【IBM Security Verify 】Google Workspace へ ユーザープロビジョニングする
はじめに
前回の記事 Google Workspace と SAML認証の設定方法に続き、SCIMでユーザープロビジョニングする設定方法をご紹介いたします。
Google Workspace/Google Cloud Platformともに初めて操作しましたが、おおよそ手順通りで設定できました。
IBM Security Verifyのマニュアルにプロビジョニング構成のガイドがあります。
Google Workspace に対するプロビジョニングの構成
各環境の設定についてわけてご紹介します。
- 1.Google Cloud Platform (GCP) Console設定
- 2.Google Workspace 管理コンソール
- 3.Security Verify のアプリケーション設定
- 4.アカウント同期とユーザープロビジョニング
- 5.動作確認
1.Google Cloud Platform (GCP) Console設定
-
管理ユーザーとして Google Cloud Platform (GCP) Console にログインします。
https://console.cloud.google.com
-
次のいずれかの手順を実行します。
- GCP Console を使用したことがない場合、使用条件に同意して「プロジェクトを作成」をクリックします。
- GCP Console を使用したことがある場合、画面上部の最新のプロジェクト名の横にある下矢印をクリックして、プロジェクト・リストを開きます。 次に、「新しいプロジェクト」をクリックします。
管理ユーザーとして Google Cloud Platform (GCP) Console にログインします。
https://console.cloud.google.com
次のいずれかの手順を実行します。
- GCP Console を使用したことがない場合、使用条件に同意して「プロジェクトを作成」をクリックします。
- GCP Console を使用したことがある場合、画面上部の最新のプロジェクト名の横にある下矢印をクリックして、プロジェクト・リストを開きます。 次に、「新しいプロジェクト」をクリックします。
今回用意したトライアル環境で、GCPのトップページからプロジェクトを作成しようとしましたが、組織なしとなり、画面上部のメニューからはプロジェクト作成できませんでした。
-
代わりに、リソースの管理メニューからプロジェクトを作成しました。
https://console.cloud.google.com/cloud-resource-manager
-
「サービス アカウントを作成」をクリックし、次の設定を指定し、「完了」をクリックします。
サービス・アカウント名
サービス・アカウント ID
-
ナビゲーション・メニューをクリックし、「API とサービス」 > 「認証情報」に移動します。
「サービス アカウント」をクリックし、ご使用のサービス・アカウントを選択します。
-
ダウンロードしたJSONファイルから、Verify でプロビジョニングを構成するために必要な以下のパラメーターを書き留めます。
- サービス・アカウント E メール
- サービス・アカウントの private key ファイルの client_email 値を使用します。
- アカウント E メール
- 少なくとも「ユーザー管理者」役割と「グループの管理者」役割を持つ Google Workspace アカウントのユーザー名。役割のスコープは、All organization unit であることを確認してください。
- 秘密鍵
- サービス・アカウントの private key ファイルの private_key 値を使用します。
- サービス・アカウント E メール
2.Google Workspace 管理コンソール
-
Google Workspace 管理コンソールに移動します。
https://admin.google.com
-
ナビゲーション・メニューをクリックし、「セキュリティ」 > 「API の制御」に移動します。
「ドメイン全体の委任」で「ドメイン全体の委任を管理」をクリックします。
-
-
クライアント IDを指定します。
-
OAuthのスコープを4つ設定して、「承認」をクリックします。
- ユーザー OAuth スコープ
- グループ OAuth スコープ
- 役割 OAuth スコープ
- 組織単位 OAuth スコープ
-
-
Verify でアカウント同期を構成するには、Google Workspace アカウントの「顧客 ID」が必要です。
ダッシュボードのアカウント設定メニューをクリックし、「顧客 ID」を書き留めます。
3.Security Verify のアプリケーション設定
Google Workspace 管理コンソールに移動します。
https://admin.google.com
ナビゲーション・メニューをクリックし、「セキュリティ」 > 「API の制御」に移動します。
「ドメイン全体の委任」で「ドメイン全体の委任を管理」をクリックします。
クライアント IDを指定します。
OAuthのスコープを4つ設定して、「承認」をクリックします。
- ユーザー OAuth スコープ
- グループ OAuth スコープ
- 役割 OAuth スコープ
- 組織単位 OAuth スコープ
Verify でアカウント同期を構成するには、Google Workspace アカウントの「顧客 ID」が必要です。
ダッシュボードのアカウント設定メニューをクリックし、「顧客 ID」を書き留めます。
-
設定が完了したら接続のテストを実施します。
なお、 IBM® Security Verify がサポートしている Google Workspace 属性については、以下のマニュアルに記載されています。
Google Workspace でサポートされる属性とエラー処理
4.アカウント同期とユーザープロビジョニング
-
アカウント同期のステータスは、アプリケーション-アカウント同期から確認できます。
-
アクセス許可の Basic accessにプロビジョニングしたいユーザーを追加します。
-
ユーザー追加すると、Google Workspace上にユーザープロビジョニングが行われます。アプリケーション-プロビジョニング結果で、ユーザープロビジョニングが正常に行われたかどうか確認できます。
5.動作確認
-
プロビジョニングしたユーザーで、Gmailが利用できることを確認します。
-
-
-
最後に
プロビジョニングしたユーザーで、Gmailが利用できることを確認します。
今回は、IBM Security VerifyからGoogle Workspaceへユーザープロビジョニングする機能についてご紹介いたしました。
次回は、IBM Security Verifyのアカウント同期機能についてご紹介予定です。
Author And Source
この問題について(【IBM Security Verify 】Google Workspace へ ユーザープロビジョニングする), 我々は、より多くの情報をここで見つけました https://qiita.com/fitz/items/8ebfa59961a3c1abfa8c著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .