2025.07.01 コラム
【テックコラム】Looker と Google Workspace の SAML 連携でセキュアな SSO 環境と権限管理を実現しよう
はじめに
こんにちは!ジョージです。
企業で利用する SaaS が増えるにつれ、従業員はサービスごとに ID とパスワードを管理する必要に迫られています。これは利便性の低下だけでなく、パスワードの使い回しによるセキュリティリスクや、パスワード忘れによる情シスの問い合わせ工数の増大といった課題に繋がります。
この課題を解決する技術の一つが、SAML (Security Assertion Markup Language) 認証による シングルサインオン(SSO)です。SSOを導入することで、ユーザーは一度の認証で複数の連携サービスにログインできるようになります。
この記事では、多くの企業で導入されている Google Workspace を認証基盤(IdP)として、BIツール Looker へのSSO連携を設定する方法を、手順に沿って詳しく解説します。
Looker と Google Workspace を連携させるメリット
この連携には、主に以下のメリットがあります。
- セキュリティ向上と ID / パスワード管理の効率化: ユーザーは使い慣れた Google アカウントで Looker にログインできます。パスワードを個別に覚える必要がなくなり、Google Workspace の多要素認証(MFA)などのセキュリティポリシーを Looker の認証にも適用できます。
- Googleグループのミラーリングによる権限管理の簡素化: Google Workspace で管理しているグループ情報を、Looker のロール(権限)と同期させることが可能です。これにより、人事異動や組織変更に伴う Looker の権限設定を、Google グループのメンバーを更新するだけで行えるようになり、管理工数が大幅に削減されます。
ゴールと対象読者
このコラムでは Looker と Google Workspace の SAML 連携を設定し、SSO を実現する方法を紹介します。
- 対象読者:
- Google Workspace およびLooker の管理者
- 社内の ID 管理やセキュリティ基盤の構築を担当されている方
連携設定の全体像と前提条件
設定作業の登場人物
SAML 認証では、役割に応じて2つの登場人物がいます。今回の設定に当てはめて説明します。
- IdP (Identity Provider): ユーザーの身元を証明する側。今回は Google Workspace が該当します。
- SP (Service Provider): 認証を要求し、サービスを提供する側。今回は Looker が該当します。
設定作業は、「 IdP が SP を信頼する設定」と「 SP が IdP を信頼する設定」をお互いに行うイメージです。
設定の流れ
設定は大きく以下の2ステップで進めます。
- Google Workspace 側の設定: Looker を信頼できる SAML アプリとして登録します。
- Looker 側の設定: Google Workspace を信頼できる認証プロバイダーとして登録します。
前提条件
設定には以下の権限が必要です。
- Google Workspace の 特権管理者権限
- Looker の 管理者(Admin)ロール
設定手順
【ステップ1】 Google Workspace 側の設定( IdP 設定)
まず、IdP である Google Workspace に Looker を SAML アプリとして登録します。
1-1. Google 管理コンソールで Looker 用のカスタム SAML アプリを作成する
- Google 管理コンソール( admin.google.com )にログインします。
- 左側のメニューから [アプリ] > [ウェブアプリとモバイルアプリ] を選択します。
- [アプリを追加] > [アプリを検索] をクリックします。
- 「Looker」で検索するといくつかアプリがヒットしますが、プラットフォームが「ウェブ(SAML)」のものを選択します。
1-2. IdP( Google )の情報をコピーする
次の画面で、後ほど Looker 側で設定するために必要な Google IdP の情報が表示されます。以下の3つの情報をテキストエディタなどにコピー、ダウンロードしておいてください。
- SSO の URL
- エンティティ ID
- 証明書(「証明書をダウンロード」ボタンから .pem ファイルをダウンロード)
コピー、ダウンロードが完了したら、「続行」をクリックします。
1-3. サービスプロバイダ(Looker)の詳細情報を入力する
次に、SP である Looker の情報を Google Workspace に入力します。
- ACS の URL : https://<ご利用のLookerインスタンス名>.looker.com/samlcallback
- エンティティ ID : https://looker.com
- 開始 URL : 空欄のままで問題ありません。
- 名前 ID の形式 : EMAIL を選択します。
- 名前 ID : Basic Information > Primary email を選択します。
<ご利用のLookerインスタンス名> の部分は、お使いの環境に合わせて書き換えてください。入力後、「続行」をクリックします。
1-4. 属性マッピングを設定する
Google Workspace のユーザー情報を、Looker に SAML 属性として渡すための設定です。必須項目は予め表示されているので、[Google Directory の属性] の3つの属性をプルダウンから以下のように設定します。これらは Looker 側でユーザーを特定するために利用されます。
