※本FAQは「StartIn」にてGoogle Workspaceとシングルサインオンを行うための設定方法となります。 　本設定以外のGoogle Workspaceに関するお問い合わせは受け付けできかねますのでご了承ください。 ※本手順にて正常に動作しない場合、弊社での確認のため、お客様の環境をお借りする場合があります。

Google Workspace と StartIn のシングルサインオン設定手順は以下のとおりです。

1. [StartIn] メタデータの取得
1-1. 統合管理画面 > StartIn > シングルサインオン メタデータ から、「エンティティID」「ACS」「証明書」を確認します。
　

1-2. 「証明書」の内容を新規のテキストファイルへペーストし、拡張子「.cer」で保存します。


2. [Google Workspace] シングルサインオン設定
2-1. Googlw Workspace 管理コンソールへログインし、「セキュリティ＞認証＞サードパーティーのIdPによるSSO」を開きます。
　

2-2. 「サードパーティのSSOプロファイル＞SAMLプロファイルを追加」を開きます。
　

2-3. 手順1-1で確認した情報を設定します。
　

SSOプロファイル名	＜任意の名称＞
IdP エンティティID	1-1で確認した「エンティティID」
ログインページのURL	1-1で確認した「ACS」

2-4. 「証明書をアップロード」から、手順1-2で保存した「.cer」ファイルを選択し、「保存」をクリックします。
　

2-5. 「サードパーティのSSOプロファイル」から、手順2-3で「SSOプロファイル名」として設定した名前のプロファイルを開きます。

2-6. 「SPの詳細」から「エンティティID」「ACSのURL」を確認します。
　

2-7. 「セキュリティ＞認証＞サードパーティーのIdPによるSSO」から「SSO プロファイルの割り当ての管理＞管理」を開きます。
　

2-8. （オプション）特定のグループや組織にのみシングルサインオンの設定を適用したい場合は、画面左部の「グループ」「組織部門」から対象のグループや組織部門を選択しておきます。
　

2-9. 「SSOプロファイルの割り当て」から「別のSSOプロファイル」を有効化し、手順2-3で「SSOプロファイル名」として設定した名前のプロファイルを選択して「保存」します。
　


3. [StartIn] シングルサインオン設定
3-1. 統合管理画面 > StartIn > シングルサインオン > サービスプロバイダー設定 > 追加 から、Google Workapace用のサービスプロバイダー設定を行い、「適用」します。
　

サービスプロバイダー名	＜任意の名称＞
有効	ON
エンティティID	2-6で確認した「エンティティID」
ACS URI	2-6で確認した「ACSのURL」
ログインURL	Google WorkapaceへのログインURL
IdP署名設定	レスポンスに署名する：ON アサーションに署名する：OFF 署名アルゴリズム：RSA_SHA256
POST Bindingを強制する	ON
デフォルトのNameID	ユーザーID
NameIDマッピング	（オプション） OFFの場合、StartInユーザーのユーザーIDがGoogle Workapaceへ連携されます。 ONの場合、ここで選択したStartInユーザーの属性値がGoogle Workapaceへ連携されます。

3-2. 統合管理画面 > StartIn > ID管理 > 管理グループ から、作成したサービスプロバイダーへのアクセス許可を設定します。
　詳細は「DigitalArts@Cloud」マニュアル を確認してください。