Workforce Identity 連携を使用して Apigee にアクセスする

Apigee Edge のドキュメントを表示する。

このページでは、サードパーティの ID プロバイダを使用して Workforce Identity 連携で Apigee にアクセスする方法について説明します。Workforce Identity 連携では、外部 ID プロバイダ（IdP）を使用して、Identity and Access Management（IAM）によりワークフォース（従業員、パートナー、請負業者などのユーザー グループ）の認証と認可を行い、Apigee サービスにアクセスできます。

Workforce Identity 連携は、OpenID Connect（OIDC）や SAML 2.0 をサポートする任意の IdP（Azure Active Directory（Azure AD）、Active Directory Federation Services（AD FS）、Okta など）で使用できます。

Workforce Identity 連携を使用するメリット

Apigee の多くのお客様は、すでになんらかのシングル サインオン（SSO）を使用していて、従業員が既存の企業認証情報を使用してログインできるようにしています。また、多くのお客様は ID 管理システムも利用しています。既存の IdP から Google Cloud ID にユーザー ID を同期するのは、困難で時間のかかる作業になる可能性があります。

Workforce Identity 連携を使用すると、既存の IdP から Google Cloud ID にユーザー ID を同期する必要がなくなるため、Apigee のオンボーディング時間を短縮し、ID 管理とセキュリティを効率化できます。Workforce Identity 連携は Google Cloud 全体で使用でき、Apigee へのアクセスを管理するための単一の制御ポイントを提供します。

サポートされている Apigee 組織のタイプ

Workforce Identity 連携を使用すると、Apigee ハイブリッド対応の組織を含む、任意の Apigee サブスクリプションまたは従量課金制組織のリソースへのアクセスを管理できます。Workforce Identity 連携のユーザーは、Apigee の評価組織を作成して管理することもできます。

制限事項と考慮事項

Apigee で Workforce Identity 連携を使用する前に、以下の制限事項を確認してください。Workforce Identity 連携に対する Apigee のサポートについては、Identity 連携: プロダクトと制限事項のドキュメントもご覧ください。

Google Cloud コンソールで Apigee にアクセスする

Workforce Identity 連携を使用すると、Cloud コンソールの Apigee または Apigee API を使用して Apigee サービスにアクセスできます。

Apigee Workforce Identity 連携ユーザーは、従来の Apigee UI を使用して Apigee サービスにアクセスできません。Workforce Identity 連携ユーザーは、従来の Apigee UI に直接ログインできません。また、Cloud コンソールの Apigee から従来の Apigee UI にアクセスすることもできません。

従来の Apigee UI でのみ使用可能な機能にアクセスする

Apigee の一部の機能は、従来の Apigee UI でのみ使用でき、Workforce Identity 連携を使用してアクセスすることはできません。詳細については、Google Cloud コンソールで Apigee にアクセスするをご覧ください。対象となる機能は次のとおりです。

• 統合ポータル
• デベロッパー エンゲージメント
• [エンドユーザー分析] > [デバイス]
• [エンドユーザー分析] > [Geomap]

これらの機能は、Workforce Identity 連携を使用した Cloud コンソールの Apigee では使用できませんが、Apigee API からはアクセスできます。

プレビュー機能

プレビュー版の Apigee の一部の機能は、Workforce Identity 連携のユーザーが使用できない場合があります。Cloud コンソールの Apigee でアクセスできる一般提供（GA）の機能はすべて、Workforce Identity 連携ユーザーが利用できます。

サポートされていない機能

Workforce Identity 連携ユーザーは、次の Apigee 機能を使用できません。

• Workforce Identity 連携ユーザーは、Cloud Code と Visual Studio Code（VS Code）IDE を使用して Apigee API と API プロキシのローカル開発を行うことはできません。
• Apigee Connect API（apigeeconnect.googleapis.com）は、Apigee ハイブリッド組織の Workforce Identity 連携ユーザーではサポートされていません。

Workforce Identity 連携ユーザーとして Cloud コンソールで Apigee を使用する

Workforce Identity 連携ユーザーは、次のいずれかの方法で Apigee にログインできます。

• SSO リンクを使用する
• コンソール（連携）の使用
• IdP を起点とするログインの使用

どの方法を使用するかは Apigee 管理者に確認してください。

それぞれのログイン方法の詳細については、コンソール（連携）へのユーザー アクセスを設定するのドキュメントをご覧ください。

Workforce Identity 連携ユーザーとして Apigee API を使用する

Workforce Identity 連携ユーザーとして Apigee API にアクセスするには、Security Token Service（STS）から有効期間の短いトークンを取得する必要があります。トークンを取得したら、追加の手順なしで Apigee API にアクセスできます。

詳細については、Workforce Identity 連携の有効期間が短いトークンを取得するをご覧ください。

Workforce Identity 連携ユーザーとして Google Cloud CLI を使用する

Workforce Identity 連携ユーザーとして Google Cloud CLI（gcloud CLI）を使用するには、Security Token Service（STS）から有効期間の短いトークンを取得する必要があります。トークンを取得したら、追加の手順なしで gcloud CLI ライブラリを使用できます。

詳細については、Workforce Identity 連携の有効期間が短いトークンを取得するをご覧ください。