Google Workspace 連携:プロビジョニングを初期設定する
CloudGate UNOはGoogle Workspaceのアカウントやグループに対して作成・更新・削除(停止)といった処理を行うことができます。これらの処理を行うためには、お客様のGoogle Workspace環境からGoogleが提供するAPIの設定が必要です。
このガイドではGoogle Workspaceと連携するための設定について説明します。
目次
1.Google Cloud Platform でプロビジョニングを設定する
3.CloudGate UNO管理者サイトでサービスアカウントを設定する
1.Google Cloud Platform でプロビジョニングを設定する
本手順は Google Cloud Platform( https://console.developers.google.com )にログインして作業します。ログイン時に利用規約が表示されましたら同意して進めてください。
ここで利用する特権管理者はCloudGate UNO管理者サイトに設定し継続してプロビジョニングに利用しますので、共有用やシステム用のアカウントを利用することをお勧めしています。特権管理者を別途用意する場合、以下のGoogleヘルプページをご参考ください。
Google Workspaceの特権管理者(スーパーユーザー):既定の管理者の役割<外部サイト>
権限の割り当て:ユーザーに管理者の役割を割り当てる<外部サイト>
※ Google Cloud Platform にログインできなかった場合:その他の Google サービスを有効または無効にする<外部サイト> を参考に Google Cloud Platform を有効にしてください。
1−1.ポリシーを設定する
2024年5月3日以降にGoogle Workspace環境が作成されたお客様で必要な作業です。
該当しないお客様は、1-2.プロジェクトを作成するへお進みください。
Google Cloud Platform の画面左上プルダウンをクリックして、 「すべて」の中から最上位の組織をクリックします。
ナビゲーションメニューより「IAMと管理」>「IAM」>ログインしているGoogle特権管理者の鉛筆マークをクリックします。「お客様が選択された組織名」に対する権限の編集画面が表示されます。
権限の編集画面で「別のロールを追加」>組織ポリシー管理者を選択し、ロールが追加できましたら保存します。
組織ポリシーで検索しますと、素早く見つかります。
「IAMと管理」>「組織のポリシー」>「Disable service account key creation」で検索、表示されたポリシーをクリックします。「サービス アカウント キーの作成を無効化 のポリシー」画面が表示されます。
ポリシーの編集画面で、ポリシーを管理 >「親のポリシーをオーバーライドする」 >ルールを追加 >オフ >完了 と進め、最後に「ポリシーを設定」をクリックしましたら、有効化作業は完了です。
すでにルールが追加されている場合、「適用済み」をクリックするとオン / オフの変更ができます。
1-2.プロジェクトを作成する
画面左上のプルダウンをクリックして、「新しいプロジェクト」をクリックします。
新しいプロジェクトを作成する画面が表示されるので、プロジェクト名に「CloudGate」と入力して「作成」をクリックします。(※プロジェクトの作成が完了するまで少し時間がかかります。)
1-3.APIを有効にする
プロジェクトの作成が完了したら、プロジェクト「CloudGate」を選択した状態で、ナビゲーションメニュー(画面左上の「三本線のアイコン」)から「APIとサービス」>「ライブラリ」をクリックします。
「このページを表示するには、プロジェクトを選択してください。」と表示される場合:「選択」ボタンをクリックして、作成したプロジェクト「CloudGate」を選択します。
検索窓に以下のAPIを入力して検索し、APIを有効化します。ナビゲーションメニューから「APIとサービス」>「ライブラリ」をクリックし、残り2つのAPIについても有効化する操作を繰り返します。
- Admin SDK API
- Contacts API
- Google People API
「APIとサービス」>「有効なAPIとサービス」をクリックし、画面下部の一覧表で、有効にしたAPIがリスト表示されていることを確認できます。
1-4.サービスアカウントを作成する
「認証情報」>「認証情報を作成」>「サービスアカウント」をクリックします。
以下のようなエラーが表示され、サービスアカウントが作成できなかった場合、「1−1.ポリシーを設定する」が完了していない可能性があります。改めて手順を確認のうえ、サービス アカウント キーの作成を有効化してください。
- サービス アカウント キーの作成が無効になっています
- 組織ポリシー制約「iam.disableServiceAccountKeyCreation」が組織に適用されます。
「サービスアカウント」をクリックし、サービスアカウントの詳細画面が表示されましたら、サービス アカウント名に「CloudGate」を入力して「作成して続行」をクリックします。
