G SuiteのOAuth設定(CloudGate SSO/Light)
このガイドはCloudGate SSO/Lightをご導入のお客様が、Google API用の管理者アカウント変更をご希望の場合、 お客様にて作業が必要なG Suite側のOAuth設定作業を説明しています。
(CloudGate UNO のOAuth設定につきましてはこちら)
|
1. はじめに
1-1. このガイドの対象
このガイドは、次の方を対象にしています。 CloudGate SSO/Lightをご利用のお客様で、 Google API用管理者アカウントの変更作業をご希望のお客様。
1-2. 目的と内容
CloudGateは、お客様のGSuite環境に対しGoogle APIを利用して様々な情報の連携を行います。
Google APIを利用するためには、CloudGateはお客様のG Suite環境にAPIアクセスを許可されているという 認証情報の証明をGoogleサーバーに対し行う必要があります。
Googleが採用しているAPI認証方式は「OAuth(オー・オース)」という認証方式です。
CloudGateではサービス開通準備時にお客様よりチェックシートでご指定のAPI用アカウントで 必要なOAuth設定を実施し、API利用のために使用しています。
Googleの仕様上、OAuth設定はアカウントに紐付いているため、アカウントを変更ご希望の場合は、 変更のアカウントでログインして、本サイトの手順をお客様にて実施していただく必要があります。
このガイドでは、OAuth認証の有効化とCloudGateをご利用する上で必要なAPI設定の手順を解説いたします。
なお、本作業はすべてG Suiteの特権管理者権限を持つアカウント(以下、G Suite特権管理者)で行う必要があります。
設定はお間違えないようにご注意ください。
手順を間違えると、弊社にて設定変更作業後、 お客様CloudGateサービスが正しくG Suiteを使用できない状態になる可能性がございます。 そのため、API用アカウントの変更は推奨しておりません。
お客様は、以上の留意事項をすべてご理解のうえ、API用アカウントの変更に必要な作業を実施してください。
1-3. 注意点
このガイドに記載されている作業を行う際に利用するG Suite特権管理者アカウントは CloudGateを利用するにあたり永続的にG Suite上に存在している必要があります。
万が一当該アカウントを削除されてしまいますとCloudGateの利用に支障が出る恐れがありますので、削除しないようお願い致します。
*G Suiteの特権管理者(スーパーユーザー)について |
2. APIプロジェクトの作成
2-1. 事前準備
Google管理コンソール(https://admin.google.com/)にG Suite特権管理者でログインします。
トップページの「アプリ」をクリックして、次の画面で「その他のGoogleサービス」をクリックします。(「アプリ」がない場合は、トップページ画面下の「その他の設定」をクリックすることで、「アプリ」のリンクを見つけることができます。)
主なGoogleサービスが一覧表示されます。
Google Cloud Platform 項目の「ステータス」が「オン」になっていることを確認します。
オンになっていない場合は、右側の三本線のメニューから「すべてのユーザーに対してオンにする」を選択して設定します。
Google Cloud Platform 項目が見つからない場合は、ページ下の1ページあたりの行数を変更するか、ページを切り替えて確認します。
2-2. プロジェクトの作成
Google Cloud Platform(https://console.developers.google.com)に、G Suite特権管理者でログインします。
画面上部の「プロジェクトを作成」をクリックします。
新しいプロジェクトを作成する画面が表示されますので、以下を実施して「作成」ボタンをクリックします。
- プロジェクト名: 「CloudGate」(必須項目)と入力
- 新機能のお知らせ、パフォーマンスに関するアドバイス、フィードバック調査、特典に関する最新情報をメールで受け取ります。:「はい」または「いいえ」を選択(必須項目)
- すべてのサービスと関連APIについて、適用される利用規約を遵守して利用することに同意します。:「はい」を選択(必須項目)
※プロジェクトの作成が完了するまで少し時間がかかります。
2-3. APIを有効にする
プロジェクトの作成が完了したら、プロジェクト「CloudGate」を選択した状態で、画面上部の「三本線のアイコン」をクリックします。
表示されるスライドメニューの「APIとサービス」にマウスカーソルを合わせ、「ライブラリ」をクリックします。
※プロジェクトを選択していない場合、「このページを表示するには、プロジェクトを選択してください。」と表示されるので「選択」ボタンをクリックして、作成したプロジェクト「CloudGate」を選択します。
検索窓に以下の4つのAPIを1つずつ入力して検索し、APIを有効化します。
- Admin SDK
- Contacts API
- Groups Settings API
- Gmail API
それぞれの検索結果画面にて対象のAPIをクリックして「有効にする」ボタンをクリックします。
左メニューの「ライブラリ」をクリックすると、API一覧画面に戻ることができます。
左メニューの「ダッシュボード」より、画面下部の一覧表に、有効にしたAPIがリスト表示されていることを確認してください。
3. OAuthのクライアントIDを作成する
3-1. OAuthのクライアントID作成
2つのAPIの有効化が完了後、左のメニューより「認証情報」を選択します。
「認証情報を作成」ボタンが表示されるのでクリックします。
表示されるメニューより「サービスアカウントキー」を選択します。
「サービスアカウントキーの作成」画面に遷移後、以下を実施し「作成」ボタンをクリックします。
- 「サービスアカウント」のプルダウン:「新しいサービスアカウント」を選択
