G SuiteのOAuth設定（CloudGate SSO/Light）

このガイドはCloudGate SSO/Lightをご導入のお客様が、Google API用の管理者アカウント変更をご希望の場合、 お客様にて作業が必要なG Suite側のOAuth設定作業を説明しています。
（CloudGate UNOのOAuth設定につきましてはこちら）

  

1. はじめに 1-1. このガイドの目的 1-2. 目的と内容 1-3. 注意点 2. APIプロジェクトの作成 2-1. 事前準備 2-2. プロジェクトの作成 2-3. APIを有効にする 3. OAuthのクライアントIDを作成する 3-1. OAuthのクライアントID作成

4. APIアクセスの有効化 4-1.管理コンソールにログイン 4-2. APIアクセスの有効化 5. CloudGateサービス必要情報の送信 5-1. CloudGateサポートへ作業ご依頼の場合

 

1. はじめに

1-1. このガイドの対象

このガイドは、次の方を対象にしています。 CloudGate SSO/Lightをご利用のお客様で、 Google API用管理者アカウントの変更作業をご希望のお客様。

 

1-2. 目的と内容

CloudGateは、お客様のGSuite環境に対しGoogle APIを利用して様々な情報の連携を行います。
Google APIを利用するためには、CloudGateはお客様のG Suite環境にAPIアクセスを許可されているという 認証情報の証明をGoogleサーバーに対し行う必要があります。
Googleが採用しているAPI認証方式は「OAuth（オー・オース）」という認証方式です。

CloudGateではサービス開通準備時にお客様よりチェックシートでご指定のAPI用アカウントで 必要なOAuth設定を実施し、API利用のために使用しています。
Googleの仕様上、OAuth設定はアカウントに紐付いているため、アカウントを変更ご希望の場合は、 変更のアカウントでログインして、本サイトの手順をお客様にて実施していただく必要があります。

このガイドでは、OAuth認証の有効化とCloudGateをご利用する上で必要なAPI設定の手順を解説いたします。

また、本作業はすべて変更予定のGoogleの特権管理者権限を持つアカウントで行う必要があります。
設定はお間違えないようにご注意ください。
手順を間違えると、弊社にて設定変更作業後、 お客様CloudGateサービスが正しくG Suiteを使用できない状態になる可能性がございます。 そのため、API用アカウントの変更は推奨しておりません。
お客様は、以上の留意事項をすべてご理解のうえ、API用アカウントの変更に必要な作業を実施してください。 

 

1-3. 注意点

このガイドに記載されている作業を行う際に利用するGoogleの特権管理者アカウントは CloudGateを利用するにあたり永続的にGoogle上に存在している必要があります。

万が一当該アカウントを削除されてしまいますとCloudGateの利用に支障が出る恐れがありますので、削除しないようお願い致します。

*G Suiteの特権管理者（スーパーユーザー）について 　参考G Suiteヘルプ：既定の管理者の役割 　*権限の割り当てについて 　参考G Suiteヘルプ：ユーザーに管理者の役割を割り当てる

 

2. APIプロジェクトの作成

2-1. 事前準備

Google管理コンソールでGoogle Developers Consoleが有効化されているか確認します。

Google管理コンソール（https://admin.google.com/）にアクセスし、特権管理者でログインします。
ログインに成功すると以下の画面が表示されるので「アプリ」をクリックします。
次の画面で「その他のGoogleサービス」をクリックします。

「アプリ」がない場合は、以下のように画面下の「その他の設定」をクリックすることで、「アプリ」のリンクを見つけることができます。



主なサービスが一覧表示されます。

「Google Developers Console」 の項目の「ステータス」が「オン」になっていることを確認します。

オンになっていない場合は、右側の三本線のメニューから「すべてのユーザーに対してオンにする」を選択して設定します。

 

2-2. プロジェクトの作成

Google Developers Console（https://console.developers.google.com）にアクセスし、「G Suite特権管理者アカウント（メールアドレス）」でログインします。

