アプリケーションを承認する

App Engine でアプリケーションを承認するには、各エンドユーザーではなくアプリケーションに属するアカウントであるサービス アカウントが必要です。サービス アカウントは、Google API や他のサービスの呼び出しを承認するために使用されます。

サービス アカウントによる Google API の呼び出しを承認する 3 つの方法があります。

承認サービス 目的
アプリケーションのデフォルト認証情報 アプリケーションのデフォルト認証情報は、Google Cloud Platform プロジェクトの組み込みのサービス アカウントを使用します。これは Google Cloud Platform API に接続する最も簡単な方法です。
OAuth 2.0 による承認 OAuth 2.0 による承認は、Google Cloud 以外のアプリ ホスティング、VM、またはサービスを承認する最も優れた方法です。独自の OAuth 2.0 承認トークンを作成し、Google API にアクセスすることができます。
G Suite ドメイン全体の権限の委任 ドメイン全体の権限の委任を使用すると、ドメイン全体のアプリケーション データへのアクセスを、サードパーティ アプリケーションに対して許可することができます。これは、OAuth 2.0 に基づいて G Suite アカウントのドメイン全体へのアクセスを承認します。

アプリケーションのデフォルト認証情報

アプリケーションのデフォルト認証情報により、他の Google Cloud Platform API を呼び出すためのサービス アカウント認証情報を非常に簡単に取得して使用することができます。アプリケーションのデフォルトの認証情報では、App Engine または Compute Engine 上で実行されているプロジェクト用に、組み込みのサービス アカウントが使用されます。

アプリケーションのデフォルト認証情報は、ユーザーに関係なく、アプリケーションで呼び出しに同じ ID と認証のレベルを使用する必要がある場合に最も適しています。これは、特に App Engine、Google Kubernetes Engine、または Compute Engine の仮想マシンにデプロイされるアプリケーションをビルドする場合に、Google Cloud Platform API への呼び出しを承認するために推奨されているアプローチです。

OAuth 2.0 による承認

アプリのホスティングや Google Cloud Platform 以外の VM を使用している場合、独自の OAuth 2.0 認証トークンを作成して Google API にアクセスできます。OAuth 2.0 を使用して Google API にアクセスするでは、Google が提供する OAuth 2.0 ライブラリで Google API を呼び出す方法について説明しています。Google での OAuth 2.0 の使用法を示す対話形式のデモ(独自のクライアント認証情報を使用するオプションも含む)を参照するには、OAuth 2.0 Playground を試してください。

アプリで他の Google サービスのユーザーデータを呼び出す場合、OAuth 2.0 for Web Server Applications を設定する必要があります。たとえば、Google ドライブからユーザーのデータを取得し、アプリで使用したい場合、OAuth 2.0 for Web Server Applications を使用して特定のデータを共有しながら、ユーザー名やパスワードなどの他のデータは非公開のままにします。

G Suite ドメイン全体の権限の委任

G Suite ドメインがある場合、G Suite ドメインの管理者は、G Suite ドメインのユーザーに代わってユーザーデータにアクセスするアプリケーションを承認できます。たとえば、Google Calendar API を使用して G Suite ドメイン内のすべてのユーザーのカレンダーに予定を追加するアプリケーションの場合、ユーザーの代わりにサービス アカウントを使用して Google Calendar API にアクセスします。

ドメイン内のユーザーに代わってデータにアクセスすることをサービス アカウントに承認することは、サービス アカウントへの「ドメイン全体の権限の委任」と呼ばれることもあります。これも OAuth 2.0 を使用し、G Suite ドメインの管理者がサービス アカウントにドメイン全体の権限を承認することを必要とします。

G Suite ドメイン全体の権限の委任ページには、実装例が記載されています。OAuth 2.0 を使用してドメイン コンシューマ シナリオを設定する方法の詳細については、Google アカウントの認証と承認を参照してください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

PHP の App Engine フレキシブル環境に関するドキュメント