Google Workspaceの管理者にとって、非常に重要なセキュリティアップデートが発表されました。
これまで、Googleをサービスプロバイダとして利用する際のシングルサインオン(SSO)設定には、いくつかの制限がありました。
しかし、今回のアップデートにより、その選択肢が大きく広がります。
本日は、2025年11月18日に発表された「カスタムOpenID Connect(OIDC)プロファイルを使用したSSOの一般提供開始」について、詳しく解説します。
セキュリティ強化と利便性向上を両立させたい企業のIT担当者様は、ぜひ最後までご覧ください。
https://workspaceupdates.googleblog.com/
2025年11月18日
アップデートの概要:何が変わったのか?
これまで、Google Workspaceにおけるサードパーティ製IDプロバイダ(IdP)を使用したシングルサインオン(SSO)といえば、主に「SAML(Security Assertion Markup Language)」という規格が利用されてきました。
SAMLは長年業界標準として使われてきましたが、よりモダンで軽量な認証規格である「OpenID Connect(OIDC)」への対応を望む声が多くありました。これまでもGoogle Workspaceでは、Microsoft Entra ID(旧Azure AD)を利用する場合に限りOIDCプロファイルがサポートされていましたが、任意のIdPを自由に設定できるわけではありませんでした。
今回のアップデートにより、ついに「カスタムOpenID Connect(OIDC)プロファイル」を使用したSSOが一般提供(General Availability)となりました。
これにより、管理者はGoogleをサービスプロバイダ(SP)として、任意のサードパーティ製IdPとOIDCプロファイルを使ってSSOを構成できるようになります。つまり、ID管理の選択肢が大幅に増え、組織のポリシーや利用しているシステム環境に合わせて、最適な認証方式を選べるようになったのです。
そもそもOpenID Connect(OIDC)とは?なぜ重要なのか?
「SAMLで運用できているから問題ないのでは?」と思われる方もいるかもしれません。しかし、OIDCには現代のIT環境に適した多くのメリットがあります。ここで少し、技術的な背景を整理しましょう。
OpenID Connect(OIDC)は、認可プロトコルである「OAuth 2.0」をベースに構築された、最新の認証レイヤーです。ユーザーがアクセスしようとしているアプリケーションに対して、パスワードそのものをさらすことなく、ユーザーの身元(アイデンティティ)を検証することができます。
SAMLと比較した際のOIDCの主な利点は以下の通りです。
モダンなアーキテクチャへの親和性
SAMLがXMLベースでやや重厚な通信を行うのに対し、OIDCはJSONベースのRESTfulな通信を行います。これにより、ウェブアプリケーションだけでなく、モバイルアプリやクラウドネイティブな環境での認証において、より軽量で扱いやすいという特徴があります。セキュリティとユーザー体験の両立
パスワードを共有せずに認証を行うため、セキュリティリスクを低減できます。また、複数のプラットフォーム間でのシームレスな認証(ログイン状態の維持など)を実現しやすく、エンドユーザーにとっても快適な利用体験を提供できます。開発者フレンドリー
多くの最新ID管理ソリューション(Okta、Auth0など)や、自社開発の認証基盤において、OIDCは標準的な選択肢となっています。今回のアップデートにより、こうした最新のIdPとGoogle Workspaceを「標準機能」としてスムーズに連携できるようになります。
管理者ができるようになったこと
今回のアップデートにより、Google管理コンソール上で以下の設定が可能になります。
カスタムOIDCプロファイルの作成
Microsoft Entra IDに限らず、OIDCをサポートするあらゆるIdP(アイデンティティプロバイダ)との連携設定を作成できます。組織部門(OU)やグループごとの適用
作成したSSOプロファイルは、組織全体に一律適用するだけでなく、特定の「組織部門」や「Googleグループ」に対して割り当てることができます。
例えば、「開発部は新しい認証基盤(OIDC)を使い、営業部は従来の認証基盤(SAML)を使う」といった柔軟な運用や、「まずは情報システム部だけで新しいSSOをテスト導入する」といった段階的な移行も容易になります。
設定方法と導入のステップ
この機能を利用するには、Google Workspaceの管理者権限が必要です。
デフォルトではOFF
この機能は、自動的に有効になるわけではありません。管理者が意図的に設定を行う必要があります。設定場所
Google管理コンソールのセキュリティ設定セクション内にある、サードパーティ製IdPによるSSO設定画面からアクセスします。必要な情報
連携するサードパーティ製IdP側の「クライアントID」「クライアントシークレット」「発行者URL(Issuer URL)」などの情報が必要になります。これらをGoogle管理コンソールに入力することで、信頼関係を結びます。
詳細な手順については、Google Workspace管理者ヘルプの「OIDC で SSO を設定する」というページが更新されていますので、そちらを参照しながら設定を進めることをお勧めします。
利用可能なエディションと展開スケジュール
この機能は、すでに利用可能となっています(Available now)。
対象となるエディション:
Google Workspaceのほぼすべてのエディション
(Business Starter/Standard/Plus, Enterprise各エディション, Education各エディション, Nonprofitsなど)Cloud Identity Free および Premium
対象外のエディション:
Google Workspace Essentials Starter
Google Workspace Individual
展開スケジュール:
即時リリース(Rapid Release)および計画的リリース(Scheduled Release)の両ドメインにおいて、すでに展開が完了しており、管理コンソールから利用可能です。
まとめ:認証基盤のモダナイゼーションに向けて
今回の「カスタムOIDCプロファイルによるSSO」の一般提供は、Google Workspaceを企業の中核システムとして利用する企業にとって、認証基盤のモダナイゼーション(現代化)を後押しする強力なアップデートです。
特に、社内で複数のクラウドサービスを利用しており、それらの認証をモダンなIdPで統合管理しようとしている企業にとっては、Google Workspaceとの連携における「最後のピース」が埋まったと言えるかもしれません。
SAMLによる連携も引き続きサポートされますし、安定して動作しています。しかし、もしこれから新規にSSOを構築する場合や、認証基盤のリプレースを検討している場合は、より将来性が高く、モバイルやクラウドとの親和性が高いOIDCによる連携を第一候補として検討してみてはいかがでしょうか。
セキュリティは利便性とトレードオフになりがちですが、OIDCのような最新技術を適切に取り入れることで、その両方を高いレベルで実現することが可能です。ぜひ、自社のセキュリティポリシーやシステム環境に合わせて、最適な認証方式を選択してください。