Codelab: Google Workspace のドメインの所有権の証明の自動化

ドメインの所有権の証明を自動化する理由

Cloud Channel API を使用して Google Workspace の利用資格を大規模にプロビジョニングすることはできますが、サービスを有効にするために、顧客は次の操作を行う必要があります。

利用規約に同意する
ドメインの所有権を検証する
MX レコードを設定する

新しく作成された顧客は、（admin.google.com で）管理コンソールに初めてアクセスするときに、ガイド付きの要件のプロセスに従います。

ドメインの DNS レコードにプログラムによってアクセスできる場合（ドメインを顧客に再販する場合など）は、手順 2 と 3 を自動化して有効化率を高めることができます。これらの手順には、通常、技術的な知識が必要なためです。

この Codelab では、Site Verification API を使用してこの自動化を実装する方法について説明します。

準備

API 設定 Codelab を完了して Google Cloud プロジェクトを設定し、Cloud Channel API を呼び出すサービスアカウントを作成します。
チャネルサービスのオペレーションをご確認ください。
この Codelab では、Test Partner Sales Console を使用することをおすすめします。

また、この Codelab は、Workspace のエンドツーエンドのプロビジョニング Codelab を完了していることを前提としています。

概要

Google Workspace の利用資格のドメインの所有権を証明するには、いくつかの API 呼び出しが必要です。

ドメインの所有権の証明を自動化する手順

Site Verification API は販売パートナー専用のものではありません。ドメインの所有権の証明は、さまざまな Google サービス（Search Console、Google 広告など）で使用されるシグナルです。このプロセスでは、販売パートナードメインの特権管理者をドメインの「オーナー」として設定し、顧客の最初の管理者を共同オーナーとして設定します。これらのコンセプトの詳細については、Site Verification API スタートガイドのページをご覧ください。

手順 1: Site Verification API を準備する

Google Cloud コンソールの API ライブラリセクションに移動し、Site Verification API を有効にします。
販売パートナードメインの特権管理者アカウントを使用して、[ドメイン全体の委任] ページに移動します。
- サービスアカウントを含む行で、[編集] をクリックします。
- [OAuth スコープ] フィールドに「https://www.googleapis.com/auth/siteverification」と入力します。
- [承認] をクリックします。
Site Verification API クライアントライブラリをインストールします。

手順 2: 確認トークンを取得する

この Codelab では、ドメインの検証に最も一般的である TXT DNS レコードを使用する方法について説明します。Site Verification API は、他の確認方法をサポートしています。

TXT レコードとして配置するトークンを取得するには、type=INET_DOMAIN と verificationMethod=DNS_TXT のトークンを取得する必要があります。

次のコードで、自分の情報を使用してこれらの変数を入力します。

jsonKeyFile: サービスアカウントの作成時に生成された JSON キーファイルへのパス。
resellerAdminUser: 販売パートナードメインの特権管理者のメールアドレス。
customerDomain: エンドユーザーのドメイン。この Codelab を Test Partner Sales Console で実行する場合は、ドメインがドメイン命名規則に従っていることを確認してください。

C#

次のインポートを使用します。

using Google.Apis.Auth.OAuth2;
using Google.Apis.Services;
using Google.Apis.SiteVerification.v1;
using Google.Apis.SiteVerification.v1.Data;

API クライアントを作成し、トークンを取得します。

// Set up credentials with user impersonation
ICredential credential = GoogleCredential.FromFile(jsonKeyFile)
                             .CreateScoped("https://www.googleapis.com/auth/siteverification")
                             .CreateWithUser(resellerAdminUser);

// Create the API service
var verificationService = new SiteVerificationService(new BaseClientService.Initializer{
    HttpClientInitializer = credential,
});

// Fetch the token
var request = new SiteVerificationWebResourceGettokenRequest {
  VerificationMethod = "DNS_TXT",
  Site = new SiteVerificationWebResourceGettokenRequest.SiteData {
    Type = "INET_DOMAIN",
    Identifier = customerDomain
  }
};
var response = verificationService.WebResource.GetToken(request).Execute();
string token = response.Token;
Console.WriteLine("Site Verification token: " + token);

Go

次のインポートを使用します。

import (
  "context"
  "fmt"
  "os"

  "golang.org/x/oauth2/google"
  "google.golang.org/api/option"
  "google.golang.org/api/siteverification/v1"
)

API クライアントを作成し、トークンを取得します。

ctx := context.Background()

