Featured image of post Google Cloud の Cloud Identity をセットアップする

Google Cloud の Cloud Identity をセットアップする

Summary

最近、のおねつは CloudFlare Zero Trust なのですが最近まで GitHub 認証のみで使ってきました。ですが CloudFlare は Applications を登録する場合に SSO(Single Sign On) 設定できるのが現状 SAML(Security Assertion Markup Language) だけになり OIDC(OpenID Connect) の対応がないのだが、 NetBox や Proxmox VE / Proxmox Backup Server は OIDC のみ対応しているため SSO を実現できない。そこで 「Azure AD かー」?? 「Auth0かー」となっていたが、、調べてみると下記の記事を発見。
Google がタダで提供していること 弊宅では Workspace 契約はないが Workspace Admin アプリである程度管理できそうなためこれを使ってみる。

準備

  • 今回は適当なドメインを用意
  • MX は別で使ってるので用意しない(そのそもこの機能にない)
  • GCP アカウントは既存のを使う

Cloud Identity 申し込み

(見ない間にシンプルになってる)

ドメイン所有権の証明

個人ユーザーの作成

あとは普通にログインする

PassKey の有効化

MFA は必須としたいので早速個人ユーザーで設定しようとしたが、管理者側で設定が必要らしい

上をやったあとに組織全体で適用する

二段階認証を必須に

SSO 後の本人確認

組織でサードパーティのシングル サインオン(SSO)プロファイルを設定している場合は、不審なログインが検出された場合に、確認のため追加の本人確認を Google がユーザーに要求するかどうかを選択します。{注: この設定は、組織の SSO プロファイルでログインしていないユーザーには適用されません。別のプロファイルでログインしたユーザーには、不審なログインのために追加の本人確認が常に求められます。また、2 段階認証プロセスのポリシー(設定されている場合)も常に適用されます。}

ログイン時の本人確認 - 管理コンソール

普通の Google アカウントでは常に求められるようなので有効化

CloudFlare の SSO を登録する

ドキュメント通りで問題なかったので割愛

グループを作成

必須ではありませんが、グループを作成しておきます。
理由は、 CloudFlare Access でアクセス制御を掛けるときに使えるからです。適当にグループを切って admins, users あたりを作成しておくとのちのち CloudFlare Access で Policy Groups の大改修などが不要になるでしょう。

グループの作成は Google Admin の方でやります。

Hugo で構築されています。
テーマ StackJimmy によって設計されています。