管理者はドメイン全体で権限を委任することにより、サードパーティ製または内部のアプリにユーザーのデータへのアクセスを許可できます。
アプリ デベロッパーや管理者が OAuth 2.0 のサービス アカウントを作成し、管理者がこのサービス アカウントによるユーザーの データへのアクセスを承認します。これにより、ユーザーごとに同意を求める必要がなくなります。一般に、ドメイン全体で委任するのは次のようなアプリです。
-
Google Workspace の移行ツールや同期ツール
-
デベロッパーが作成した組織向け内部アプリ(自動化アプリなど)。たとえば、Calendar API を使用してユーザーのカレンダーに予定を追加するアプリにアクセスを委任できます。
-
3-legged OAuth アプリ。通常はユーザーごとの同意が必要ですが、ユーザーがアプリを有効にする際に同意を求めるメッセージは表示されず、管理者はアプリがアクセスできるユーザーデータを指定できます。
Google 管理コンソールでアクセスを委任するには、サービス アカウントのクライアント ID またはアプリの OAuth2 クライアント ID を追加し、サポートされている Google API(スコープ)へのアクセスを許可します。
ドメイン全体の委任について
ドメイン全体での委任は、組織の Google Workspace 環境全体のユーザーデータにアプリがアクセスできるようにする強力な機能です。たとえば、別のサービスのユーザー コンテンツを Google Workspace に複製する移行アプリにはドメイン全体の委任を付与します。このため、ドメイン全体の委任を管理できるのは特権管理者のみであり、特権管理者はアプリによるアクセスが可能な各 API スコープを指定する必要があります。
また、Google Workspace Marketplace アプリのドメイン全体でのインストールを管理したり、API スコープを表示したりすることもできます。詳しくは、Marketplace アプリのデータアクセスの仕組みとドメイン内に Marketplace アプリをインストールするをご覧ください。
-
Google Workspace アカウントの特権管理者権限が必要です。
- アプリを追加または編集するには、次の情報をアプリのデベロッパーから入手します。
- サービス アカウントのクライアント ID。
- アプリでリクエストされた API スコープのリスト。アプリのアクセス スコープが適切に制限されていることを確認します。
- ドメイン全体で委任すると、アプリはすべてのユーザーのデータにアクセスできます。サービス アカウントを定期的に確認して、不要になったアカウントは削除することをおすすめします。
-
-
管理コンソールのホームページで、[セキュリティ]
[API の制御] に移動します。
-
[ドメイン全体の委任を管理] をクリックします。
-
[新しく追加] をクリックし、サービス アカウントのクライアント ID を入力します。
この ID(別称「一意の ID」)は、サービス アカウントを作成したときにダウンロードした JSON ファイル、または Google Cloud([IAM と管理]
[サービス アカウント]
目的のサービス アカウント名をクリック)で確認できます。
-
サービス アカウントのクライアント ID またはアプリの OAuth2 クライアント ID を入力します(通常、ID はデベロッパーによって提供されます。サービス アカウントのオーナーであれば、ID を検索できます)。
- [OAuth のスコープ] で、アプリケーションがアクセスできるスコープを 1 つずつ追加します(適切に制限する必要があります)。OAuth 2.0 API の範囲に記載されているいずれかのスコープを使用できます。たとえば、Google Drive API と Google Calendar API にドメイン全体でアクセスできる必要がある場合は、https://www.googleapis.com/auth/drive と https://www.googleapis.com/auth/calendar を入力します。
- [承認] をクリックします。エラーが発生した場合は、クライアント ID が Google に登録されていない、またはスコープが重複しているかサポートされていない可能性があります。
-
新しいクライアント ID にカーソルを合わせ、[詳細を表示] をクリックし、すべてのスコープが表示されていることを確認します。
記載されていないスコープがある場合は、[編集] をクリックし、記載されていないスコープを入力して [承認] をクリックします。クライアント ID は編集できません。
アプリは 1 時間以内に使用できるようになりますが、最長で 24 時間ほどかかることもあります。
アプリのスコープを定期的に確認し、不要なスコープやあまり使用しないスコープを削除することをおすすめします。また、不要になったクライアントも削除します。たとえば、移行が完了したら、移行ツールに許可していたアクセスを削除します。
-
-
管理コンソールのホームページで、[セキュリティ]
[API の制御] に移動します。
-
[ドメイン全体の委任] で、[ドメイン全体の委任を管理] をクリックします。
-
クライアント名をクリックして次の操作を行います。
詳細を表示する - クライアントの完全な名前とスコープのリストを確認できます。
編集する - スコープを追加または削除します。クライアント ID は編集できません。変更は 1 時間以内に有効になりますが、最長で 24 時間ほどかかることもあります。
削除する - クライアントの承認ベースのアプリは、直ちに動作を停止します。