// Set up credentials with user impersonation
jsonKey, _ := os.ReadFile(jsonKeyFile)
jwt, _ := google.JWTConfigFromJSON(jsonKey, "https://www.googleapis.com/auth/siteverification")
jwt.Subject = resellerAdminUser
tokenSource := jwt.TokenSource(ctx)

// Create the API Service
verificationService, _ := siteverification.NewService(ctx, option.WithTokenSource(tokenSource))

// Fetch the token
req := &siteverification.SiteVerificationWebResourceGettokenRequest{
  Site: &siteverification.SiteVerificationWebResourceGettokenRequestSite{
    Type:       "INET_DOMAIN",
    Identifier: customerDomain,
  },
  VerificationMethod: "DNS_TXT",
}
res, _ := verificationService.WebResource.GetToken(req).Do()
token := res.Token
fmt.Println("Site verification token: " + token)

Java

次のインポートを使用します。

import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import com.google.auth.oauth2.ServiceAccountCredentials;
import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.json.jackson2.JacksonFactory;
import com.google.api.services.siteVerification.SiteVerification;
import com.google.api.services.siteVerification.SiteVerificationScopes;
import com.google.api.services.siteVerification.model.SiteVerificationWebResourceGettokenRequest;
import com.google.api.services.siteVerification.model.SiteVerificationWebResourceGettokenResponse;
import com.google.api.services.siteVerification.model.SiteVerificationWebResourceResource;
import java.io.FileInputStream;
import java.util.Arrays;

API クライアントを作成し、トークンを取得します。

// Set up credentials with user impersonation
FileInputStream jsonKeyFileSteam = new FileInputStream(JSON_KEY_FILE);
GoogleCredentials credentials = ServiceAccountCredentials.fromStream(jsonKeyFileSteam)
                                    .createScoped("https://www.googleapis.com/auth/siteverification")
                                    .createDelegated(RESELLER_ADMIN_USER);

// Create the API service
SiteVerification verificationService = new SiteVerification.Builder(
    GoogleNetHttpTransport.newTrustedTransport(),
    JacksonFactory.getDefaultInstance(),
    new HttpCredentialsAdapter(credentials)).build();

// Fetch the token
SiteVerificationWebResourceGettokenRequest request =
    new SiteVerificationWebResourceGettokenRequest()
        .setVerificationMethod("DNS_TXT")
        .setSite(new SiteVerificationWebResourceGettokenRequest.Site()
            .setType("INET_DOMAIN")
            .setIdentifier(CUSTOMER_DOMAIN));
SiteVerificationWebResourceGettokenResponse response =
    verificationService.webResource().getToken(request).execute();
String token = response.getToken();
System.out.println("Site Verification token: " + token);

Node.js

次のインポートを使用します。

const {google} = require('googleapis');

API クライアントを作成し、トークンを取得します。

// Set up credentials with user impersonation
const authJWT = new JWT({
  keyFile: jsonKeyFile,
  scopes: ['https://www.googleapis.com/auth/siteverification'],
  subject: resellerAdminUser,
});

// Create the API service
const verificationService = google.siteVerification({version: 'v1', auth: authJWT});

// Fetch the token
const { data } = await verificationService.webResource.getToken({
  requestBody: {
    site: {
      type: 'INET_DOMAIN',
      identifier: customerDomain,
    },
    verificationMethod: 'DNS_TXT',
  }
});
const token = data.token;
console.log(`Site Verification token: ${token}`);

PHP

API クライアントを作成し、トークンを取得します。

// Set up credentials with user impersonation
$client = new Google_Client();
$client->setAuthConfig($JSON_KEY_FILE);
$client->setSubject($RESELLER_ADMIN_USER);
$client->setScopes('https://www.googleapis.com/auth/siteverification');

// Create the API service
$verificationService = new Google_Service_SiteVerification($client);

// Fetch the token
$request = new Google_Service_SiteVerification_SiteVerificationWebResourceGettokenRequest([
  'verificationMethod' => 'DNS_TXT',
  'site' => [
    'type' => 'INET_DOMAIN',
    'identifier' => $CUSTOMER_DOMAIN
  ]
]);
$response = $verificationService->webResource->getToken($request);
$token = $response->token;
print 'Site Verification token: ' . $token . PHP_EOL;

Python

次のインポートを使用します。

from google.oauth2 import service_account
from apiclient.discovery import build

API クライアントを作成し、トークンを取得します。

# Set up credentials with user impersonation
credentials = service_account.Credentials.from_service_account_file(
    JSON_KEY_FILE, scopes=["https://www.googleapis.com/auth/siteverification"])
credentials_delegated = credentials.with_subject(RESELLER_ADMIN_USER)

