」 に反映されるか確認します。

条件付きアクセスと MFA のベストプラクティス

SSO の利便性だけでなく、セキュリティ面でも適切なガードレーンを設けることが重要です。ここでは、Entra ID の条件付きアクセスポリシーと Microsoft Authenticator / FIDO2 キーによる MFA の設定例を示します。

基本的なポリシー例

ポリシー名 対象アプリ 条件 推奨アクション
Google SAML – 外部ネットワークでの MFA 必須 Google Workspace SAML ユーザーが信頼できない IP(社外)からアクセス MFA 要求
高リスク端末ブロック すべてのクラウドアプリ デバイスリスクレベルが「高」または「中」 アクセス拒否

ポリシー作成手順

  1. Azure ポータル → 「条件付きアクセス」「+ 新しいポリシー」 をクリック。
  2. 対象ユーザー/グループ に全員、または特定のロール(例: Google Workspace Users)を指定。
  3. クラウド アプリ で先ほど作成した Google Workspace SAML を選択。
  4. 条件「場所」 で「信頼できる IP アドレス」以外を除外し、「アクセス制御」「多要素認証を要求」 にチェック。
  5. 有効化 を忘れずに行い、ポリシーの状態が 「オン」 になることを確認。

推奨 MFA 方法

方法 特徴 適用シーン
Microsoft Authenticator アプリ プッシュ通知・ワンタイムコード スマートフォン所有者全員に標準装備
FIDO2 セキュリティキー (YubiKey 等) フィジカルキーでパスフレーズ不要 高セキュリティ領域、社外端末の利用時
  • 登録手順:ユーザーは Azure AD の 「認証方法」 ページから MFA デバイスを追加。
  • ロールアウト戦略:まず管理者グループでパイロット運用し、問題がなければ全社展開するのが安全です。

テスト・トラブルシューティング と運用チェックリスト

設定完了後は必ずエンドツーエンドのテストを実施し、想定外のエラーに備える必要があります。また、定期的な監査で設定 drift(設定漂流)を防止します。

エンドツーエンドテストフロー

  1. 任意のブラウザで https://mail.google.com にアクセス。
  2. Google のログイン画面が表示されたら 「組織アカウントでサインイン」 を選択し、Entra ID の認証ページへリダイレクトされることを確認。
  3. Entra ID でユーザー名・パスワード(+MFA)を入力し、正常に Gmail の受信トレイが表示されたら成功です。

主なエラーコードと対処法

エラーコード 主な原因 推奨対策
Invalid SAML response 署名が無効、または有効期限切れ Azure の証明書有効期限を確認し、時計同期(NTP)もチェック
Audience mismatch Reply URL が Google 側と一致していない Azure の Reply URL を正確にコピーし、Google の ACS と同一か再確認
Signature validation error メタデータの不整合や改ざん 最新メタデータ XML を再エクスポートし、再インポート
SCIM 400 Bad Request ベアラートークンが無効、属性マッピング不備 Google Cloud Console でトークンを再生成し、Azure に再設定。属性名のスペルミスもチェック

定期的な運用・監査項目

  • サインインレポート:Entra ID の「サインイン」レポートで SAML 認証成功率を月次で確認。
  • 属性同期ステータス:Google Admin コンソールの SCIM 同期ログを週1回チェックし、エラーが出ていないか確認。
  • 証明書ローテーション:SAML 証明書は 12 ヶ月ごとに更新し、両側のメタデータを同時に差し替える。
  • MFA 利用率:Azure AD の「認証方法」レポートで Microsoft Authenticator と FIDO2 キーの採用率を把握し、未導入ユーザーへ周知促進。

まとめ(要点整理)

項目 要点
前提条件 Entra ID テナント管理者 (Premium P1 以上) と Google Workspace 管理者の権限が必須
SAML アプリ作成 Azure ポータルで非ギャラリーアプリを作り、Identifier と Reply URL を取得
Google 側設定 カスタム SAML アプリにメタデータをインポートし、属性マッピングを正確に構築
SCIM プロビジョニング 必要な API 権限を付与 → SCIM エンドポイントとベアラートークンを取得 → Azure で接続テスト後に自動同期開始
セキュリティ強化 条件付きアクセスポリシーで外部アクセス時に MFA を必須化、FIDO2 キーも併用推奨
テスト・運用 エンドツーエンドのログインフローを検証し、主要エラーと対処法を把握。定期的な監査で設定 drift を防止

上記手順とベストプラクティスに沿って実装すれば、Entra ID と Google Workspace のシングルサインオン環境を安全かつ自動化された形で構築できます。今後 UI が変更されたり新機能が追加された場合は、本稿を都度更新し、最新情報へ適合させてください。

スポンサードリンク

もっとスキルを活かしたいエンジニアへ

スポンサードリンク
働き方から選べる

無料で使えて良質な案件の情報収集ができるサービス

エンジニアの世界では、「いつでも動ける状態を作っておけ」とよく言われます。
技術やポートフォリオがあっても、自分に合う案件情報を日常的に見れていないと、いざ動こうと思った時に比較や判断が難しくなってしまいます。
普段から案件情報が集まる環境を作っておくと、良い案件が出た時にすぐ動きやすくなりますよ。
筆者自身も、メガベンチャー勤務時代に年収1,500万円を超えた経験があります。振り返ると、技術だけでなく「どんな案件や働き方があるか」を日頃から見ていたことが、キャリアの選択肢を広げるきっかけになりました。
このブログを読んでくれた方に感謝を込めて、実際に使っている情報収集サービスを紹介します。

フルリモート・週3日・高単価、どんな条件も妥協したくないなら

フリーランスボードに無料会員登録する

利用者10万人以上。業界最大規模45万件の案件。AIマッチ機能や無料の相場情報が人気。

年収800万円以上のキャリアアップ・ハイクラス正社員を視野に入れているなら

Beyond Careerに無料相談する

内定獲得率90%以上。紹介先企業とは役員クラスのコネクションがある安心と信頼できるエージェント。

-EntraID