Summary ¶

最近、のおねつは CloudFlare Zero Trust なのですが最近まで GitHub 認証のみで使ってきました。ですが CloudFlare は Applications を登録する場合に SSO(Single Sign On) 設定できるのが現状 SAML(Security Assertion Markup Language) だけになり OIDC(OpenID Connect) の対応がないのだが、 NetBox や Proxmox VE / Proxmox Backup Server は OIDC のみ対応しているため SSO を実現できない。そこで 「Azure AD かー」?? 「Auth0かー」となっていたが、、調べてみると下記の記事を発見。
Google がタダで提供していること 弊宅では Workspace 契約はないが Workspace Admin アプリである程度管理できそうなためこれを使ってみる。

無料で使えるGoogleのIDaaS「Google Cloud Identity Free Edition」を利用してみた | DevelopersIO

「無料」という言葉に弱いアナタ、そうアナタのことですよ。試しに使ってみませんか？

dev.classmethod.jp

準備 ¶

• 今回は適当なドメインを用意
• MX は別で使ってるので用意しない(そのそもこの機能にない)
• GCP アカウントは既存のを使う

Cloud Identity 申し込み ¶

(見ない間にシンプルになってる)

ドメイン所有権の証明 ¶

個人ユーザーの作成 ¶

あとは普通にログインする

PassKey の有効化 ¶

MFA は必須としたいので早速個人ユーザーで設定しようとしたが、管理者側で設定が必要らしい

Allow users to skip passwords at sign-in (beta) - Google Workspace Admin Help

As your organization's administrator, you can allow users to skip password sign-in challenges and instead use a passkey that covers first and second-factor authentication. With passkeys, your users ca

support.google.com

上をやったあとに組織全体で適用する

二段階認証を必須に ¶

SSO 後の本人確認 ¶

組織でサードパーティのシングル サインオン（SSO）プロファイルを設定している場合は、不審なログインが検出された場合に、確認のため追加の本人確認を Google がユーザーに要求するかどうかを選択します。{注: この設定は、組織の SSO プロファイルでログインしていないユーザーには適用されません。別のプロファイルでログインしたユーザーには、不審なログインのために追加の本人確認が常に求められます。また、2 段階認証プロセスのポリシー（設定されている場合）も常に適用されます。}

― ログイン時の本人確認 - 管理コンソール

普通の Google アカウントでは常に求められるようなので有効化

CloudFlare の SSO を登録する ¶

ドキュメント通りで問題なかったので割愛

Google Workspace - IdP · Cloudflare Zero Trust docs

The Google Workspace IdP integration is not supported if your Google Workspace account is protected by Access.

developers.cloudflare.com

グループを作成 ¶

必須ではありませんが、グループを作成しておきます。
理由は、 CloudFlare Access でアクセス制御を掛けるときに使えるからです。適当にグループを切って admins, users あたりを作成しておくとのちのち CloudFlare Access で Policy Groups の大改修などが不要になるでしょう。

グループの作成は Google Admin の方でやります。