API アクセスをドメイン全体の委任で制御する

管理者はドメイン全体で権限を委任することにより、サードパーティ製または内部のアプリにユーザーのデータへのアクセスを許可できます。

アプリ デベロッパーや管理者が OAuth 2.0 のサービス アカウントを作成し、管理者がこのサービス アカウントによるユーザーの データへのアクセスを承認します。これにより、ユーザーごとに同意を求める必要がなくなります。一般に、ドメイン全体で委任するのは次のようなアプリです。

  • Google Workspace の移行ツールや同期ツール

  • デベロッパーが作成した組織向け内部アプリ(自動化アプリなど)。たとえば、Calendar API を使用してユーザーのカレンダーに予定を追加するアプリにアクセスを委任できます。

  • 3-legged OAuth アプリ。通常はユーザーごとの同意が必要ですが、ユーザーがアプリを有効にする際に同意を求めるメッセージは表示されず、管理者はアプリがアクセスできるユーザーデータを指定できます。

Google 管理コンソールでアクセスを委任するには、サービス アカウントのクライアント ID またはアプリの OAuth2 クライアント ID を追加し、サポートされている Google API(スコープ)へのアクセスを許可します。

ドメイン全体の委任について

ドメイン全体での委任は、組織の Google Workspace 環境全体のユーザーデータにアプリがアクセスできるようにする強力な機能です。たとえば、別のサービスのユーザー コンテンツを Google Workspace に複製する移行アプリにはドメイン全体の委任を付与します。このため、ドメイン全体の委任を管理できるのは特権管理者のみであり、特権管理者はアプリによるアクセスが可能な各 API スコープを指定する必要があります。

また、Google Workspace Marketplace アプリのドメイン全体でのインストールを管理したり、API スコープを表示したりすることもできます。詳しくは、Marketplace アプリのデータアクセスの仕組みドメイン内に Marketplace アプリをインストールするをご覧ください。

すべて開く   |   すべて閉じる

始める前に
  • Google Workspace アカウントの特権管理者権限が必要です。

  • アプリを追加または編集するには、次の情報をアプリのデベロッパーから入手します。
  • サービス アカウントのクライアント ID。
  • アプリでリクエストされた API スコープのリスト。アプリのアクセス スコープが適切に制限されていることを確認します。
  • ドメイン全体で委任すると、アプリはすべてのユーザーのデータにアクセスできます。サービス アカウントを定期的に確認して、不要になったアカウントは削除することをおすすめします。
クライアントに対してドメイン全体の委任を設定する
  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールのホームページで、[セキュリティ] 次に [API の制御] に移動します。
  3. [ドメイン全体の委任を管理] をクリックします。
  4. [新しく追加] をクリックし、サービス アカウントのクライアント ID を入力します。

    この ID(一意の ID とも呼ばれます)は、サービス アカウントを作成したときにダウンロードした JSON ファイル、または Google Cloud Console([IAM と管理] 次に [サービス アカウント] 次に 目的のサービス アカウントをクリック)で確認できます。

  5. サービス アカウントのクライアント ID またはアプリの OAuth2 クライアント ID を入力します(通常、ID はデベロッパーによって提供されます。サービス アカウントのオーナーであれば、ID を検索できます)。

  6. [OAuth のスコープ] で、アプリケーションがアクセスできるスコープを 1 つずつ追加します(適切に制限する必要があります)。OAuth 2.0 API の範囲に記載されているいずれかのスコープを使用できます。たとえば、Google Drive API と Google Calendar API にドメイン全体でアクセスできる必要がある場合は、https://www.googleapis.com/auth/drivehttps://www.googleapis.com/auth/calendar を入力します。
  7. [承認] をクリックします。エラーが発生した場合は、クライアント ID が Google に登録されていない、またはスコープが重複しているかサポートされていない可能性があります。
  8. 新しいクライアント ID を選択して [詳細を表示] をクリックし、すべてのスコープが記載されていることを確認します。

    記載されていないスコープがある場合は、[編集] をクリックし、記載されていないスコープを入力して [承認] をクリックします。クライアント ID は編集できません。

アプリは 1 時間以内に使用できるようになりますが、最長で 24 時間ほどかかることもあります。

クライアントとスコープを表示、編集、削除する

アプリのスコープを定期的に確認し、不要なスコープやあまり使用しないスコープを削除することをおすすめします。また、不要になったクライアントも削除します。たとえば、移行が完了したら、移行ツールに許可していたアクセスを削除します。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールのホームページで、[セキュリティ] 次に [API の制御] に移動します。
  3. [ドメイン全体の委任] で、[ドメイン全体の委任を管理] をクリックします。
  4. クライアント名をクリックして次の操作を行います。
  • 詳細を表示する - クライアントの完全な名前とスコープのリストを確認できます。

  • 編集する - スコープを追加または削除します。クライアント ID は編集できません。変更は 1 時間以内に有効になりますが、最長で 24 時間ほどかかることもあります。

  • 削除する - クライアントの承認ベースのアプリは、直ちに動作を停止します。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false