Cloudflareのゼロトラスで利用できるIdP(Identify Provider)には色々なものがあります。
IdPとは
IdPは「Identity Provider」の略で、クラウドサービスへの認証管理システムです。
[Azure AD]、[Google Workspace]、[Google]等の著名なIDPは事前登録されていますが、著名でないIDPの場合は[OpenID Connect]や[SAML]を利用して設定します。
この中で認証にGmailアドレスを利用するものに[Google Workspace]と[Google]があり、後者が無料で利用できるIdPになります。
この時、個々人が勝手に作成したGmailアドレスでも良いのですが、企業が作成したGmailアドレスを利用した方が管理が簡単になります。
そこで企業が管理する無料のGmailアドレスの新規取得から削除までを下記で解説します。
1.Gmailアドレス構造の理解とアドレス取得の考え方
Gmailアドレス数は日本だけでも15億個以上あると言われております。
しかしこの様な環境下でもアカウントの構造を理解すれば、上記とダブらない企業固有のGmailアドレスを取得する事はそんなに難しくありません。
尚、[Googleアカウント]と[Gmailアドレス]は同じものです。
Gmailアドレスの名称ルールとアドレス構想
構造:ユーザ指定アドレス@gmail.com
ユーザ指定アドレス部の命名ルール
①6文字以上30文字未満
②利用できる文字は半角英数字とドット(.)で、先頭は半角英字です。
※上記で利用するドット(.)は、アドレスを見易くするだけで文字数には含まれません。
例えば下記は同じメールアドレスです。
よってドット(.)を上手く使って下記の様な構造のGmailアドレスにすると、企業固有のメールアドレスを作成する事ができます。
③企業のGmailアドレス構想
管理者:cto.[企業略称]@gmail.com
管理者が利用するIDで、このIDで社員等のIDを管理します。
またこれにGoogle認証に必要な情報をセットします。
尚、[cto]でなく[google]や[admin]も試しましたが、これらの文字列は禁止ワードの様で利用できませんでした。
社員 :[性].[名].[企業略称]@gmail.com
これが社員が認証に利用するGmailアドレスです。
特殊 :smtp.[企業略称]@gmail.com
GmailのSMTPを利用する為のアプリパスワードを設定するGmailアドレスです。
上記で構想した[企業略称]のGmailアドレスが利用可能か?は下記のサイトで確認します。
■下図のメールアドレス欄に複数のメールアドレスを入力して確認ボタンを挿入すると利用可能なメールアドレスか否かを調べてくれます。
以上で企業固有のGmailアドレス(Googlaアカウント)を取得する準備が整いました。
2.Googleアカウントの新規取得方法
ここでは、
・管理者用Gmail:例)cto.[企業略称]@gmail.com
・社員用Gmail :例)[性].[名].[企業略称]@gmail.com
のGoogleアカウントを取得する方法を解説します。
アカウント管理で重要な事
Googleアカウントを作成した年月は必ず記録しておいてください。
Googleアカウントのパスワードが判らなくなったり、アカウントを復元する際に必要になります。
1.キャッシュのクリア
Googleアカウントの情報はブラウザのCookieの中に記憶されます。
よって新しいGoogleアカウントを新規に作成する時はブラウザの[Cookieを削除]してから操作します。
Google Chromeの場合は[メニュ→閲覧履歴を消去]で[Cookieと他のサイトデータ]を選択して削除を実行します。
2.アカウント作成画面
下記のURLをクリックします。
画面が表示されたら画面の上部の[アカウントを作成する]をクリックします。
3.姓名の入力
表示された下図に姓名を入力し[次へ]ボタンで先に進みます。
管理者の場合:企業名を姓名に分けて記述します。
社員の場合 :姓名を正確に入力します。
4.生年月日の入力
表示された画面に生年月日と性別を入れて[次へ]ボタンで先に進みます。
管理者の場合:青少年と判断されない生年月日を入力します。
社員の場合 :正確な生年月日を入力します
5.Gmailアドレスの取得
Gmailアドレスのサンプルが表示されますが[自分でGmailアドレスを作成]を選択し、ここにアドレスを入力して次へ進みます。
管理者の場合:cto.[企業略称]@gmail.com
社員の場合 :[性].[名].[企業略称]@gmail.com
6.パスワードの設定
表示された下記画面に企業で利用するパスワードを入力し[次へ]ボタンで先に進みます。
ロボットでない事を確認する画面が表示される事があります。
この時は管理者の電話番号で処理して下さい。
作成アカウントの電話番号とは関係ありません。
7.再設定用のメールアドレスの設定
再設定用のメールアドレスを要求されますが下記で入力します。
管理者の場合:[スキップ]で先に進みます。
社員の場合 :管理者のメールアドレスを入力し[次へ]で先に進みます。
8.アカウント情報の確認
アカウントの確認画面で[次へ]で先に進みます。
9.利用規約画面
利用規約が表示されるので[同意する]をクリックします。
10.ようこそ画面
メモ
ようこそ画面が英語画面の場合は下記の操作で日本語に変更します。
①左ペインの[Personal info]を開きます。
②表示された画面の下の方にある[Language]を開きます。
③表示された画面の[Preferred Language]の[English]にある鉛筆マークをクリックし、言語一覧の最後の方にある[日本語]を選択します。
以上で画面が日本語になります。
下図の様な[ようこそ画面]と[再設定用の電話番号を追加する]ダイアログが表示されます。
管理者の場合:下記画面の中に[再設定用の電話番号を追加する]をクリックします。
社員の場合 :再設定に管理者のメールアドレスを指定したいので無視します。
以下の①②は管理者の時の処理です。
①リカバリ情報の設定画面
下記画面に管理者の電話番号を設定し[保存]ボタンを入力します。
②電話番号が登録された画面が出ます。
確認後[←再設定オプション]をクリックします。
11.セキュリティ画面を確認する。
[セキュリティ]メニュを表示させると現在の設定情報が表示されます。
以上でGoogleアカウント(Gmailアドレス)が取得できました。
3.Googleアカウントを2段階認証にする方法
この作業は利用者自身が行う作業になります。
2段階認証には色々な種類がありますが、ここではPCでログインする時に、所有するスマートフォンに下図の様なGoogleメッセージが送られる2要素認証の作成方法を解説します。
上記画面に[はい、私です]をクリックするとGoogleアカウントにログインする事ができます。
上記の様なログイン方法を[Google からのメッセージ]方式と呼びます。
メモ
2段階認証が機能するのに上記の画面が表示されない場合は、スマートフォン側のGoogleアカウントの設定を確認して下さい。
1.スマートフォン側での操作
[Google からのメッセージ]を利用する時は、スマートフォン側に当該Gmaiアカウントが設定されている必要があります。下記にその設定方法を解説します。
①Androidの場合
[設定→Google]で表示されたアカウントの横にある>をクリックします。
ここに表示されたGmailアドレスが[Google からのメッセージ]対象アカウントになります。
[別のアカウントを追加する]を実行し、[Google からのメッセージ]を利用したいアカウントにログインします。
電話番号を追加するか?のメッセージが表示された場合は許可して下さい。
これで再設定用の電話番号が登録されます。
②iPhone/iPADの場合
Googleアプリをダウンロードします。
上記アプリを起動し設定されているアカウントをクリックし[別のアカウントを追加する]を実行し、2要素認証したいアカウントにログインします。
電話番号を追加するか?のメッセージが表示された場合は許可して下さい。
これで再設定用の電話番号が登録されます。
以上でスマートフォン側の準備は整いました。
2.PCから2段階認証をONにする。
次はPCで下記URLから2段階認証にしたいGoogleアカウントにログインします。
下記の様な画面が表示された場合は画面の中にある[後で行う]や[後で]でを挿入し先に進んで下さい。
表示された画面メニュから[セキュリティ]を選択します。
下記画面が表示されるので[2段階認証プロセス]をクリックします。
■一般ユーザは[再設定用の電話番号]と[再設定用のメールアドレス]が登録されている筈です。
■また上図は2段階認証がOFFで[Googleからのメッセージ]と[2段階認証プロセスの電話番号]が設定されてない事を表しています。
■ここで2段階認証をONの処理を行うと[Googleからのメッセージ]と[2段階認証プロセスの電話番号]に情報が登録され、2段階認証がONになります。
2段階認証をクリックし[パスワード]を指定すると下記画面が表示されるので[電話番号の追加]をクリックします。
携帯の電話番号入力画面が表示されます。
[+81]と携帯電話番号を入力するとスマホに確認コードが送られてきます。
確認コードを入力すると2段階認証がONに変わります。
■2段階認証がONになり、[Googleからのメッセージ]と[2段階認証プロセスの電話番号]に値が入ります。
■まだ[バックアップコード]は設定されてないので下にあります。
これが表示されてない場合はこの欄をスライドさせると見つける事ができます。
3.バックアップコードを設定する
バックアップコードとは認証に利用するスマートフォンが近くにない、又は紛失した時に代わりに利用するコードです。
これをPCに保存し、上記の様な時に利用できる様にしておきます。
①[バックアップコード]をクリックします。
8桁のコードが10個作成されます。
これをPCに保存しておいてください。(4桁の数字2個で1つのコードです)
下記の様な表示がセキュリティ画面に追加されます。
■バックアップコード1回しか使えません。使うたびにカウンターが1つ減算されます。
以上でスマホを使った2段階認証の設定は終了です。
4.Googleアカウントの削除方法
Cloudflareのゼロトラストの社員リストから退社社員のメールアドレスを外せば、そのアカウントではゼロトラストに入れなくなります。
しかし企業が与えたGoogleアカウントをそのまま残しておくのはあまり関心しません。
そこでこのGoogleアカウントを削除すると、このアカウントは他の人からは取得できないアカウントになります。
但し[再設定用のメールアドレス]と[作成年月]を知っている人はこのアカウントを復元できるようです。
復元のURLは下記になります。
https://accounts.google.com/signin/recovery
削除方法は管理者の所で下記のURLからGoogleアカウントにログインしてもらい下記手順で行います。
セキュリティメニュから下記実行します。
①2段階認証をOFFにする
②[2段階認証プロセスの電話番号]と[再設定用の携帯電話]を削除する
③[パスワード]は企業のパスワードか否かを確認する。
もし変更されていた場合は、新たな企業用のパスワードに変更する
④再設定用のメールアドレスが企業管理者か否かを確認する。
以上の設定が確認できたら下記を実行します。
⑤[データとプライバシー]メニュの[その他オプション]にある[Googleアカウントの削除]から削除操作を行います。
以上でGoogleアカウントは削除されます。
スマホから当該アカウントの削除方法
Androidの場合の操作は下記になります
①[設定→ユーザとアカウント]を実行する。
②Googleを選択する
③アカウント一覧から当該アカウントを選択し削除を実行する
Googleのアカウントの作成が完了したら[認証システム]の設計の他の未設定項目を設定して下さい。