このサービス アカウントにプロジェクトへのアクセスを許可する
「ロールを選択」のプルダウンから「Project」>「オーナー」を選択して、「続行」をクリックします。
ユーザーにこのサービス アカウントへのアクセスを許可
画面下の「完了」をクリックするとサービスアカウントが作成されます。
1-5.サービスアカウントの情報を取得する
本手順で取得する p12ファイル、サービスアカウントのメール、一意のID はGoogle管理コンソール、CloudGate UNO管理者サイトへの設定に利用しますので大切に保管してください。
画面右側の「サービスアカウントを管理」をクリックし、作成したサービスアカウント表の右端のメニューから「鍵を管理」を選択します。
「鍵を追加」>「新しい鍵を作成」>「P12」を選択して「作成」をクリックすると「CloudGate-**************.p12」という名称のプライベートキーが自動でダウンロードされます。(※ダウンロードされるまで少し時間がかかります。)
「秘密鍵がパソコンに保存されました」と表示されたら「閉じる」をクリックします。
続けて「詳細」をクリックし、「サービスアカウントの詳細」画面で表示される「メール」と「一意のID」の値をテキストエディタなどにコピー&ペーストして控えます。
ナビゲーションメニューから「IAMと管理」>「IAM」をクリックし、表示された画面で、「CloudGate」プロジェクトの役割が、「オーナー」もしくは「編集者」であることを確認します。
役割の設定を確認できたら、Google Cloud Platform での作業は完了です。
列右端の鉛筆マークをクリックして、「役割」のプルダウンより「Project」から「オーナー」もしくは「編集者」を選択します。
作成した「CloudGate」プロジェクトが一覧にない場合:以下手順で確認します。
(1)画面中央の「アクセス権を付与」をクリックします。
(2)「プリンシパルの追加」画面で、「新しいプリンシパル」欄には先ほどサービスアカウント情報の確認画面でコピーした「メール」の値を入力します。
(3)「役割」のプルダウンより「Project」項目にマウスカーソルを合わせ「オーナー」を選択し保存します。
追加したサービスアカウントがリストに反映されたことを確認し、Google Cloud Platform での作業は完了です。
2.Google管理コンソールでAPIスコープを承認する
Google特権管理者で https://admin.google.com/ にログインし、「セキュリティ」>「アクセスとデータ管理」>「API の制御」>「ドメイン全体の委任を管理」>「新しく追加」と進みます。
ドメイン全体の委任を管理が見つからない場合、API アクセスをドメイン全体の委任で制御する<外部サイト> をご参考ください。
- クライアントID:「1-5.サービスアカウントの情報を取得する」の作業で確認した「一意のID」を入力
- OAuth スコープ:以下の4つのURLすべてをコピー&ペーストして入力
https://www.googleapis.com/auth/admin.directory.group,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/admin.directory.orgunit,
https://www.googleapis.com/auth/contacts
上記の値を入力し、「承認」をクリックします。「詳細を表示」より、入力した内容が追加されたことを確認します。
3.CloudGate UNO管理者サイトでサービスアカウントを設定する
接続設定 項目 | 入力する情報 |
---|---|
アカウント ID | 1-1.プロジェクトを作成する を実施したGoogle特権管理者 |
サービス アカウント キー | 1-4.サービスアカウントの情報を取得する でダウンロードされた CloudGate-**************.p12 という名称のプライベートキー |
サービス アカウント ID | 1-4.サービスアカウントの情報を取得する でコピーして控えた サービスアカウント(メールアドレス)の値 |
各項目を入力し「テスト」をクリックします。画面内に「Google Workspaceのプロビジョニングテストが成功しました。」と表示されましたら、「保存」をクリックします。
以上で事前設定は完了ですので、お客様任意のタイミングで プロビジョニングをOn に切り替えていただきますと、CloudGate UNOからGoogle Workspaceへのプロビジョニングをご利用いただけるようになります。
公開されたサービス アカウント キーを自動的に無効にする<外部サイト> の通り、サービスアカウントキーはGoogle Cloud側の判断で無効化される場合があります。
具体的な判断基準はGoogleでの動作となりますが、Github等オープンな場への公開などが該当するようです。CloudGate UNO管理者サイトへの設定は公開に該当しませんので、本手順で作成するサービスアカウントキーはCloudGate UNOにのみご利用ください。