Google Workspace 連携:プロビジョニングを初期設定する
CloudGate UNOはGoogle Workspaceのアカウントやグループに対して作成・更新・削除(停止)といった処理を行うことができます。これらの処理を行うためには、お客様のGoogle Workspace環境からGoogleが提供するAPIの設定が必要です。
このガイドではGoogle Workspaceと連携するため設定について説明します。
目次
1.利用に際しての前提条件、注意事項
1-1.管理者アカウントでの操作
このガイドに記載されている作業を行う際に利用するGoogle Workspace特権管理者はCloudGateを利用するにあたりGoogle Workspace上に存在している必要がありますので、削除しないようお願いします。
削除、変更をご希望の場合には、新しいGoogle Workspace特権管理者で再度本作業を行う必要があります。詳しくは【Google Workspace】API接続情報を変更する をご覧ください。
*Google Workspaceの特権管理者(スーパーユーザー)について 既定の管理者の役割<外部サイト> *権限の割り当てについて ユーザーに管理者の役割を割り当てる<外部サイト>
2. APIプロジェクトの作成
2-1. 事前準備
Google管理コンソール(https://admin.google.com/)にGoogle特権管理者でログインして、「アプリ」>「その他のGoogleサービス」をクリックします。
主なGoogleサービスが一覧表示されます。
Google Cloud Platform 項目の「ステータス」が「オン」になっていることを確認します。
オンになっていない場合は、右側の三本線のメニューから「すべてのユーザーに対してオンにする」を選択して設定します。
Google Cloud Platform 項目が見つからない場合は、ページ下の1ページあたりの行数を変更するか、ページを切り替えて確認します。
2-2. プロジェクトの作成
Google Cloud Platform(https://console.developers.google.com)に、Google特権管理者でログインします。
利用規約が表示される場合は、以下を選択して「同意して続行」をクリックします。
- 利用規約:チェックを入れる(必須項目)
- 最新情報をメールで通知:(任意項目)
画面右の「作成」をクリックします。 もしくは画面左上のプルダウンをクリックして、「新しいプロジェクト」をクリックします。
新しいプロジェクトを作成する画面が表示されるので、プロジェクト名に「CloudGate」と入力して「作成」をクリックします。(※プロジェクトの作成が完了するまで少し時間がかかります。)
2-3. APIを有効にする
プロジェクトの作成が完了したら、プロジェクト「CloudGate」を選択した状態で、ナビゲーションメニュー(画面左上の「三本線のアイコン」)から「APIとサービス」>「ライブラリ」をクリックします。
(※「このページを表示するには、プロジェクトを選択してください。」と表示される場合:「選択」ボタンをクリックして、作成したプロジェクト「CloudGate」を選択します。)
検索窓に以下のAPIを入力して検索し、APIを有効化します。ナビゲーションメニューから「APIとサービス」>「ライブラリ」をクリックし、残り2つのAPIについても有効化する操作を繰り返します。
- Admin SDK API
- Contacts API
- Google People API
ナビゲーションメニューから「APIとサービス」>「ダッシュボード」をクリックし、画面下部の一覧表に、有効にしたAPIがリスト表示されていることを確認してください。
3. サービスアカウントを作成する
左メニューから「認証情報」>「認証情報を作成」>「サービスアカウント」をクリックします。
- サービス アカウントの詳細
サービス アカウント名に「CloudGate」を入力して「作成」をクリックします。
- このサービス アカウントにプロジェクトへのアクセスを許可する
「ロールを選択」のプルダウンから「Project」>「オーナー」を選択して、「続行」をクリックします。
- ユーザーにこのサービス アカウントへのアクセスを許可
画面下の「完了」をクリックするとサービスアカウントが作成されます。
サービスアカウントの作成が完了すると、認証情報画面が表示されます。
画面右側の「サービスアカウントを管理」をクリックし、作成したサービスアカウント表の右端のメニューから「鍵を管理」を選択します。
「鍵を追加」>「新しい鍵を作成」>「P12」を選択して「作成」をクリックすると「CloudGate-**************.p12」という名称のプライベートキーが自動でダウンロードされます。(※ダウンロードされるまで少し時間がかかります。)
「秘密鍵がパソコンに保存されました」と表示されたら「閉じる」をクリックします。
ナビゲーションメニューから「APIとサービス」>「認証情報」をクリックし、表示された画面で、作成したサービスアカウントをクリックします。
作成されたサービスアカウントの情報が画面上に表示されます。画面上で確認できる「メール」と「一意の ID」の値をテキストエディタなどにコピー&ペーストして控えます。
ナビゲーションメニューから「IAMと管理」>「IAM」をクリックし、表示された画面で、「CloudGate」プロジェクトの役割が、「オーナー」もしくは「編集者」であることを確認します。
役割の設定を確認できたら、Google Cloud Platform での作業は完了です。画面を閉じて「4. APIスコープの承認」の手順に進みます。
※「オーナー」または「編集者」以外の場合:列右端の鉛筆マークをクリックして、「役割」のプルダウンより「Project」から「オーナー」もしくは「編集者」を選択します。
※作成した「CloudGate」プロジェクトが一覧にない場合:以下手順で確認します。
(1)画面上部の「追加」をクリックします。
(2)「メンバーの追加」画面で、「メンバー」欄には先ほどサービスアカウント情報の確認画面でコピーした「メール」の値を入力します。
(3)「役割」のプルダウンより「Project」項目にマウスカーソルを合わせ「オーナー」を選択します。
追加したサービスアカウントがリストに反映されたことを確認し、Google Cloud Platform での作業は完了です。画面を閉じて次の手順に進みます。
4. APIスコープの承認
Google管理コンソール(https://admin.google.com/)にGoogle特権管理者でログインします。
ダッシュボードから、「セキュリティ」>「API の制御」>「ドメイン全体の委任を管理」>「新しく追加」をクリックします。(※ダッシュボードの一覧に「セキュリティ」が無い場合は、画面下の「その他の設定」をクリックすることで表示されます。)
- クライアントID:「3. OAuthのクライアントID作成」の作業で確認した「一意の ID」を入力
- OAuth スコープ:以下の4つのURLすべてをコピー&ペーストして入力
https://www.googleapis.com/auth/admin.directory.group,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/admin.directory.orgunit,
https://www.googleapis.com/auth/contacts
上記の値を入力し、「承認」をクリックします。「詳細を表示」より、入力した内容が追加されたことを確認します。
5. CloudGate UNO管理者サイトでの設定
| 接続設定 項目 | 入力する情報 |
|---|---|
| アカウント ID | 2-2. プロジェクトの作成 を実施したGoogle特権管理者ID |
| サービス アカウント キー | 3. OAuthのクライアントIDを作成する でダウンロードされた CloudGate-**************.p12 という名称のプライベートキー |
| サービス アカウント ID | 3. OAuthのクライアントIDを作成する でコピーして控えた サービスアカウント(メールアドレス)の値 |
上記情報を入力したら、「テスト」をクリックします。画面内に「Google Workspaceのプロビジョニングテストが成功しました。」と表示されましたら、「保存」をクリックします。
以上で事前設定は完了ですので、お客様任意のタイミングで プロビジョニングをOn に切り替えていただきますと、CloudGate UNOからGoogle Workspaceへのプロビジョニングをご利用いただけるようになります。
