API アクセスをドメイン全体の委任で制御する

ドメイン全体の委任は、ユーザーの同意を必要とせずに、Workspace ユーザーのデータにアクセスする権限をクライアント アプリケーションに付与できる強力な機能です。ドメイン全体の委任は、次の 2 つの方法で使用できます。

  1. ユーザーに代わってデータにアクセスする権限をサービス アカウントに許可します。サービス アカウントは、次の種類のアプリを使用する場合があります。
    • ユーザー コンテンツを別のサービスから Google Workspace に複製する移行ツールと同期ツール。

    • デベロッパーが作成した組織向け内部アプリ(自動化アプリなど)。たとえば、Calendar API を使用してユーザーのカレンダーに予定を追加するアプリにアクセスを委任できます。

  2. ユーザーが同意画面を表示せずに OAuth クライアント アプリを使用できるようにします。ユーザーがアプリにアクセスする際に同意を求めるメッセージは表示されず、管理者はアプリがアクセスできるユーザーデータを指定できます。

また、Google Workspace Marketplace アプリのドメイン全体でのインストールを管理したり、API スコープを表示したりすることもできます。詳しくは、Marketplace アプリのデータアクセスの仕組みドメイン内に Marketplace アプリをインストールするをご覧ください。

すべて開く   |   すべて閉じる

始める前に
  • Google Workspace アカウントの特権管理者権限があることを確認します。
  • ドメイン全体の委任に関するベスト プラクティスサービス アカウントの使用に関するベスト プラクティスを確認します。
  • アプリまたはサービス アカウントに必要な API スコープのリストを確認します。アプリまたはサービス アカウントのアクセス スコープが適切に制限されていることを確認します。
  • (OAuth アプリを委任する場合)アプリ デベロッパーから OAuth クライアント ID を取得します。
  • (サービス アカウントを委任する場合)サービス アカウントのクライアント ID を取得します。サービス アカウントの所有者は、次のように ID を確認できます。
    1. 特権管理者として Google Cloud にログインします。
    2. [IAM と管理]次へ[サービス アカウント]次へ[サービス アカウントの名前] をクリックします。
    3. [詳細設定] を開き、[クライアント ID] をコピーします。
  • ドメイン全体で委任すると、アプリはすべてのユーザーのデータにアクセスできます。サービス アカウントを定期的に確認して、不要になったアカウントは削除することをおすすめします。
クライアントに対してドメイン全体の委任を設定する
  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン 次に [セキュリティ]次に[アクセスとデータ管理]次に[API の制御]次に[ドメイン全体の委任を管理] の順に移動します。
    この操作を行うには、特権管理者としてログインする必要があります。
  3. [新しく追加] をクリックします。
  4. サービス アカウントまたは OAuth2 クライアントのクライアント ID を入力します。

  5. [OAuth のスコープ] で、アプリケーションがアクセスできるスコープを 1 つずつ追加します(適切に制限する必要があります)。OAuth 2.0 API の範囲に記載されているいずれかのスコープを使用できます。たとえば、Google Drive API と Google Calendar API にドメイン全体でアクセスできる必要がある場合は、https://www.googleapis.com/auth/drivehttps://www.googleapis.com/auth/calendar を入力します。
  6. [承認] をクリックします。エラーが発生した場合は、クライアント ID が Google に登録されていない、またはスコープが重複しているかサポートされていない可能性があります。

    : 組織で複数の関係者による承認が有効になっている場合、クライアント アプリのドメイン全体の委任を承認するには、別の特権管理者の承認が必要です。

  7. 新しいクライアント ID にカーソルを合わせ、[詳細を表示] をクリックし、すべてのスコープが表示されていることを確認します。

    記載されていないスコープがある場合は、[編集] をクリックし、記載されていないスコープを入力して [承認] をクリックします。クライアント ID は編集できません。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

クライアントとスコープを表示、編集、削除する

アプリのスコープを定期的に確認し、不要なスコープやあまり使用しないスコープを削除することをおすすめします。また、不要になったクライアントも削除します。たとえば、移行が完了したら、移行ツールに許可していたアクセスを削除します。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン 次に [セキュリティ]次に[アクセスとデータ管理]次に[API の制御]次に[ドメイン全体の委任を管理] の順に移動します。
    この操作を行うには、特権管理者としてログインする必要があります。
  3. クライアント名をクリックして次の操作を行います。
  • 詳細を表示する - クライアントの完全な名前とスコープのリストを確認できます。
  • 編集する - スコープを追加または削除します。クライアント ID は編集できません。変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
  • 削除する - クライアントの承認ベースのアプリは、直ちに動作を停止します。

    : 組織で複数の関係者による承認が有効になっている場合、クライアント アプリのスコープの編集やドメイン全体の委任の削除には、別の特権管理者の承認が必要です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
検索
検索をクリア
検索を終了
メインメニュー
13975379396338926389
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false