昨日開催された「リーグオブ情シス #7」でも紹介されていた、Google Cloud Identity Freeを試してみます。
Google Cloud Identity Freeとは
デバイス管理やディレクトリ管理、SAMLを利用したSSOなどGoogle Cloud Identityのほとんどの機能を無料で利用できるライセンス体系です。
閲覧だけに限って言えば、Google Driveの共有ドライブも利用することが可能です。
作成できるユーザー数は「50」までに制限され、プロビジョニングなどはできませんが、ユーザーの組織管理という観点においてはほとんどのことを十分にこなすことが可能です。
Google Workspaceを利用している場合は、同じ組織内にユーザーを共存させることも可能なので、小さな組織でパート・アルバイトの方などフルライセンスを必要としていないメンバーを組織管理するのに最適です。
プランの詳細はCloud Identity の機能とエディションの比較をご覧ください。
始め方
まず、Google Cloud Identity Free(以下CGIF)はGoogle Workspace(以下GWS)の組織を持っているかどうかによって、始め方が二種類あります。
GWSが無い場合
こちらから新規に組織を作成することになります。
新規に組織を作成すると、極端に機能の制限された無料のGoogle Workspace組織が出来上がりますが、50名未満のSAML SSOだけできればいいやっていうIDaaSとしてなら割と使えます。
GWSがある場合
GWSがある場合は上記のURLから進めた時に同じドメインを使おうとすると「すでにドメインが存在します」と言われて作成することができませんが、GWSの管理コンソールからサービスを追加することによって利用できます。
https://admin.google.com/ac/billing/catalog
GWSがある場合はGWSからサービス追加する
画面に従ってすすめると簡単にGCIFを有効化することができます。
ライセンスの設定
有料のGWSを使っている場合は新しく追加するユーザーをGWSのライセンスを利用するのか、GCIFのライセンスを利用するのかを正しく設定しておかないと意図しないライセンスを利用してしまうことになります。(実はやらかしました)
Orgの準備
複数のやり方がありますが、おすすめの方法は組織部門を使うことです。
GWSのライセンスはユーザーが所属する組織部門から継承されるので、付与するライセンスに応じて組織部門を分けておくのが一番やりやすいんじゃないかと思います。以下のURLから組織を作成します。
https://admin.google.com/ac/orgunits
組織部門の作成
今回は有料ライセンスを割り当てるユーザーをGWS、無料ライセンスを割り当てるユーザーをGCIFの組織に入れるので、元々ルートの組織に入っていたユーザーは目的の下位組織に移動しておきましょう。
ライセンスの自動割当設定
次に以下のURLからライセンスを組織に対して割り当てます。
https://admin.google.com/ac/billing/licensesettings
自動ライセンス割当の設定
まずは一番ルートとなる組織に対して、自動ライセンスを「オフ」にします。
そして、有料ライセンスを割り当てる組織を自動ライセンス「オン」に、無料ライセンスを割り当てる組織に対して自動ライセンスを「オフ」に設定します。
ユーザーを追加してみる
GWSのユーザー追加と同じ場所からユーザーを追加できます。
https://admin.google.com/ac/users
Google Cloud Identity Freeのユーザー追加
無料ライセンスを割り当てる組織を選択して、新しいユーザーの追加をします。
新しいユーザーにはGCIFライセンスが割り当てられていることがわかります
また、作成されたユーザーでログインしてみると、基本的なGoogleの機能が利用できることがわかります
閲覧のみだが共有ドライブも利用できる
閲覧のみではありますが、共有ドライブに追加することも可能です。
閲覧権限いじょうの権限を付けようとするとエラーになる
GmailやGoogleカレンダーは利用出来ませんが、一般向けGoogleアカウント(Gmailアカウント)の機能が利用出来ます。
GCIFユーザーでSAMLしてみる
さて、このライセンスの本丸ともいえるSAML SSOの機能を試してみましょう。
今回は無料でもSAMLの機能を備えているWhimsicalというサービスを使っていきます。(手っ取り早くSAMLを設定してみたいときのSPとして手軽なのでおすすめです)
GWS側での作業
https://admin.google.com/ac/apps/unified
GWSの管理コンソールからカスタムSAMLアプリを作成します。
カスタムSAMLアプリの作成
メタデータをダウンロードします。
Whimsical側の設定
メタデータをアップロードするだけで設定できる
WhimsicalのWorkspaceの設定からIdPにG Suiteを指定し、先程ダウンロードしたメタデータをアップロードします。
SP(Whimsical )の情報をIdP(GWS)に入力
メタデータをアップロードしたら、GWS側で次のページに進みます。
メタデータのアップロードが終わるとWhimsical側にIdPに入力するACSなどの情報が表示されるので、GWS側に反映していきます。
SPからIdPに設定項目をコピペする
Whimsicalの場合マッピングは必須ではないのでそのまま進みます。
ユーザーにアプリを割り当てる
デフォルトではGoogleのカスタムSAMLアプリは誰にも割り当てられていないので、組織全体に対して有効化しておきます。
組織に対してアプリを有効化する
ログインしてみる
GCIFで作成したテストユーザーで、ログインURLにアクセスしてSSOを試してみます。リダイレクトさせたいので一時的にサインアウトした状態でアクセスします。
WhimsicalにSSO出来ることが確認できました。
まとめ
いかがでしたでしょうか?50人という制限付きではありますが、かなり有用な機能ですね。50人以上になる場合には一部リーダーの方などをGoogle Workspace Frontlineエディションなどにアップグレードしていくなどすることで、コストを抑えながらも会社の成長に合わせてGWSを活用していけるのでは無いでしょうか?
補足
はてブでこんなコメントを頂いてたので
Workspace が有料なのに”完全無料”って紹介でいいのかな。
『完全無料のIDaaS!?Google Cloud Identity Freeを試してみる』へのコメントkijtra — 『完全無料のIDaaS!?Google Cloud Identity Freeを試してみる』へのコメント
b.hatena.ne.jp
今回はGWSと共存させたかったので、GWSから追加しましたが、上の方にも書いたように、こちらから新規に組織を作成すると、無料のOrgは作ることが出来ます。
50人っていう制限があるし、SCIMも出来ないので、「完全無料のIDaaS」ってのはちょっと言い過ぎなんですが、ごくスモールな組織でSSOさえできればいいやって場合には結構使えるのかなーと思います。