アプリケーションの承認

App Engine でアプリケーションを承認するには、各エンドユーザーではなくアプリケーションに属するアカウントであるサービス アカウントが必要です。サービス アカウントは、Google API や他のサービスの呼び出しを承認するために使用されます。

サービス アカウントによる Google API の呼び出しを承認するには、次の 3 つの方法があります。

承認サービス 目的
アプリケーションのデフォルト認証情報 アプリケーションのデフォルト認証情報は、Google Cloud Platform プロジェクトの組み込みのサービス アカウントを使用します。これは Google Cloud Platform API に接続する上で最も簡単な方法です。
OAuth 2.0 による承認 OAuth 2.0 による承認は、Google Cloud 以外のアプリ ホスティング、VM、またはサービスを承認する上で最も優れた方法です。独自の OAuth 2.0 承認トークンを作成し、Google API にアクセスできます。
G Suite ドメイン全体の権限の委任 ドメイン全体の権限の委任を使用すると、ドメイン全体のアプリケーション データへのアクセスを、サードパーティ アプリケーションに対して許可できます。これは、OAuth 2.0 に基づいて G Suite アカウントのドメイン全体へのアクセスを承認します。

アプリケーションのデフォルト認証情報

アプリケーションのデフォルト認証情報により、他の Google Cloud Platform API を呼び出すためのサービス アカウント認証情報を最も簡単に取得して使用できます。アプリケーションのデフォルト認証情報では、App Engine または Compute Engine で実行されているプロジェクトに対して組み込みのサービス アカウントが使用されます。

アプリケーションのデフォルト認証情報は、ユーザーに関係なく、アプリケーションで API を呼び出す際に同じ ID と認証のレベルを使用する必要があるケースに最適です。これは、特に App Engine、Google Kubernetes Engine、または Compute Engine の仮想マシンにデプロイされるアプリケーションをビルドする場合に、Google Cloud Platform API への呼び出しを承認するために推奨されているアプローチです。

Node.js でアプリケーションのデフォルト認証情報を使用する例は、Node.js 用 Google API クライアント ライブラリをご覧ください。Google Cloud Platform 上の Node.js 用 github リポジトリに、Google Cloud Platform サービスで Node.js を使用する方法が記載されています。

OAuth 2.0 による承認

アプリのホスティングや Google Cloud Platform 以外の VM を使用している場合、独自の OAuth 2.0 承認トークンを作成して Google API にアクセスできます。OAuth 2.0 を使用して Google API にアクセスするでは、Google が提供する OAuth 2.0 ライブラリで Google API を呼び出す方法について説明しています。Google での OAuth 2.0 の使用法を示す対話形式のデモ(独自のクライアント認証情報を使用するオプションも含む)を参照するには、OAuth 2.0 Playground を試してください。

アプリで他の Google サービスのユーザーデータを呼び出す場合、OAuth 2.0 for Web Server Applications を設定する必要があります。たとえば、Google ドライブからユーザーのデータを取得し、アプリで使用する場合、OAuth 2.0 for Web Server Applications を使用して特定のデータを共有しながら、ユーザー名やパスワードなどの他のデータは非公開のままにします。

G Suite ドメイン全体の権限の委任

G Suite ドメインがある場合、G Suite ドメインの管理者は、G Suite ドメインのユーザーに代わってユーザーデータにアクセスするアプリケーションを承認できます。たとえば、Google Calendar API を使用して G Suite ドメイン内のすべてのユーザーのカレンダーに予定を追加するアプリケーションの場合、ユーザーの代わりにサービス アカウントを使用して Google Calendar API にアクセスします。

ドメイン内のユーザーに代わってデータにアクセスすることをサービス アカウントに承認することは、サービス アカウントへの「ドメイン全体の権限の委任」と呼ばれることもあります。これも OAuth 2.0 を使用し、G Suite ドメインの管理者がサービス アカウントにドメイン全体の権限を承認することを必要とします。

G Suite ドメイン全体の権限の委任ページには、実装例が記載されています。OAuth 2.0 を使用してドメイン コンシューマ シナリオを設定する方法については、Google アカウントの認証と承認をご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Node.js 用 App Engine スタンダード環境に関するドキュメント