Google Cloud Search では、サードパーティのリポジトリ内のアイテムに設定されているアクセス権限が維持されるように、リポジトリの ID を Google アカウントの ID にマッピングする必要があります。たとえば、あるデータベースでのユーザー名 [email protected] を Google アカウント(例: [email protected])にマッピングする必要があるとします。
このマッピングを管理するには、Cloud Search 内に ID ソースを作成します。この ID ソースを使用することで、デベロッパーはサードパーティのリポジトリ内のユーザー アカウントを Google アカウントにマッピングすることができます。詳しくは、デベロッパーが異なる ID システムを同期する方法についてのページをご覧ください。
始める前に
- Google Workspace Admin SDK および Cloud Identity API の両方へのアクセス権があるサービス アカウントの ID をデベロッパーに問い合わせます。
- 検索対象のデータソースを追加します。ID ソースを作成するには、データソースを少なくとも 1 つ追加する必要があります。
1. ID ソースを作成する
サードパーティのユーザー名を Google アカウントにマッピングするには、ID ソースを作成します。
-
-
管理コンソールで、メニュー アイコン [アプリ] [Google Workspace] [Cloud Search] にアクセスします。
- [ID ソース] カードをクリックします。
組織の ID ソースのリストが表示されます。
- 左上の追加アイコン をクリックします。
- [ID ソース名] に名前を入力します。
- [サービス アカウントを追加] をクリックします。
- Admin SDK Users API と Cloud Identity API を介してユーザーデータとグループデータにアクセスできるサービス アカウントのメールアドレスを入力します。
サービス アカウント ID の作成時に生成されたメールアドレスを使用してください。
- サービス アカウントの Admin SDK Users API へのアクセスレベルを設定します。
- 読み取り / 書き込み - API へのフルアクセス権を付与します。
- 既存 - API にすでに付与されているアクセス権を保持します。
以前に別の ID ソースによってサービス アカウントに読み取り / 書き込みのアクセス権が付与されていた場合は、そのアクセス権が保持されます。サービス アカウントにアクセス権がまだ付与されていない場合は、引き続きアクセス権のない状態になります。注: サービス アカウントに読み取り / 書き込みのアクセス権を付与した ID ソースが削除されると、サービス アカウントのアクセス権は無効になります。作成した ID ソースで同じサービス アカウントを使用する必要がある場合は、オプションを [読み取り / 書き込み] に設定します。
- サービス アカウントの Cloud Identity API へのアクセスレベルを設定します。
- 読み取り / 書き込み - API へのフルアクセス権を付与します。
- 読み取り - API への読み取り権限を付与します。
- アクセス不可 - API へのアクセスを禁止します。
- [サービス アカウントを追加] をクリックします。
- 必要に応じて別のサービス アカウントを追加し、アカウントの追加が完了したら [ID ソースを追加] をクリックします。
ID ソースが正常に追加されると、自動生成された ID ソースの ID がメッセージとともに表示されます。この ID をコピーして、ID コネクタ担当のデベロッパーに知らせます。
-
[OK] をクリックします。
追加した ID ソースが ID ソースのリストに表示されます。デベロッパーが Google API をユーザーおよびグループのデータにアクセスさせるには、ID ソースの ID が必要になります。
ヒント: ID ソースの ID をクリップボードにコピーするには、コピーアイコン をクリックします。
2. サードパーティのアカウントを Google Workspace にインポートする
ID ソースを作成すると、Cloud Search によってすべての Google ユーザー アカウントにカスタム属性が追加されます。このカスタム属性に、Google アカウントにマッピングするサードパーティのアカウント ID が保存されます。
管理コンソールでこのカスタム属性を表示するには:
- [ユーザー] にアクセスします。
- 右上にあるカスタム属性の管理アイコン をクリックします。
重要: このカスタム属性は変更しないでください。名前や項目のいずれかを変更すると、Cloud Search が正常に動作しなくなります。
サードパーティのユーザー名をカスタム属性欄にインポートするには、次のいずれかの方法を使用します。
ID コネクタを使用してすべてのアカウントに一括インポートする
Cloud Identity API を使用してすべてのアカウントに一括インポートする
Google 管理コンソールを使用して個々のアカウントにインポートする
-
- 管理コンソールで、メニュー アイコン [ディレクトリ] [ユーザー] に移動します。
- 各ユーザーのアカウント ページで、[ユーザー属性を管理] の [編集] をクリックします。
- カスタム属性欄に、Google Workspace ユーザー アカウントにマッピングするサードパーティのユーザー名を追加します。
- [ユーザーを更新] をクリックします。
3. 組織のお客様 ID を見つける
デベロッパーが ID コネクタを設定するには、管理者の Google アカウントのお客様 ID をコネクタのプロパティ ファイルに追加する必要があります。
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [認証] [SAML アプリケーションによる SSO] にアクセスします。
この操作を行うには、特権管理者としてログインする必要があります。
- [SSO の URL] の横で、URL の末尾にある idpid 値を見つけます。「C」の後に続く値がお客様 ID です。
たとえば、次の URL の場合のお客様 ID は 0123tvz4 です。
https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4
次のステップ
異なる ID システムを同期できるデベロッパーに、ID ソースの ID と管理者のお客様 ID を知らせます。
ID ソースを編集または削除する
ID ソースを編集する
-
-
管理コンソールで、メニュー アイコン [アプリ] [Google Workspace] [Cloud Search] にアクセスします。
- [ID ソース] カードをクリックします。
- 組織の ID ソースのリストが表示されます。
- 更新する ID ソースにカーソルを合わせて、編集アイコン をクリックします。
- ID ソース ウィンドウで、変更を加える項目を選択します。
- 既存のサービス アカウントを更新するには、サービス アカウントにカーソルを合わせて編集アイコン をクリックします。
サービス アカウントの名前とアクセス権を変更できます。 - 新しいサービス アカウントを追加するには、[サービス アカウントを追加] をクリックします。
- 既存のサービス アカウントを更新するには、サービス アカウントにカーソルを合わせて編集アイコン をクリックします。
- [ID ソースを編集] をクリックします。
ID ソースを削除する
-
-
管理コンソールで、メニュー アイコン [アプリ] [Google Workspace] [Cloud Search] にアクセスします。
- [ID ソース] カードをクリックします。
- 組織の ID ソースのリストが表示されます。
- 削除する ID ソースにカーソルを合わせて、削除アイコン をクリックします。
- 警告ウィンドウで [削除] をクリックします。
重要: ID ソースを削除すると、関連データもすべて削除されます。これには、カスタムのユーザーデータとグループのすべてが含まれます。