Googleで同期の設定を行う

このセクションでは、Googleでユーザ同期を設定する方法について説明します。

  1. プロジェクトを作成します。
    1. Google Workspace特権管理者としてGoogle Cloud Platformコンソールにサインインします。
    2. 左上のナビゲーションメニューアイコンをクリックして、[IAMと管理] > [リソースの管理] の順に選択します。
    3. 表示される [リソースの管理] 画面で、[プロジェクトを作成] をクリックします。
    4. プロジェクトの名前を指定し、プロジェクトを作成する組織を選択して、[場所] テキストボックスに親組織または親フォルダを入力します。そのリソースが、新規プロジェクトの親階層になります。
    5. [作成] をクリックします。
  2. Admin SDK APIを有効にします。
    1. コンソールで左上のナビゲーションメニューアイコンをクリックし、[APIとサービス] > [ライブラリ] の順に選択して、[Google Workspace][Admin SDK API] を探してクリックします。
    2. 表示される [Admin SDK API] 画面で、[有効にする] をクリックします。
  3. プロジェクトのサービスアカウントを作成して、サービスアカウントの秘密鍵ファイルを生成します。
    1. コンソールで、左上のナビゲーションメニューアイコンをクリックして、[APIとサービス] > [認証情報] の順に選択し、[認証情報を作成] をクリックして [サービスアカウント] を選択します。

      または、[IAMと管理] > [サービスアカウント] の順に選択して、[サービスアカウントを作成] をクリックすることもできます。

    2. サービスアカウントの名前を指定し、必要に応じてサービスアカウントの説明を追加します。

      アカウント名を指定すると、サービスアカウントIDが自動的に生成されます。

    3. [作成][完了] の順にクリックします。

      新しく作成されたサービスアカウントが [サービスアカウント] リストに表示されます。

    4. サービスアカウントをクリックして開き、[詳細] ページで [ドメイン全体の委任の表示] をクリックします。
    5. [G Suiteドメイン全体の委任を有効にする] を選択します。
    6. Google管理コンソールでTMWSaaS用に作成したアプリケーション名を入力し、[保存] をクリックします。

      サービスアカウント用のクライアントが作成されました。クライアントIDは、サービスアカウントの [詳細] ページまたは [APIとサービス] > [認証情報] から取得できます。

    7. [キー] をクリックします。
    8. 表示される [キー] ページで、[鍵を追加] をクリックして、[新しい鍵を作成] を選択します。

      [「<サービスアカウント>」の秘密鍵の作成] 画面が表示されます。

    9. [JSON] キータイプをクリックして、[作成] をクリックします。

      JSON形式の秘密鍵ファイルが自動的に生成され、お使いのコンピュータにダウンロードされます。TMWSaaSでGoogleをIDプロバイダとして設定するときは、このファイルが必要になります。

    10. [終了] をクリックします。
  4. 作成したサービスアカウントについて、ドメイン全体の委任を設定します。
    1. Google管理コンソールにサインインします。
    2. [セキュリティ] > [APIの制御] の順に選択します。
    3. 表示される [APIの制御] 画面で、[ドメイン全体の委任] セクションの [ドメイン全体の委任を管理] を選択します。
    4. 表示される画面で、[新しく追加] をクリックします。
    5. 表示される [新しいクライアントIDを追加] 画面で、作成したサービスアカウントのクライアントIDを入力し、[OAuthスコープ] ボックスで以下の範囲を委任します (複数のエントリはカンマで区切ります)。
      https://www.googleapis.com/auth/admin.directory.group.member.readonly
      https://www.googleapis.com/auth/admin.directory.group.readonly
      https://www.googleapis.com/auth/admin.directory.user.readonly
      https://www.googleapis.com/auth/admin.directory.user.security
      https://www.googleapis.com/auth/admin.directory.domain
    6. [承認] をクリックします。

      新規作成された委任がリストに表示されます。