- 「サービスアカウント名」:「CloudGate」と入力
- 「キーのタイプ」:「P12」を選択
「サービスアカウント名」の横に「役割」の項目が表示されている場合は、「役割を選択」プルダウンの「Project」から「オーナー」を選択して設定します。
サービスアカウントキーの作成が完了することで「CloudGate-**************.p12」という名称のプライベートキーがダウンロードされます。
※ダウンロード開始まで少し時間がかかります。
※この.p12ファイルは、後ほどCloudGateサービス開通のためにご提出いただく必要があり、重要なファイルとなりますので、大切に保管してください。
※.p12ファイルではなく、.txtファイルがダウンロードされた場合はこちらの対処策をお試しください。
下記の画面の「閉じる」をクリックし、次に進みます。
画面右側の「サービスアカウントの管理」をクリックし、作成したサービスアカウント表の右端のメニューから「編集」を選択します。
「サービスアカウントの編集」画面で「G Suiteのドメイン全体の委任を有効にする」にチェックを入れると、「同意画面のサービス名」入力項目が表示されます。
「CloudGate」と入力し、そのまま「保存」をクリックします。
画面上部の「三本線のアイコン」をクリックして、スライドメニューより「API とサービス」にマウスカーソルを合わせ「認証情報」をクリックします。
表示された画面で作成した「サービスアカウントの名前のリンク」をクリックします。
作成されたサービスアカウントの情報が画面上に表示されます。
画面上で確認できる「クライアントID」と「サービスアカウント(メールアドレス)」の値をテキストエディタなどにコピー&ペーストし控えます。
※「クライアントID」と「サービスアカウント(メールアドレス)」の値は「4-2. API アクセスの有効化」の作業で必要になります。尚、「サービスアカウント」の1行目に表示されている「CloudGate」という文字はコピー不要です。
画面上部の「三本線のアイコン」をクリックして表示されるスライドメニューより「IAMと管理」にマウスカーソルを合わせて「IAM」をクリックします。
表示された「プロジェクト『CloudGate』の権限」の画面で、作成した「CloudGate」プロジェクトの「役割」が、「オーナー」もしくは「編集者」であることを確認します。
「役割」の設定を確認できたら、Google Cloud Platform での作業は完了です。画面を閉じて「4. API アクセスの有効化」の手順に進みます。
※「オーナー」または「編集者」以外の場合は、「役割」のプルダウンを選択して「Project」項目にマウスカーソルを合わせ「オーナー」か「編集者」に変更します。
※作成した「CloudGate」プロジェクトが一覧にない場合は、以下手順で確認します。
追加したサービスアカウントがリストに反映されたことを確認し、Google Cloud Platform での作業は完了です。画面を閉じて次の手順に進みます。 |
4. API アクセスの有効化
4-1. API アクセスの有効化
Google管理コンソール (https://admin.google.com/)にアクセスし、G Suite特権管理者でログインします。
ダッシュボードから、「セキュリティ」をクリックします。
ダッシュボードの一覧にない場合は、画面下の「その他の設定」をクリックすることで、「セキュリティ」のリンクを見つけることができます。
セキュリティ設定の画面で、「APIリファレンス」をクリックすることで、サブメニューが表示されますので「API アクセスを有効にする」のチェックボックスにチェックを入れます。
次に、セキュリティ設定の画面内の「詳細設定」をクリックします。
詳細設定のサブメニューから、「認証」項目内の「API クライアント アクセスを管理する」のリンクをクリックします。
「APIクライアントアクセスを管理する」画面で、以下の値を入力します。
- クライアント名:「3-1. OAuthのクライアントID作成」の作業で確認したクライアントID を入力
- 1つ以上のAPI の範囲:以下の8つのURLをコピー&ペーストして入力
https://apps-apis.google.com/a/feeds/emailsettings/2.0/,
https://www.google.com/m8/feeds,
https://www.googleapis.com/auth/admin.directory.group,
https://www.googleapis.com/auth/admin.directory.orgunit,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/apps.groups.settings,
https://www.googleapis.com/auth/gmail.settings.basic,
https://www.googleapis.com/auth/gmail.settings.sharing
上記の値を入力し、「承認ボタン」をクリックします。
下記の画面のように入力した内容が追加されたことを確認します。
5. CloudGateサービス必要情報の送信
CloudGateサービスの開通には「3-1. OAuthのクライアントID作成」で取得できる下記ファイル及び情報が必要になります。
- 本OAuth設定を行ったG Suite特権管理者アカウント(メールアドレス)
※このアカウントはCloudGateサービスご利用の間は削除しないようお願いします。 - OAuthクライアントのプライベートキー(.p12 ファイル)
- OAuthクライアントのクライアントID
- OAuthクライアントのサービスアカウント(メールアドレス)
5-1. CloudGateサポートへ作業ご依頼の場合
弊社チェックシートアップロードサイトからチェックシートと一緒に圧縮してアップロードし、ご提出ください。後日変更作業の実施についてご連絡を差し上げます。
設定変更が完了するまで、既存のAPI管理者アカウントは削除したりしないようご注意ください。