# Create the API service
verification_service = build(serviceName="siteVerification", version="v1",
    credentials=credentials_delegated)

# Fetch the token
response = verification_service.webResource().getToken(
  body={
    "site": {
      "type": "INET_DOMAIN",
      "identifier": CUSTOMER_DOMAIN
    },
    "verificationMethod": "DNS_TXT"
  }).execute()
token = response["token"]
print("Site Verification token: " + token)

手順 3: 確認トークンを配置する

顧客のドメインの DNS レコードに TXT レコードとしてトークンを追加するコードを記述します。

新しいドメインの場合、これは、Gmail に必要な MX レコードを設定する良い機会です。

手順 4: ドメインの所有権の証明をトリガーする

トークンが TXT レコードとして配置されたら、Site Verification API を呼び出して検証をトリガーできます。これには webResource.insert() を呼び出します。

想定したトークンが見つからない場合、呼び出しは 400 エラーで失敗します。呼び出しが成功するまで指数バックオフの再試行戦略を実装して、DNS 伝播の遅延を補正できます。

呼び出しがエラーなしで返された場合、Site Verification API はドメインが検証済みとみなされ、webResource の owners フィールド内のメールアドレスはすべて確認済み所有者になります。

検証ステータスが顧客の Google Workspace アカウントに伝播されるまでに、約 3 時間かかる場合があります。ステータスを強制的に伝播するには、顧客の管理者（provisionCloudIdentity の呼び出し時に作成される）を webResource の owner として設定します。

C#

// Set the customer's admin user as an owner to make sure the domain
// verification status is instantly propagated to the Workspace account
string[] owners = { "admin@" + customerDomain };

var resource = new SiteVerificationWebResourceResource {
  Site = new SiteVerificationWebResourceResource.SiteData {
    Type = "INET_DOMAIN",
    Identifier = customerDomain
  },
  Owners = owners
};

resource = verificationService.WebResource.Insert(resource, "DNS_TXT").Execute();
Console.WriteLine("=== Domain has been verified");

Go

// Set the customer's admin user as an owner to make sure the domain
// verification status is instantly propagated to the Workspace account
resource := &siteverification.SiteVerificationWebResourceResource{
  Site: &siteverification.SiteVerificationWebResourceResourceSite{
    Type:       "INET_DOMAIN",
    Identifier: customerDomain,
  },
  Owners: []string{"admin@" + customerDomain},
}
resource, err := verificationService.WebResource.Insert("DNS_TXT", resource).Do()
if err != nil {
  fmt.Println(err)
} else {
  fmt.Println("=== Domain has been verified")
}

Java

// Set the customer's admin user as an owner to make sure the domain
// verification status is instantly propagated to the Workspace account
SiteVerificationWebResourceResource resource =
    new SiteVerificationWebResourceResource()
        .setSite(new SiteVerificationWebResourceResource.Site()
            .setIdentifier(CUSTOMER_DOMAIN)
            .setType("INET_DOMAIN"))
        .setOwners(Arrays.asList("admin@" + CUSTOMER_DOMAIN));

resource = verificationService.webResource().insert("DNS_TXT", resource).execute();
System.out.println("=== Domain has been verified");

Node.js

// Set the customer's admin user as an owner to make sure the domain
// verification status is instantly propagated to the Workspace account
await verificationService.webResource.insert({
  verificationMethod: 'DNS_TXT',
  requestBody: {
    site: {
      type: 'INET_DOMAIN',
      identifier: customerDomain,
    },
    owners: [`admin@${customerDomain}`],
  }
});
console.log('=== Domain has been verified');

PHP

// Set the customer's admin user as an owner to make sure the domain
// verification status is instantly propagated to the Workspace account
$resource = new Google_Service_SiteVerification_SiteVerificationWebResourceResource([
  'site' => [
    'type' => 'INET_DOMAIN',
    'identifier' => $CUSTOMER_DOMAIN,
  ],
  'owners' => ['admin@' . $CUSTOMER_DOMAIN]
]);

$resource = $verificationService->webResource->insert('DNS_TXT', $resource);
print '=== Domain has been verified' . PHP_EOL;

Python

# Set the customer's admin user as an owner to make sure the domain
# verification status is instantly propagated to the Workspace account
resource = verification_service.webResource().insert(
  verificationMethod="DNS_TXT",
  body={
    "site": {
      "type": "INET_DOMAIN",
      "identifier": CUSTOMER_DOMAIN
    },
    "owners": ["admin@" + CUSTOMER_DOMAIN]
  }).execute()
print("=== Domain has been verified")