G Suite API アクセスをドメイン全体の委任で制御する

G Suite 管理者はドメイン全体で権限を委任することにより、サードパーティ製または内部のアプリケーションに G Suite ユーザーのデータへのアクセスを許可できます。

アプリ デベロッパーや G Suite 管理者は OAuth 2.0 のサービス アカウントを作成し、管理者がこのサービス アカウントによるユーザーの G Suite データへのアクセスを承認します。これにより、ユーザーごとに同意を求める必要がなくなります。一般に、ドメイン全体で委任するのは次のようなアプリです。

  • G Suite の移行ツールや同期ツール(G Suite Migrate など)

  • デベロッパーが作成した G Suite を利用する組織向け内部アプリ(自動化アプリなど)。たとえば、Calendar API を使用してユーザーのカレンダーに予定を追加するアプリケーションにアクセスを委任できます。

  • 3-legged OAuth アプリ。通常はユーザーごとの同意が必要ですが、ユーザーがアプリを有効にする際に同意を求めるメッセージは表示されず、管理者はアプリがアクセスできるユーザーデータを指定できます。

管理コンソールでアクセスを委任するには、サービス アカウントのクライアント ID またはアプリの OAuth2 クライアント ID を追加し、サポートされている Google API(スコープ)へのアクセスを許可します。

ドメイン全体の委任について

ドメイン全体での委任は、G Suite アカウント全体のユーザーデータにアプリがアクセスできるようにする強力な機能です。たとえば、別のサービスのユーザー コンテンツを G Suite に複製する移行アプリにはドメイン全体の委任を付与します。このため、ドメイン全体の委任を管理できるのは特権管理者のみであり、特権管理者はアプリによるアクセスが可能な各 API スコープを指定する必要があります。

また、G Suite Marketplace アプリのドメイン全体でのインストールを管理したり、API スコープを表示したりすることもできます。詳しくは、G Suite Marketplace アプリによるデータアクセスの仕組みMarketplace アプリのインストールについての記事をご覧ください。

すべて開く   |   すべて閉じる

始める前に
  • G Suite アカウントの特権管理者権限が必要です。

  • アプリを追加または編集するには、次の情報をアプリのデベロッパーから入手します。
  • サービス アカウントのクライアント ID。
  • アプリでリクエストされた API スコープのリスト。アプリのアクセス スコープが適切に制限されていることを確認します。
  • ドメイン全体で委任すると、アプリはすべての G Suite ユーザーのデータにアクセスできます。サービス アカウントを定期的に確認して、不要になったアカウントは削除することをおすすめします。
クライアントに対してドメイン全体の委任を設定する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから "" 次に [セキュリティ] 次に [API コントロール] に移動します。
  3. [ドメイン全体の委任] で、[ドメイン全体の委任を管理] をクリックします。
  4. [ドメイン全体の委任を管理] ページで、[新しく追加]をクリックします。

  5. サービス アカウントのクライアント ID またはアプリの OAuth2 クライアント ID を入力します(通常、ID はデベロッパーから提供されます。サービス アカウントのオーナーであれば ID を確認できます)。

  6. [OAuth のスコープ] で、アプリケーションがアクセスできるスコープを 1 つずつ追加します(適切に制限する必要があります)。OAuth 2.0 API の範囲に記載されているいずれかのスコープを使用できます。たとえば、Google Drive API と Google Calendar API にドメイン全体でアクセスできる必要がある場合は、https://www.googleapis.com/auth/drivehttps://www.googleapis.com/auth/calendar を入力します。
  7. [承認] をクリックします。エラーが発生した場合は、クライアント ID が Google に登録されていない、またはスコープが重複しているかサポートされていない可能性があります。
  8. すべてのスコープを表示するには、新しいクライアント ID を選択して [詳細を表示] をクリックします。

    表示されていない場合は、[編集] をクリックし、不足しているスコープを入力して [承認] をクリックします。クライアント ID は編集できません。

アプリは 1 時間以内に使用できるようになりますが、最長で 24 時間ほどかかることもあります。

クライアントとスコープを表示、編集、削除する

アプリのスコープを定期的に確認し、不要なスコープやあまり使用しないスコープを削除することをおすすめします。また、不要になったクライアントも削除します。たとえば、移行が完了したら、G Suite Migrate に許可していたアクセスを削除します。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから "" 次に [セキュリティ] 次に [API コントロール] に移動します。
  3. [ドメイン全体の委任] で、[ドメイン全体の委任を管理] をクリックします。
  4. クライアント名をクリックして次の操作を行います。
  • 詳細を表示する: クライアントの完全な名前とスコープのリストを確認できます。

  • 編集する: スコープを追加または削除します(クライアント ID は編集できません)。変更は 1 時間で有効になりますが、最長で 24 時間ほどかかることもあります。

  • 削除する: クライアントの承認ベースのアプリケーションは、直ちに動作を停止します。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。