Google Workspaceアカウントのリモートパスワードリセットのためのサービスアカウント構成

Password Manager Proは、ドメイン内のGoogle Workspaceアカウントに対してサービス アカウントを使用したリモートパスワードリセットをサポートしています。この機能を有効にするには、Google Workspaceドメイン内のプロジェクトにサービス アカウントを設定し、パスワードリセットを実行できるように構成する必要があります。Password Manager ProでGoogle Workspaceユーザーアカウントのパスワードリセット操作がトリガーされると、サービスアカウントが選択されたアカウントのパスワードリセットを実行します。したがって、Password Manager ProでGoogle Workspaceアカウントのためのリモートパスワードリセット操作を構成する前に、Google Cloud Platform (GCP) コンソールでサービスアカウントを設定および構成する必要があります。

本ページでは、ドメイン内のGoogle Workspaceユーザーアカウントに対してリモートパスワードリセット操作を正常にに実行するために、GCPコンソールで従うべき必要な手順を解説します。

  1. サービスアカウントの設定
  2. サービスアカウントのドメイン全体の委任管理
  3. Admin SDK APIの有効化

1. サービスアカウントの設定

このプロセスでは、必要に応じて新しいプロジェクトを作成し、そのプロジェクト内でサービス アカウントを設定し、サービスアカウントがプロジェクトにアクセスするために必要な役割と権限を割り当て、サービス アカウントキーのファイルを生成します。手順は以下の通りです。

  1. Google Cloud Consoleにアクセスし、Google Workspaceの管理者としてログインします。
  2. プロジェクトの選択または、作成
    • Google Cloud Consoleのホームページで、ナビゲーションバーのプロジェクトドロップダウンをクリックします。
    • [リソースを選択]ウィンドウで、サービス アカウントを作成したい目的のプロジェクトを選択します。
    • 既存のプロジェクトがない場合は、ウィンドウの右上隅にある[新しいプロジェクト]をクリックして新しいプロジェクトを作成します。
      • imgborder
  3. サービス アカウントの作成
    1. メニューアイコンをクリックし[ナビゲーション]メニューを開きます。
    2. [IAMと管理]→[サービス アカウント]へ移動し、[+サービス アカウントを作成]をクリックします。
    3. 「サービス アカウントの作成」ページにて、サービス アカウント名とサービス アカウントの説明を入力します。サービス アカウントIDとeメールアドレスが入力したサービス アカウント名に基づいて自動で作成されます。
      4. imgborder
    4. [作成して続行]をクリックし、次のステップに進みます。
    5. プロジェクトへアクセスできる権限を付与するために、[ロールを選択]ドロップダウンメニューから、[Basic]→[編集者]を選択し、[続行]をクリックします。
      6. imgborder
    6. ポリシーの更新が完了後、[完了]をクリックして、サービスアカウントの作成手順は完了です。
  4. サービス アカウントのキーファイルの作成
    1. [サービス アカウント]ページで、作成したサービス アカウントをクリックし、「キー」タブに切り替えます。
    2. [キー]タブ内で、[鍵を追加]→[新しい鍵を作成]をクリックします。
      3. imgborder
    3. [秘密鍵の作成]ウィンドウで、「キーのタイプ」として[JSON]を選択し、[作成]をクリックしてキーファイルをダウンロードします。
      4. imgborder

上記の手順で、Google Workspaceドメイン内でサービスアカウントを正常に作成および構成し、Google Cloud Consoleからサービス アカウントキーのファイルのダウンロードが完了します。このサービス アカウントキーのファイルは、Google Workspaceアカウントのリモートパスワードリセットを構成する際に、リソース種別がファイルストアのリソースとしてPassword Manager Proにインポートする必要があります。

2. サービスアカウントのドメイン全体の委任管理

Google Workspaceドメイン内のユーザーデータへアクセスまたは変更するには、サービスアカウントに必要なスコープと権限を付与する必要があります。これは、パスワードリセット操作を実行するために、サービスアカウントにドメイン全体の権限を委任することを含みます。以下の手順に従って、サービスアカウントにドメイン全体の権限を委任してください。

  1. Google Cloud Consoleにアクセスし、Google Workspaceの管理者としてログインします。
  2. 左上隅のメニューアイコンをクリックし、[メインメニュー]を開きます。
  3. メインメニューから、[セキュリティ]→[アクセスとデータ管理]→[APIの制御]へ移動します。
  4. 「APIの制御」ページから、「設定」セクション配下の「ドメイン全体の委任の管理」をクリックします。
    5. imgborder
    1. [新しく追加]をクリックし、新しいクライアントを追加します。
    2. 「新しいクライアントIDを追加」ウィンドウで、作成したサービスアカウントのクライアントIDおよびOAuth スコープをそれぞれのフィールドに入力します。OAuth スコープは次のように入力します。
      https://www.googleapis.com/auth/admin.directory.user
    3. [承認]をクリックします。
      4. imgborder

上記の手順で、サービスアカウントへドメイン全体の権限の委任が正常に完了します。これにより、サービスアカウントはGoogle Workspaceドメイン内のユーザーデータにアクセスし、変更することができるようになります。

Admin SDK APIの有効化

Password Manager Proは、選択したGoogle Workspaceアカウントのリモートパスワード変更を実行するために、Googleが提供する一連のAPIを使用します。ユーザーがPassword Manager Proインターフェイスからパスワード変更を開始すると、アプリケーションはその操作をトリガーするためにAPIコールを行います。この機能は、Google Cloud ConsoleでAdmin SDK APIが有効になっている必要があります。以下の手順に従って、選択したプロジェクトのAdmin SDK APIを有効にしてください。

  1. Google Cloud Consoleにアクセスし、Google Workspace管理者としてログインしていることを確認してください。
  2. [メニュー]>アイコンをkクリックして、「ナビゲーションメニュー」を開きます。
  3. 「ナビゲーションメニュー」から、[APIとサービス]→[ライブラリ]に移動します。
  4. 「APIライブラリ」ページで、目的のプロジェクトを選択し、検索機能から「Admin SDK API」を見つけます。
    5. imgborder
  5. 「Admin SDK API」ページで、[有効にする]ボタンをクリックします。
    6. imgborder

以上で、Google WorkspaceアカウントのAdmin SDK APIが有効になります。

注:Google Workspaceリソースに対して「パスワードの検証」が使用不可となります。