Google Workspace に対するプロビジョニングの構成

Verify から Google Workspace アプリケーションにユーザーをプロビジョンするには、このタスクを使用します。

始める前に

プロビジョニング用に Google Workspace アプリケーションを構成するには、以下の前提条件を満たしている必要があります。
  • 管理者権限を持つ Google Workspace アカウント。
  • Google Workspace の Admin SDK API が有効になっている。
  • Verifyでユーザー・プロビジョニングを構成するための以下のパラメーター。
    • ドメイン
    • カスタマー ID
    • サービス・アカウント E メール
    • アカウント E メール
    • 秘密鍵

このタスクについて

プロビジョニングには、以下の機能があります。
ユーザーの新規作成
Verify を使用して作成された新規ユーザーは、 Google Workspace アプリケーションでも作成されます。
ユーザーの削除
Verify を使用してユーザーを非アクティブにするか、アプリケーションへのユーザーのアクセスを無効にすると、 Google Workspace アプリケーション内のユーザーが削除されます。
ユーザー・プロファイルの変更
Verify を使用してユーザーのプロファイルに対して行われた更新は、サード・パーティー・アプリケーションにプッシュされます。
ユーザーのサスペンドおよび復元
Verify を使用してユーザーを一時停止すると、ユーザーが非アクティブ化され、 Verify を使用してユーザーを復元すると、 Google Workspace アプリケーションでそのユーザーがアクティブ化されます。
ユーザーの同期と修復
Google Workspace アプリケーションは、ユーザー同期機能、修復機能、およびグループ同期機能をサポートしています。

ユーザー同期では、 Verify のすべてのターゲット・アプリケーション・ユーザーがフェッチされ、フェッチされたユーザーが Verify 内のユーザーと突き合わせされます。 アプリケーションに定義されている採用ポリシーには、調整されたユーザーの採用に対応する属性が指定されています。

Verify とターゲット・アプリケーションの間で異なる属性値を持つユーザー・アカウントを修復するように修復ポリシーを構成できます。 Verify は、以下の 3 つの修復ポリシーをサポートしています。
  • NONE - 非準拠アカウントを自動的に修復しません。
  • ON_SV - Verify アカウント属性値をターゲット・アプリケーション値で更新します。
  • ON_TARGET - Verify の値を使用してターゲット・アプリケーション・アカウントの属性値を更新します。

グループ同期は、 Verify 内のすべてのターゲット・アプリケーション・グループを取り出します。

詳細な資格
Google Workspace アプリケーションでは、詳細な資格がサポートされています。 同期により、すべての Google Workspace アプリケーション・グループと管理者役割がフェッチされます。 ユーザーをグループおよび管理者役割に対して追加または削除できます。

手順

  1. Verify上の既存の Google Workspace アプリケーションの場合は、以下の手順を実行します。
    1. 次の URL を使用して、Google Workspace 管理コンソールに移動します。
      https://admin.google.com.
    2. ナビゲーション・メニューをクリックします。
    3. セキュリティ > アクセスとデータ制御 > API コントロールにナビゲートします。
    4. 「ドメイン全体の委任」の下で、 「ドメイン全体の委任の管理」をクリックします。
    5. サービス・アカウントを編集し、「OAuth スコープ」で以下の詳細を追加します。
      グループ OAuth スコープ
      https://www.googleapis.com/auth/admin.directory.group
      役割 OAuth スコープ
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      組織単位 OAuth スコープ
      https://www.googleapis.com/auth/admin.directory.orgunit
    6. 「許可 (Authorize)」をクリックします。
    7. 「アカウント」 にナビゲートし、 Customer IDをコピーします。
      Verifyでアカウント同期を構成するには、 Customer ID が必要です。
    8. Verify アプリケーションで、 Customer IDを入力し、 「接続のテスト」をクリックします。
    9. 変更内容を保存します。
  2. ユーザー・プロビジョニング用に Google Workspace を構成します。
    1. 次の URL を使用して、管理ユーザーとして Google Cloud Platform (GCP) Console にログインします。
      https://console.cloud.google.com.
    2. 次のいずれかの手順を実行します。
      • GCP Console を使用したことがない場合、使用条件に同意して「プロジェクトを作成」をクリックします。
      • GCP Console を使用したことがある場合、画面上部の最新のプロジェクト名の横にある下矢印をクリックして、プロジェクト・リストを開きます。 次に、 「新規プロジェクト」をクリックします。
    3. 「プロジェクト名」に、分かりやすい名前を入力し、 「作成」をクリックします。
    4. 新規プロジェクトを選択して、ナビゲーション・メニューをクリックします。
    5. API およびサービス > 「ライブラリー」にナビゲートします。
    6. 「管理 SDK」 を検索し、検索結果から 「管理 SDK」 オプションを選択します。
    7. 「ENABLE」をクリックします。
    8. IAM and admin > サービス・アカウントにナビゲートします。
    9. 「サービス・アカウントの作成 (CREATE SERVICE ACCOUNT)」 をクリックし、以下の設定を指定します。
      • サービス・アカウント名
      • サービス・アカウント ID
    10. サービス・アカウントを作成するには、 「作成」 をクリックします。
    11. 「続行」 をクリックし、 「完了」をクリックします。
    12. ナビゲーション・メニューをクリックします。
    13. 「API およびサービス」 > 「資格情報」にナビゲートします。
    14. 「サービス・アカウント」 をクリックし、サービス・アカウントを選択します。
    15. 「鍵」の下で、 「鍵の追加」 メニューから 「新規鍵の作成」を選択します。
    16. 「JSON」 ラジオ・ボタンを選択し、 「作成」をクリックします。
    17. Verifyでプロビジョニングを構成するために必要な以下のパラメーターに注意してください。
      サービス・アカウント E メール
      サービス・アカウントの private key ファイルの client_email 値を使用します。
      アカウント E メール
      少なくとも「ユーザー管理者」役割と「グループの管理者」役割を持つ Google Workspace アカウントのユーザー名。 役割のスコープが以下のようになっていることを確認します。All organization unit.

      Google Workspace では、ユーザーにシステム役割またはカスタム役割を割り当てると、そのユーザーが「代理管理者」ユーザーになります。 代理管理者ユーザーを管理するには、スーパー管理者役割を持つアカウントのユーザー名を指定する必要があります。

      秘密鍵
      サービス・アカウントの private key ファイルの private_key 値を使用します。
    18. 次の URL を使用して、Google Workspace 管理コンソールに移動します。
      https://admin.google.com.
    19. ナビゲーション・メニューをクリックします。
    20. セキュリティ > アクセスとデータ制御 > API コントロールにナビゲートします。
    21. 「ドメイン全体の委任」の下で、 「ドメイン全体の委任の管理」をクリックします。
    22. 「新規追加」 をクリックして、以下の詳細を追加します。
      クライアント ID
      サービス・アカウントのクライアント ID を指定します。 サービス・アカウントの private key ファイルの client_id 値を使用します。
      ユーザー OAuth スコープ
      https://www.googleapis.com/auth/admin.directory.user
      グループ OAuth スコープ
      https://www.googleapis.com/auth/admin.directory.group
      役割 OAuth スコープ
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      組織単位 OAuth スコープ
      https://www.googleapis.com/auth/admin.directory.orgunit
    23. 「許可 (Authorize)」をクリックします。
    24. Customer IDをコピーします。
      Verifyでアカウント同期を構成するには、 Customer ID が必要です。 これは、Google Workspace アカウントのカスタマー ID です。
    25. Verify アプリケーションで、 Customer IDを入力し、 「接続のテスト」をクリックします。
    26. 変更内容を保存します。