はじめに

前回の記事 Google Workspace と SAML認証の設定方法に続き、SCIMでユーザープロビジョニングする設定方法をご紹介いたします。

Google Workspace/Google Cloud Platformともに初めて操作しましたが、おおよそ手順通りで設定できました。
IBM Security Verifyのマニュアルにプロビジョニング構成のガイドがあります。
Google Workspace に対するプロビジョニングの構成

各環境の設定についてわけてご紹介します。

• 1.Google Cloud Platform (GCP) Console設定
• 2.Google Workspace 管理コンソール
• 3.Security Verify のアプリケーション設定
• 4.アカウント同期とユーザープロビジョニング
• 5.動作確認

1.Google Cloud Platform (GCP) Console設定

• 管理ユーザーとして Google Cloud Platform (GCP) Console にログインします。
  https://console.cloud.google.com

• 次のいずれかの手順を実行します。

  • GCP Console を使用したことがない場合、使用条件に同意して「プロジェクトを作成」をクリックします。
  • GCP Console を使用したことがある場合、画面上部の最新のプロジェクト名の横にある下矢印をクリックして、プロジェクト・リストを開きます。 次に、「新しいプロジェクト」をクリックします。

今回用意したトライアル環境で、GCPのトップページからプロジェクトを作成しようとしましたが、組織なしとなり、画面上部のメニューからはプロジェクト作成できませんでした。

• 代わりに、リソースの管理メニューからプロジェクトを作成しました。
  https://console.cloud.google.com/cloud-resource-manager

• 「プロジェクト名」にわかりやすい名前を入力して「作成」をクリックします。
  

• 新規プロジェクトを選択して、ナビゲーション・メニューをクリックします。
  

• 「API とサービス」 > 「ライブラリ」に移動します。
  

• 「Admin SDK」を検索し、検索結果から「Admin SDK」オプションを選択します。
  

• 「有効にする」をクリックします。
  
  

• 「IAM と管理」 > 「サービス アカウント」に移動します。
  

• 「サービス アカウントを作成」をクリックし、次の設定を指定し、「完了」をクリックします。
  サービス・アカウント名
  サービス・アカウント ID
  
  

• ナビゲーション・メニューをクリックし、「API とサービス」 > 「認証情報」に移動します。
  「サービス アカウント」をクリックし、ご使用のサービス・アカウントを選択します。
  
  

• 「キー」タブの「鍵を追加」メニューで「新しい鍵を作成」を選択します。
  

• 「JSON」ラジオ・ボタンを選択して、「作成」をクリックします。
  
  

• ダウンロードしたJSONファイルから、Verify でプロビジョニングを構成するために必要な以下のパラメーターを書き留めます。
  

  • サービス・アカウント E メール
    • サービス・アカウントの private key ファイルの client_email 値を使用します。
  • アカウント E メール
    • 少なくとも「ユーザー管理者」役割と「グループの管理者」役割を持つ Google Workspace アカウントのユーザー名。役割のスコープは、All organization unit であることを確認してください。
  • 秘密鍵
    • サービス・アカウントの private key ファイルの private_key 値を使用します。

2.Google Workspace 管理コンソール

• Google Workspace 管理コンソールに移動します。
  https://admin.google.com

• ナビゲーション・メニューをクリックし、「セキュリティ」 > 「API の制御」に移動します。
  「ドメイン全体の委任」で「ドメイン全体の委任を管理」をクリックします。
  

• 「新しく追加」をクリックし、次の詳細を追加します。
  

• クライアント IDを指定します。

  • サービス・アカウントのクライアント ID を指定します。 サービス・アカウントの private key ファイルの client_id 値を使用します。
    

• OAuthのスコープを4つ設定して、「承認」をクリックします。

  • ユーザー OAuth スコープ
    • https://www.googleapis.com/auth/admin.directory.user
  • グループ OAuth スコープ
    • https://www.googleapis.com/auth/admin.directory.group
  • 役割 OAuth スコープ
    • https://www.googleapis.com/auth/admin.directory.rolemanagement
  • 組織単位 OAuth スコープ
    • https://www.googleapis.com/auth/admin.directory.orgunit
      

• APIクライアントが登録されたことを確認します。
  

• Verify でアカウント同期を構成するには、Google Workspace アカウントの「顧客 ID」が必要です。
  ダッシュボードのアカウント設定メニューをクリックし、「顧客 ID」を書き留めます。
  
  

3.Security Verify のアプリケーション設定

• アカウント・ライフサイクルタブを設定します。

  • アカウントのプロビジョン：有効
  • アカウントのプロビジョン解除：有効
    

• Google側で取得した値を設定します。

  • ドメイン：自動設定
  • カスタマーID（顧客ID）
  • サービス・アカウント E メール
  • アカウントEメール
  • 秘密鍵

• 設定が完了したら接続のテストを実施します。

  • 接続テストが正常に終了しました。と表示されることを確認します。エラーとなる場合は設定値を見直します。
    

• 属性マッピングの変更が必要でしたら見直しします。(今回は、デフォルトのまま進みました）
  

なお、 IBM® Security Verify がサポートしている Google Workspace 属性については、以下のマニュアルに記載されています。
Google Workspace でサポートされる属性とエラー処理

4.アカウント同期とユーザープロビジョニング

• Google Workspace上のユーザー･グループデータを同期するため、アカウント同期を行います。
  登録したアプリケーションのメニューでアカウントを選択します。
  

-　アカウント同期の開始ボタンをクリックします。

• アカウント同期のステータスは、アプリケーション-アカウント同期から確認できます。

  • アカウント同期の結果が警告になっています。Google Workspace上に1つ以上グループを登録しておく必要がありました。グループ登録した後にアカウント同期すると警告が解消されました。
    

• アカウント同期を行うと、Google Workspace上のグループがアクセス許可として同期されます。
  

• アクセス許可の Basic accessにプロビジョニングしたいユーザーを追加します。

  • Microsoft365のようにSaaSアプリケーションによっては、ライセンス情報がアクセス許可として同期され、対象のアクセス許可に対してユーザーを割り当てすることでユーザープロビジョニング/ライセンスの割り当てされるものがあります。
    

• ユーザー追加すると、Google Workspace上にユーザープロビジョニングが行われます。アプリケーション-プロビジョニング結果で、ユーザープロビジョニングが正常に行われたかどうか確認できます。
  

5.動作確認

• プロビジョニングしたユーザーで、Gmailが利用できることを確認します。

  • https://mail.google.com/a/

• Security Verifyの画面にリダイレクトされるため、ログインします。
  

• 本人確認、および、同意画面を経て、Gmailが開くことを確認します。
  
  
  
  

• Google Workspaceの管理コンソール上でもプロビジョニングしたユーザーが存在していることを確認します。
  

最後に

今回は、IBM Security VerifyからGoogle Workspaceへユーザープロビジョニングする機能についてご紹介いたしました。
次回は、IBM Security Verifyのアカウント同期機能についてご紹介予定です。