ドメイン全体の委任は、ユーザーの同意を必要とせずに、Workspace ユーザーのデータにアクセスする権限をクライアント アプリケーションに付与できる強力な機能です。ドメイン全体の委任は、次の 2 つの方法で使用できます。
- ユーザーに代わってデータにアクセスする権限をサービス アカウントに許可します。サービス アカウントは、次の種類のアプリを使用する場合があります。
-
ユーザー コンテンツを別のサービスから Google Workspace に複製する移行ツールと同期ツール。
-
デベロッパーが作成した組織向け内部アプリ(自動化アプリなど)。たとえば、Calendar API を使用してユーザーのカレンダーに予定を追加するアプリにアクセスを委任できます。
-
- ユーザーが同意画面を表示せずに OAuth クライアント アプリを使用できるようにします。ユーザーがアプリにアクセスする際に同意を求めるメッセージは表示されず、管理者はアプリがアクセスできるユーザーデータを指定できます。
また、Google Workspace Marketplace アプリのドメイン全体でのインストールを管理したり、API スコープを表示したりすることもできます。詳しくは、Marketplace アプリのデータアクセスの仕組みとドメイン内に Marketplace アプリをインストールするをご覧ください。
- Google Workspace アカウントの特権管理者権限があることを確認します。
- ドメイン全体の委任に関するベスト プラクティスとサービス アカウントの使用に関するベスト プラクティスを確認します。
- アプリまたはサービス アカウントに必要な API スコープのリストを確認します。アプリまたはサービス アカウントのアクセス スコープが適切に制限されていることを確認します。
- (OAuth アプリを委任する場合)アプリ デベロッパーから OAuth クライアント ID を取得します。
- (サービス アカウントを委任する場合)サービス アカウントのクライアント ID を取得します。サービス アカウントの所有者は、次のように ID を確認できます。
- 特権管理者として Google Cloud にログインします。
- [IAM と管理][サービス アカウント][サービス アカウントの名前] をクリックします。
- [詳細設定] を開き、[クライアント ID] をコピーします。
- ドメイン全体で委任すると、アプリはすべてのユーザーのデータにアクセスできます。サービス アカウントを定期的に確認して、不要になったアカウントは削除することをおすすめします。
-
-
管理コンソールで、メニュー アイコン [セキュリティ][アクセスとデータ管理][API の制御][ドメイン全体の委任を管理] の順に移動します。
この操作を行うには、特権管理者としてログインする必要があります。 -
[新しく追加] をクリックします。
-
サービス アカウントまたは OAuth2 クライアントのクライアント ID を入力します。
- [OAuth のスコープ] で、アプリケーションがアクセスできるスコープを 1 つずつ追加します(適切に制限する必要があります)。OAuth 2.0 API の範囲に記載されているいずれかのスコープを使用できます。たとえば、Google Drive API と Google Calendar API にドメイン全体でアクセスできる必要がある場合は、https://www.googleapis.com/auth/drive と https://www.googleapis.com/auth/calendar を入力します。
- [承認] をクリックします。エラーが発生した場合は、クライアント ID が Google に登録されていない、またはスコープが重複しているかサポートされていない可能性があります。
注: 組織で複数の関係者による承認が有効になっている場合、クライアント アプリのドメイン全体の委任を承認するには、別の特権管理者の承認が必要です。
-
新しいクライアント ID にカーソルを合わせ、[詳細を表示] をクリックし、すべてのスコープが表示されていることを確認します。
記載されていないスコープがある場合は、[編集] をクリックし、記載されていないスコープを入力して [承認] をクリックします。クライアント ID は編集できません。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
アプリのスコープを定期的に確認し、不要なスコープやあまり使用しないスコープを削除することをおすすめします。また、不要になったクライアントも削除します。たとえば、移行が完了したら、移行ツールに許可していたアクセスを削除します。
-
-
管理コンソールで、メニュー アイコン [セキュリティ][アクセスとデータ管理][API の制御][ドメイン全体の委任を管理] の順に移動します。
この操作を行うには、特権管理者としてログインする必要があります。 -
クライアント名をクリックして次の操作を行います。
- 詳細を表示する - クライアントの完全な名前とスコープのリストを確認できます。
- 編集する - スコープを追加または削除します。クライアント ID は編集できません。変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
- 削除する - クライアントの承認ベースのアプリは、直ちに動作を停止します。
注: 組織で複数の関係者による承認が有効になっている場合、クライアント アプリのスコープの編集やドメイン全体の委任の削除には、別の特権管理者の承認が必要です。