画面上部の「プロジェクトを作成」をクリックします。

 新しいプロジェクトを作成する画面が表示されますので、以下を実施して「作成」ボタンをクリックします。

• プロジェクト名: 「CloudGate」（必須項目）と入力
• 新機能のお知らせ、パフォーマンスに関するアドバイス、フィードバック調査、特典に関する最新情報をメールで受け取ります。：「はい」または「いいえ」を選択（必須項目）
• すべてのサービスと関連APIについて、適用される利用規約を遵守して利用することに同意します。：「はい」を選択（必須項目）
  
  

 
※プロジェクトの作成が完了するまで少し時間がかかります。

 

2-3. APIを有効にする

プロジェクトの作成が完了したら、プロジェクト「CloudGate」を選択した状態で、画面上部の「三本線のアイコン」をクリックします。

 

表示されるスライドメニューの「APIとサービス」にマウスカーソルを合わせ、「ライブラリ」をクリックします。




※プロジェクトを選択していない場合、「このページを表示するには、プロジェクトを選択してください。」と表示されるので「選択」ボタンをクリックして、作成したプロジェクト「CloudGate」を選択します。

検索窓に以下の4つのAPIを1つずつ入力して検索し、APIを有効化します。

• Admin SDK
• Contacts API
• Groups Settings API
• Gmail API

それぞれの検索結果画面にて対象のAPIをクリックして「有効にする」ボタンをクリックします。

 

左メニューの「ライブラリ」をクリックすると、API一覧画面に戻ることができます。

左メニューの「ダッシュボード」より、画面下部の一覧表に、有効にしたAPIがリスト表示されていることを確認してください。

 

 

 

3. OAuthのクライアントIDを作成する

3-1. OAuthのクライアントID作成

2つのAPIの有効化が完了後、左のメニューより「認証情報」を選択します。

「認証情報を作成」ボタンが表示されるのでクリックします。
表示されるメニューより「サービスアカウントキー」を選択します。

「サービスアカウントキーの作成」画面に遷移後、以下を実施し「作成」ボタンをクリックします。

• 「サービスアカウント」のプルダウン：「新しいサービスアカウント」を選択
• 「サービスアカウント名」：「CloudGate」と入力
• 「キーのタイプ」：「P12」を選択

「サービスアカウント名」の横に「役割」の項目が表示されている場合は、「役割を選択」プルダウンの「Project」から「オーナー」を選択して設定します。

サービスアカウントキーの作成が完了することで「CloudGate-**************.p12」という名称のプライベートキーがダウンロードされます。

※ダウンロード開始まで少し時間がかかります。

※この.p12ファイルは、後ほどCloudGateサービス開通のためにご提出いただく必要があり、重要なファイルとなりますので、大切に保管してください。

※.p12ファイルではなく、.txtファイルがダウンロードされた場合はこちらの対処策をお試しください。

 

下記の画面の「閉じる」をクリックし、次に進みます。

画面右側の「サービスアカウントの管理」をクリックし、作成したサービスアカウント表の右端のメニューから「編集」を選択します。

 
「サービスアカウントの編集」画面で「G Suiteのドメイン全体の委任を有効にする」にチェックを入れると、「同意画面のサービス名」入力項目が表示されます。

「CloudGate」と入力し、そのまま「保存」をクリックします。

 

画面上部の「三本線のアイコン」をクリックして、スライドメニューより「API とサービス」にマウスカーソルを合わせ「認証情報」をクリックします。

表示された画面で作成した「サービスアカウントの名前のリンク」をクリックします。

 

作成されたサービスアカウントの情報が画面上に表示されます。
画面上で確認できる「クライアントID」と「サービスアカウント（メールアドレス）」の値をテキストエディタなどにコピー＆ペーストし控えます。

※「クライアントID」と「サービスアカウント（メールアドレス）」の値は「4-2. API アクセスの有効化」の作業で必要になります。尚、「サービスアカウント」の1行目に表示されている「CloudGate」という文字はコピー不要です。


