1. CloudGate ヘルプセンター
  2. サービスプロバイダー連携
  3. Google Workspace 連携

このセクションの記事

Google Workspace 連携:プロビジョニングを初期設定する

CloudGate UNOはGoogle Workspaceのアカウントやグループに対して作成・更新・削除(停止)といった処理を行うことができます。これらの処理を行うためには、お客様のGoogle Workspace環境からGoogleが提供するAPIの設定が必要です。

このガイドではGoogle Workspaceと連携するための設定について説明します。

 

目次

1.Google Cloud Platform でプロビジョニングを設定する

1-1.ポリシーを設定する

1-2.プロジェクトを作成する

1-3.APIを有効にする

1-4.サービスアカウントを作成する 

1-5.サービスアカウントの情報を取得する

2.Google管理コンソールでAPIスコープを承認する

3.CloudGate UNO管理者サイトでサービスアカウントを設定する

 

1.Google Cloud Platform でプロビジョニングを設定する

本手順は Google Cloud Platform( https://console.developers.google.com )にログインして作業します。ログイン時に利用規約が表示されましたら同意して進めてください。

ここで利用する特権管理者はCloudGate UNO管理者サイトに設定し継続してプロビジョニングに利用しますので、共有用やシステム用のアカウントを利用することをお勧めしています。特権管理者を別途用意する場合、以下のGoogleヘルプページをご参考ください。
Google Workspaceの特権管理者(スーパーユーザー):既定の管理者の役割<外部サイト>
権限の割り当て:ユーザーに管理者の役割を割り当てる<外部サイト>

※ Google Cloud Platform にログインできなかった場合:その他の Google サービスを有効または無効にする<外部サイト> を参考に Google Cloud Platform を有効にしてください。

 

1−1.ポリシーを設定する

2024年5月3日以降にGoogle Workspace環境が作成されたお客様で必要な作業です。
該当しないお客様は、1-2.プロジェクトを作成するへお進みください。

作業手順はこちらをクリック

Google Cloud Platform の画面左上プルダウンをクリックして、 「すべて」の中から最上位の組織をクリックします。
disableserviceaccount01.png

ナビゲーションメニューより「IAMと管理」>「IAM」>ログインしているGoogle特権管理者の鉛筆マークをクリックします。「お客様が選択された組織名」に対する権限の編集画面が表示されます。
disableserviceaccount02.png

権限の編集画面で「別のロールを追加」>組織ポリシー管理者を選択し、ロールが追加できましたら保存します。
組織ポリシーで検索しますと、素早く見つかります。
disableserviceaccount03.png

「IAMと管理」>「組織のポリシー」>「Disable service account key creation」で検索、表示されたポリシーをクリックします。「サービス アカウント キーの作成を無効化 のポリシー」画面が表示されます。
disableserviceaccount04.png

ポリシーの編集画面で、ポリシーを管理 >「親のポリシーをオーバーライドする」 >ルールを追加 >オフ >完了 と進め、最後に「ポリシーを設定」をクリックしましたら、有効化作業は完了です。
すでにルールが追加されている場合、「適用済み」をクリックするとオン / オフの変更ができます。
disableserviceaccount05.png

 

1-2.プロジェクトを作成する

画面左上のプルダウンをクリックして、「新しいプロジェクト」をクリックします。

スクリーンショット 2024-03-06 15.16.40.png

新しいプロジェクトを作成する画面が表示されるので、プロジェクト名に「CloudGate」と入力して「作成」をクリックします。(※プロジェクトの作成が完了するまで少し時間がかかります。

gsuite-oauth-005.png

 

1-3.APIを有効にする

プロジェクトの作成が完了したら、プロジェクト「CloudGate」を選択した状態で、ナビゲーションメニュー(画面左上の「三本線のアイコン」)から「APIとサービス」>「ライブラリ」をクリックします。

このページを表示するには、プロジェクトを選択してください。」と表示される場合:「選択ボタンをクリックして、作成したプロジェクト「CloudGate」を選択します。

スクリーンショット 2024-03-06 15.53.34.png

検索窓に以下のAPIを入力して検索し、APIを有効化します。ナビゲーションメニューから「APIとサービス」>「ライブラリ」をクリックし、残り2つのAPIについても有効化する操作を繰り返します。

  • Admin SDK API
  • Contacts API
  • Google People API

スクリーンショット 2024-03-06 16.04.30.png

「APIとサービス」>「有効なAPIとサービス」をクリックし、画面下部の一覧表で、有効にしたAPIがリスト表示されていることを確認できます。

 

1-4.サービスアカウントを作成する 

認証情報」>「認証情報を作成」>「サービスアカウントをクリックします。

スクリーンショット 2024-03-06 16.11.30.png

以下のようなエラーが表示され、サービスアカウントが作成できなかった場合、「1−1.ポリシーを設定する」が完了していない可能性があります。改めて手順を確認のうえ、サービス アカウント キーの作成を有効化してください。

  • サービス アカウント キーの作成が無効になっています
  • 組織ポリシー制約「iam.disableServiceAccountKeyCreation」が組織に適用されます。

 

