Active Directory を使用している組織で SAML ベースのシングル サインオン (SSO) を構成する場合の一般的な手順としては、SAML プロファイルの設定、サインインおよびサインアウト プロセスに必要な URL の指定、安全な通信のための X.509 証明書のアップロード、アイデンティティ プロバイダー (この場合は Active Directory) でのエンティティ ID とアサーション コンシューマー サービス (ACS) URL の設定などがあります。

この問題に対処するには、HTTPS、エッジでの TLS 終了、脅威の緩和、地理ベースのアクセス制限を備えた、一般公開されている Cloud Run サービスが必要です。
外部 HTTP(S) ロードバランサ: これは、一般公開されているウェブ アプリケーションを公開するための標準の Google Cloud コンポーネントであり、単一のグローバル IP アドレス、グローバル ロード バランシング、そして重要な点として、Google ネットワークのエッジでの TLS 終端を提供します。
サーバーレス ネットワーク エンドポイント グループ（NEG）: サーバーレス NEG は、HTTP(S) ロードバランサを Cloud Run サービス（または Cloud Functions や App Engine などの他のサーバーレス バックエンド）に接続し、ロードバランサがトラフィックをサーバーレス アプリケーションにルーティングできるようにします。抜粋参照: 「サーバーレス ネットワーク エンドポイント グループ（NEG）で外部 HTTP(S) ロードバランサを使用すると、Cloud Run サービスを Cloud CDN、Google Cloud Armor、Cloud Identity-Aware Proxy などの高度な負荷分散機能と統合できます。」（Google Cloud ドキュメント: 「Cloud Run サービスを HTTP(S) ロードバランサに接続する | Cloud Run ドキュメント」 - https://cloud.google.com/run/docs/integrating/load-balancers） TLS 終端用の Google マネージド証明書: Google マネージド SSL 証明書を使用すると、証明書のプロビジョニング、更新、デプロイが Google によって処理されるため、HTTPS の管理が簡素化されます。外部 HTTP(S) ロードバランサは、これらの証明書を使用して TLS を終了します。抜粋参照:「Google マネージド SSL 証明書を使用すると、Google Cloud のグローバルに分散されたインフラストラクチャを使用して、証明書を自動的にプロビジョニングおよび更新できます。」(Google Cloud ドキュメント:「Google マネージド SSL 証明書の概要 | ロード バランシング」 - https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs) 脅威の軽減と地理ベースのアクセス制御のための Cloud Armor: Cloud Armor は、HTTP(S) ロードバランサと統合されるウェブ アプリケーション ファイアウォール (WAF) サービスです。 DDoS 保護を提供し、脅威（SQL インジェクション、XSS など）を軽減するためのカスタムルールを許可し、ソースの地理的地域に基づいてトラフィックを許可または拒否する地理ベースのアクセス制御ルールをサポートします。抜粋参照:「Google Cloud Armor は、分散型サービス拒否（DDoS）攻撃や、クロスサイト スクリプティング（XSS）や SQL インジェクション（SQLi）などのアプリケーション攻撃など、さまざまな脅威から Google Cloud デプロイメントを保護します。」および「Google Cloud Armor は地理ベースのアクセス制御をサポートしており、地理的地域に基づいてリクエストをフィルタリングできます。」 (Google Cloud ドキュメント:「Google Cloud Armor の概要」 - https://cloud.google.com/armor/docs
/概要）
他のオプションを評価してみましょう。
A) 認証とIPベースのアクセス制御のためのIAP + カスタムSSL証明書：IAPは主にユーザー/IDの認証レイヤーであり、認証が行われる前に公開サービスに対する脅威軽減やジオブロックを行うWAFではありません。IPベースのアクセス制御を適用することもできますが、通常は認証後の制御を目的としています。
B). カスタムドメインを割り当て、HTTPS、allUsers IAM、ファイアウォールルール、VPC SC を有効化: Cloud Run はカスタムドメインと HTTPS をサポートし、allUsers はこれを公開しますが、直接の Cloud Run サービスは、パブリック Ingress に従来の VPC ファイアウォールルールを活用しません。VPC Service Controls は API アクセスとデータ流出を目的としており、WAF やパブリック Web トラフィックのジオブロッキングには利用できません。
D）Cloud DNS パブリックゾーン、静的 IP、VPC ファイアウォール ルール、脅威シグネチャ：Cloud Run サービスはマネージド型であり、通常、パブリック トラフィックの VPC ファイアウォール ルールに直接関連付けられる静的 IP アドレスを公開しません。VPC ファイアウォール ルールは、VPC 内の VM に適用され、Cloud Run のパブリック エンドポイントのマネージド グローバル インフラストラクチャには適用されません。
したがって、サーバーレス NEG を使用して外部 HTTP(S) ロードバランサをデプロイし、それを Google マネージド証明書および Cloud Armor と統合することは、一般公開されている Cloud Run アプリケーションに指定されたすべてのセキュリティ要件を満たすための最も包括的で Google が推奨するソリューションです。