画面上部の「三本線のアイコン」をクリックして表示されるスライドメニューより「IAMと管理」にマウスカーソルを合わせて「IAM」をクリックします。

表示された「プロジェクト『CloudGate』の権限」の画面で、作成した「CloudGate」プロジェクトの「役割」が、「オーナー」もしくは「編集者」であることを確認します。




「役割」の設定を確認できたら、Google Developer Consoleでの作業は完了です。画面を閉じて「4. API アクセスの有効化」の手順に進みます。

※「オーナー」または「編集者」以外の場合は、「役割」のプルダウンを選択して「Project」項目にマウスカーソルを合わせ「オーナー」か「編集者」に変更します。

※作成した「CloudGate」プロジェクトが一覧にない場合は、以下手順で確認します。

画面上部の「追加」をクリックします。 「メンバーの追加」画面で、「メンバー」欄には先ほどサービスアカウント情報の確認画面でコピーした「サービスアカウント（メールアドレス）」の値を入力します。 「役割」のプルダウンより「Project」項目にマウスカーソルを合わせ「オーナー」を選択します。 追加したサービスアカウントがリストに反映されたことを確認し、Google Developer Consoleでの作業は完了です。画面を閉じて次の手順に進みます。

　

 

 

 

4. API アクセスの有効化

4-1. Google管理コンソールにログイン

Google管理コンソール （https://admin.google.com/）にアクセスし、G Suite 特権管理者アカウントでログインします。

 

4-2. API アクセスの有効化

ダッシュボードから、「セキュリティ」をクリックします。

ダッシュボードの一覧にない場合は、画面下の「その他の設定」をクリックすることで、「セキュリティ」のリンクを見つけることができます。

セキュリティ設定の画面で、「APIリファレンス」をクリックすることで、サブメニューが表示されますので「API アクセスを有効にする」のチェックボックスにチェックを入れます。

次に、セキュリティ設定の画面内の「詳細設定」をクリックします。

詳細設定のサブメニューから、「認証」項目内の「API クライアント アクセスを管理する」のリンクをクリックします。

 

「APIクライアントアクセスを管理する」画面で、以下の値を入力します。

• クライアント名：「3-1.  OAuthのクライアントID作成」の作業で確認したクライアントID を入力
• 1つ以上のAPI の範囲：以下の8つのURLをコピー＆ペーストして入力
  
  https://apps-apis.google.com/a/feeds/emailsettings/2.0/, 
  https://www.google.com/m8/feeds, 
  https://www.googleapis.com/auth/admin.directory.group, 
  https://www.googleapis.com/auth/admin.directory.orgunit, 
  https://www.googleapis.com/auth/admin.directory.user, 
  https://www.googleapis.com/auth/apps.groups.settings, 
  https://www.googleapis.com/auth/gmail.settings.basic, 
  https://www.googleapis.com/auth/gmail.settings.sharing

上記の値を入力し、「承認ボタン」をクリックします。

下記の画面のように入力した内容が追加されたことを確認します。

 

 

5. CloudGateサービス必要情報の送信

CloudGateサービスの開通には「3-1. OAuthのクライアントID作成」で取得できる下記ファイル及び情報が必要になります。

• 本OAuth設定を行ったG Suite特権管理者アカウント（メールアドレス）
  ※このアカウントはCloudGateサービスご利用の間は削除しないようお願いします。
• OAuthクライアントのプライベートキー（.p12 ファイル）
• OAuthクライアントのクライアントID
• OAuthクライアントのサービスアカウント（メールアドレス）
  
  

5-1. CloudGateサポートへ作業ご依頼の場合

弊社チェックシートアップロードサイトからチェックシートと一緒に圧縮してアップロードし、ご提出ください。後日変更作業の実施についてご連絡を差し上げます。

設定変更が完了するまで、既存のAPI管理者アカウントは削除したりしないようご注意ください。