「サービスアカウント」をクリックし、サービスアカウントの詳細画面が表示されましたら、サービス アカウント名に「CloudGateを入力して作成して続行をクリックします。
スクリーンショット 2024-03-07 15.23.59.png

このサービス アカウントにプロジェクトへのアクセスを許可する
「ロールを選択」のプルダウンから「Project」>オーナー」を選択して、「続行」をクリックします。
スクリーンショット 2024-03-07 16.46.08.png

ユーザーにこのサービス アカウントへのアクセスを許可
画面下の完了」をクリックするとサービスアカウントが作成されます。
gsuite-oauth-011_3.png

 

1-5.サービスアカウントの情報を取得する

本手順で取得する p12ファイル、サービスアカウントのメール一意のID はGoogle管理コンソール、CloudGate UNO管理者サイトへの設定に利用しますので大切に保管してください。

画面右側のサービスアカウントを管理をクリックし、作成したサービスアカウント表の右端のメニューから「鍵を管理を選択します。

gsuite-oauth-013.png 

「鍵を追加」>「新しい鍵を作成」>「P12」を選択して「作成」をクリックすると「CloudGate-**************.p12」という名称のプライベートキーが自動でダウンロードされます。(※ダウンロードされるまで少し時間がかかります。)

スクリーンショット 2024-03-07 17.19.08.png

秘密鍵がパソコンに保存されました」と表示されたら「閉じる」をクリックします。

続けて「詳細」をクリックし、「サービスアカウントの詳細」画面で表示される「メール」「一意のID」の値をテキストエディタなどにコピー&ペーストして控えます。 

スクリーンショット 2024-03-15 13.42.52.png

ナビゲーションメニューから「IAMと管理」>「IAM」をクリックし、表示された画面で、「CloudGate」プロジェクトの役割が、「オーナー」もしくは「編集者」であることを確認します。

スクリーンショット 2024-03-11 14.02.34.png

役割の設定を確認できたら、Google Cloud Platform での作業は完了です。

「オーナー」または「編集者」以外だった場合の手順をクリックして確認する

列右端の鉛筆マークをクリックして、「役割」のプルダウンより「Project」から「オーナー」もしくは「編集者」を選択します。

作成した「CloudGate」プロジェクトが一覧にない場合:以下手順で確認します。

(1)画面中央の「アクセス権を付与」をクリックします。
(2)「プリンシパルの追加」画面で、「新しいプリンシパル」欄には先ほどサービスアカウント情報の確認画面でコピーした「メール」の値を入力します。
(3)「役割」のプルダウンより「Project」項目にマウスカーソルを合わせ「オーナー」を選択し保存します。

スクリーンショット 2024-03-11 14.17.53.png

追加したサービスアカウントがリストに反映されたことを確認し、Google Cloud Platform での作業は完了です。

 

2.Google管理コンソールでAPIスコープを承認する

Google特権管理者で https://admin.google.com/ にログインし、「セキュリティ」>「アクセスとデータ管理」>「API の制御」>「ドメイン全体の委任を管理」>「新しく追加」と進みます。

ドメイン全体の委任を管理が見つからない場合、API アクセスをドメイン全体の委任で制御する<外部サイト> をご参考ください。

gsuite-oauth-022.png

  • クライアントID:「1-5.サービスアカウントの情報を取得する」の作業で確認した「一意のID」を入力
  • OAuth スコープ:以下の4つのURLすべてをコピー&ペーストして入力
    https://www.googleapis.com/auth/admin.directory.group,
    https://www.googleapis.com/auth/admin.directory.user,
    https://www.googleapis.com/auth/admin.directory.orgunit,
    https://www.googleapis.com/auth/contacts

上記の値を入力し、承認をクリックします。「詳細を表示」より、入力した内容が追加されたことを確認します。

gsuite-oauth-023.png

 

3.CloudGate UNO管理者サイトでサービスアカウントを設定する

接続設定 項目 入力する情報
アカウント ID 1-1.プロジェクトを作成する を実施したGoogle特権管理者
サービス アカウント キー 1-4.サービスアカウントの情報を取得する でダウンロードされた CloudGate-**************.p12 という名称のプライベートキー
サービス アカウント ID 1-4.サービスアカウントの情報を取得する でコピーして控えた サービスアカウント(メールアドレス)の値

各項目を入力し「テスト」をクリックします。画面内に「Google Workspaceのプロビジョニングテストが成功しました。」と表示されましたら、「保存」をクリックします。

以上で事前設定は完了ですので、お客様任意のタイミングで プロビジョニングをOn に切り替えていただきますと、CloudGate UNOからGoogle Workspaceへのプロビジョニングをご利用いただけるようになります。

公開されたサービス アカウント キーを自動的に無効にする<外部サイト> の通り、サービスアカウントキーはGoogle Cloud側の判断で無効化される場合があります。
具体的な判断基準はGoogleでの動作となりますが、Github等オープンな場への公開などが該当するようです。CloudGate UNO管理者サイトへの設定は公開に該当しませんので、本手順で作成するサービスアカウントキーはCloudGate UNOにのみご利用ください。

この記事は役に立ちましたか?
support-team
  • 更新
16人中12人がこの記事が役に立ったと言っています

関連記事