まずは Google Workspace 管理者アカウントで「Google Cloud Platform」の「Google API Console」にログインし、Google APIs を実施するサービスアカウントの作成と、認証情報の入手を行います。ここではその手順についてご説明します。
手順は大きく分けて「プロジェクトで実施するAPI種類の有効化」→「サービスアカウントの作成」→「サービスアカウントキー作成の有効化」→「サービスアカウントの認証情報取得」の4ステップで完了します。
設定時間の目安は約10分です。
下記より、各設定項目へ遷移できます。
プロジェクトで実施するAPI種類の有効化
プロジェクトで実施するAPIの種類は、下記3種類です。
Admin SDK API
Enterprise License Manager API
Cloud Resource Manager API(※1)
Contacts API(※2)
Enterprise License Manager API
Cloud Resource Manager API(※1)
Contacts API(※2)
※1 Google Cloud Platformと連携を実施しない場合は、有効化の作業は不要です。
※2 SeciossLinkと連絡先を同期しない場合には、有効化の作業は不要です。
設定方法
- Google Cloud Platform にアクセスし、管理アカウントよりログインしてください。
-
「Google Cloud Platform」にログイン後、プロジェクトが存在しない場合、「新しいプロジェクト」を開き、「プロジェクト名」を入力して作成してください。作成が終わった時点で、作成したプロジェクトが選択された状態になっています。
-
Admin SDK APIを有効化してください。
画面上部の検索ボックスに“Admin SDK”と入力し、検索候補に表示される「Admin SDK API」を選択します。詳細画面が表示されたら「有効にする」をクリックします。
- 以下の画面に切り替わった際に、「■APIを無効にする」のボタンが表示されたら、APIが有効化された状態になっています。
- 以下の画面に切り替わった際に、「■APIを無効にする」のボタンが表示されたら、APIが有効化された状態になっています。
-
Enterprise License Manager APIを有効化してください。
画面上部の検索ボックスに“Enterprise License Manager”と入力し、検索候補に表示される「Enterprise License Manager API」を選択します。詳細画面が表示されたら「有効にする」をクリックします。
※ただし以下の場合は、このAPIの有効化は不要です。
・SeciossLink側からライセンスの割り当てを実施しない
・Google Workspace側の設定で自動ライセンスの割り当てを行っている
- 以下の画面に切り替わった際に、「■APIを無効にする」のボタンが表示されたら、APIが有効化された状態になっています。
- 以下の画面に切り替わった際に、「■APIを無効にする」のボタンが表示されたら、APIが有効化された状態になっています。
-
Cloud Resource Manager APIを有効化してください。
検索ボックスに” Cloud Resource Manager API”と入力し、検索候補に表示される「Cloud Resource Manager API」を選択します
※ただしSeciossLink側からGoogle Cloud Platformと連携を実施しない場合は、このAPIの有効化は不要です。
- 以下の画面に切り替わった際に、「■APIを無効にする」のボタンが表示されたら、APIが有効化された状態になっています。
- 以下の画面に切り替わった際に、「■APIを無効にする」のボタンが表示されたら、APIが有効化された状態になっています。
-
Contacts APIを有効化してください。
検索ボックスに” Contacts API”と入力し、検索候補に表示される「Contacts API」を選択します
※ただしSeciossLink側から連絡先情報を同期しない場合は、このAPIの有効化は不要です。
- 以下の画面に切り替わった際に、「■APIを無効にする」のボタンが表示されたら、APIが有効化された状態になっています。
- 以下の画面に切り替わった際に、「■APIを無効にする」のボタンが表示されたら、APIが有効化された状態になっています。
サービスアカウントの作成
APIの有効化が完了したら、サービスアカウントを作成します。
- 左上のメニューより「IAMと管理」内の「サービスアカウント」から、「+サービスアカウントを作成」を選択します。
- 「サービスアカウントの詳細」の設定画面が表示されるので、任意の「サービスアカウント名」を入力し、「作成して続行」をクリックします。
- 「このサービスアカウントにプロジェクトへのアクセスを許可する」の画面が表示されるので、アカウントの役割を選択します。
「ロールを選択」→「Project」→「オーナー」の順に選択して、「ロール」のボックス内に「オーナー」が表示されたら、「続行」をクリックします。
「ユーザーにこのサービスアカウントへのアクセスを許可」の画面が表示されたら、「完了」を選択してください。
サービスアカウントキー作成の有効化
サービスアカウント作成後は、サービスアカウントキー作成の有効化を行います。
-
左上のメニューより「IAMと管理」内の「IAM」を選択します。
-
プリンシパルの欄に「ドメイン」、「サービスアカウント」が表示されるので、それぞれの編集ボタンクリックし、下記ロールを追加します。
・組織の管理者
・組織ポリシーシュミレータ管理者 -
左サイドメニューで組織のポリシーを開き、フィルターでiam.disableServiceAccountKeyCreationを検索します。
- フィルターで抽出された「Disable service account key creation」を選択して、「ポリシーを管理」をクリックします。
- ポリシー管理を下記の通り編集し、「ポリシーを設定」をクリックしてください。
・親のポリシーをオーバーライドする
・ルール追加で適用を「オフ」とする
サービスアカウントの認証情報の取得
サービスアカウントキー作成の有効化後は、今回利用する秘密鍵を作成します。
- 作成されたサービスアカウントより「︙」→「鍵を管理」の順に選択し、鍵の管理画面に移動します。
- 「鍵の追加」→「新しい鍵を作成」の順にクリックして秘密鍵の作成画面が表示されたら、「キーのタイプ」に「P12」を選択した状態で、「作成」をクリックします。
- 2. で作成された秘密鍵が自動でダウンロードされます。表示された秘密鍵とパスワードを確認したら「閉じる」をクリックし、サービスアカウント一覧画面に戻ります。
以上で、サービスアカウントの作成は完了です。
サービスアカウント情報の確認方法
メールアドレスや一意のIDなど、ID同期用に作成したサービスアカウントの必要情報は、詳細タブを開くことで確認できます。