ID 管理用の既存の Active Directory または LDAP サーバーを維持しながら、多数のユーザーが GCP Console にアクセスできるようにするには、Google Cloud Directory Sync（GCDS）を使用します。
* GCDS をインストールします。
* ここから Google Cloud Directory Sync をダウンロードしてインストールします。
* GCDS を設定します。
* LDAP サーバーの詳細と Google ドメインを指定して同期を設定します。
* ユーザーデータが正しく同期されるように、LDAP 属性を Google 属性にマッピングします。
* 同期を実行:
* 初期同期を実行して、LDAP サーバーの既存のユーザーを Google ドメインに追加します。
* データを最新の状態に保つために定期的な同期をスケジュールします。
利点：
* 自動同期: 手動による介入なしにユーザー データが一貫して更新されることを保証します。
* 安全なアクセス: ユーザーは既存の認証情報を使用して GCP コンソールにログインできるため、セキュリティとユーザー エクスペリエンスが向上します。
参考文献:
* Google Cloud Directory Sync ドキュメント
* GCDS 管理ガイド

外部の Google Cloud 組織に保存されているサードパーティのディスク イメージへの読み取りアクセス権を付与して、VPC Service Controls 境界にデプロイできるようにするには、プロジェクトから外部プロジェクトへの下り（外向き）トラフィックを許可するようにサービス境界を更新する必要があります。
* サービス境界を更新します。
* Google Cloud Console にアクセスし、[セキュリティ] > [VPC Service Controls] に移動します。
* イメージ リポジトリ プロジェクトを含む適切なサービス境界を選択します。
* 出力ポリシーを構成する:
* 境界設定内で、外部プロジェクトへのトラフィックを許可するように egressTo フィールドを構成します。
* この特定の出力ルールの外部プロジェクトへのアクセスをすべてのプリンシパルに許可するには、identityType を ANY_IDENTITY に設定します。
* 外部プロジェクトとサービスを指定します:
* egressFrom フィールドに、許可されたリソースとして外部の Google Cloud プロジェクト番号を含めます。
* 外部プロジェクト内の Compute Engine サービスへのアクセスを明示的に許可するには、serviceName を compute.googleapis.com に設定します。
この構成により、サービス境界によって確立されたセキュリティ境界を維持しながら、内部プロジェクトが外部プロジェクトからディスク イメージを読み取ることができるようになります。
参考文献:
* VPC サービスコントロールのドキュメント
* サービス境界の構成

すべてのインターネットトラフィックを拒否する下りファイアウォールルールを適用しながら、Compute Engineインスタンスがセキュリティアップデート用の公開リポジトリにアクセスできるようにするには、リポジトリのCIDR範囲へのトラフィックを許可する、より具体的な下りルールを作成する必要があります。このルールの優先度は、拒否ルールよりも低く（つまり、優先度番号を大きく）する必要があります。
手順:
CIDR 範囲を特定する: セキュリティ更新を取得するパブリック リポジトリの CIDR 範囲を決定します。
出力ファイアウォール ルールの作成: 優先度が 1000 未満の、特定された CIDR 範囲へのトラフィックを許可する新しい出力ファイアウォール ルールを作成します。
ファイアウォール ルールを適用する: Google Cloud Console または gcloud コマンドライン ツールを使用して、新しいファイアウォール ルールを適用します。
参照：
Google Cloud: ファイアウォール ルール
ファイアウォールルールの作成