設定後、「完了」をクリックします。
1-5. グループ メンバーマッピングを設定する(省略可)
Google グループで Looker のユーザーを管理したい場合はこちらを設定します。ユーザーのみ連携する場合はこの設定は省略することができます。
[Google Directory の属性] から Looker に連携したい Google グループを選択します。なお、連携可能なグループは最大 75 個である点には注意が必要です。)
アプリ属性の 、[Groups] はデフォルト値のままで構いませんが、後ほど Looker 側での設定に必要になりますので覚えておく必要があります。
設定後、「完了」をクリックします。
以上で Google Workspace 側の設定は完了です。
【ステップ2】 Looker側の設定(SP 設定)
次に、SP である Looker 側に Google Workspace の情報を設定します。
2-1. Looker の管理画面で SAML 認証を有効にする
- Looker に管理者アカウントでログインします。
- 左側のメニューから [管理者] > [認証] > [SAML] を選択します。
「SMAL」が表示されない場合、まずはご自身のユーザーのロールに「Admin」が付与されているかを確認しましょう。付与されている場合は Looker の営業担当かサポート担当に連絡します。
2-2. Google Workspace からコピー、ダウンロードした IdP 情報を Looker に貼り付ける
SAML 認証の設定画面で、先ほど Google Workspace からコピーした情報を以下のように入力・設定します。
- IdP URL : Google の「SSO の URL」を貼り付けます。
- IdP Issuer : Google の「エンティティ ID」を貼り付けます。
- IdP Certificate : Google からダウンロードした証明書ファイル(.pem)を開き、内容をすべてコピーして貼り付けます。
2-3. ユーザー属性のマッピング設定
Google Workspace から渡される SAML 属性と、Looker のユーザー属性を紐付けます。
- User Attribute Settings の各項目を以下のように設定します。
- Email Attr : Email
- First Name Attr : FirstName
- Last Name Attr : LastName
メリットとして挙げた「Google グループによる権限管理」を行いたい場合は、「Mirror SAML Groups」 のトグルをオンにし、連携したい Google グループと Looker ロールの紐付け設定を行います。
- Group Finder Strategy : Groups as values of single attribute (typical)
- Groups Attribute : Groups ※ 1-5 で設定した「アプリ属性」の値
- Preferred Group Name : Looker のグループ名 ※ Looker 側で作ったグループ名と重複することはできません
- Roles : このグループに付与する Looker のロール
- SAML Group ID : SMAL で連携される Google グループの ID
2-4. テスト機能で設定内容を確認する
すべての入力が完了したら、ページ下部にある [Test SAML Authentication] ボタンをクリックします。新しいウィンドウで Google のログイン画面が表示され、認証後に Looker がユーザー情報を正しく受信できればテスト成功です。
テストが成功したら、設定ページの上部にある 「Include SAML authentication…」 のチェックボックスをオンにし、ページ下部の [Update Settings] をクリックして設定を保存します。
まとめと運用上の注意点
これで全ての設定は完了です。
ユーザーは Google アカウントを使って、Looker のログイン画面にある「認証」ボタンからシームレスにログインできるようになりました。
この連携により、ID/パスワード管理の一元化による利便性向上とセキュリティ強化、そして Google グループを利用した権限管理の効率化が実現できます。
運用上の注意点(デメリット)
非常に便利な連携ですが、運用上の注意点もあります。それは、Google Workspace と Looker が密結合になることです。
特に注意が必要なのは、連携済みの Google グループ ID を変更した場合です。Looker はグループ ID を元にユーザーとグループをマッピンすることで権限を管理しているため、Google 側でグループ ID を変更すると、Looker 側でグループを正しく認識できなくなり、権限連携がエラーになる可能性があります。
このような事態を避けるためにも、一度連携したグループ情報は安易に変更しない、変更する際は Looker 側の設定も同時に変更する、といった運用ルールを定めておくことが重要です。
この記事が、皆さんのセキュアで効率的なデータ分析環境の構築にお役立てできれば幸いです。
また、自社に専門人材がいない、リソースが足りない等の課題をお持ちの方に、エンジニア領域の支援サービス(Data Engineer Hub)をご提供しています。
お困りごとございましたら是非お気軽にご相談ください。
》サービスの詳細はこちら
本件に関するお問い合わせは下記にて承ります。
株式会社DataCurrent
info@datacurrent.co.jp