ユーザーの ID

このページでは、Google Cloud にアクセスできるように組織内のユーザーの ID を構成する方法について説明します。ユーザーがアプリケーションの認証に使用する ID については説明しません。アプリケーションでユーザーの認証を行う方法については、顧客 ID とアクセス管理(CIAM)について説明している Identity Platform のドキュメントをご覧ください。

ユーザーが Google Cloud にアクセスするには、Google Cloud が認識できる ID が必要です。Google Cloud がユーザー ID を認識できるように ID を構成するには、いくつかの方法があります。

Cloud Identity アカウントまたは Google Workspace アカウント

Cloud Identity または Google Workspace を使用して管理対象のユーザー アカウントを作成できます。これらのアカウントはライフサイクルと構成を制御するため、管理対象アカウントと呼ばれます。これらのアカウントのユーザーは、Google Cloud で認証を行い、Google Cloud リソースの使用許可を得ることができます。

Cloud Identity と Google Workspace は、共通の技術プラットフォームを共有します。どちらのプロダクトにも、ユーザー、グループ、認証を管理するために同様の機能が用意されています。

Cloud Identity または Google Workspace で管理される特権管理者アカウントのみが、管理対象外の一般ユーザー向けアカウントを持つユーザーを招待して、その一般ユーザー向けアカウントを管理対象アカウントに移行できます。

Cloud Identity または Google Workspace を使用するには、次の操作を行います。

フェデレーション ユーザー ID

ID を連携させると、ユーザーが既存の ID と認証情報を使用して Google サービスにログインできるようになります。Google Cloud で ID を連携するには、いくつかの方法があります。

Cloud Identity または Google Workspace を使用した連携

ID を Cloud Identity または Google Workspace と連携させると、ユーザーが Google サービスへのアクセス時にパスワードの入力を求められることはありません。代わりに、外部 ID プロバイダ(IdP)にリダイレクトされます。

このタイプの ID 連携を使用するには、ユーザーは外部 IdP の外部 ID と Cloud Identity または Google Workspace で対応する Google アカウントを持っている必要があります。通常は同じメールアドレスを使用します。これらのアカウントの同期を維持するには、Google Cloud Directory Sync(GCDS)などのツールを使用するか、外部の信頼できるソースを使用してアカウントをプロビジョニングします。たとえば、Azure ADActive Directory でアカウントのプロビジョニングを設定できます。

Cloud Identity または Google Workspace を使用した連携の詳細については、シングル サインオンをご覧ください。

Workforce Identity 連携

Workforce Identity 連携では、外部 ID プロバイダ(IdP)を使用して、ワークフォース(従業員、パートナー、請負業者などのユーザー グループ)を IAM を使用して認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。Workforce Identity 連携では、Cloud Identity の Google Cloud Directory Sync(GCDS)とは異なり、既存の IdP から Google Cloud ID にユーザー ID を同期する必要はありません。Workforce Identity 連携は、Google Cloud の ID 機能を拡張して、同期のない属性ベースのシングル サインオンをサポートします。

Workforce Identity 連携の詳細については、Workforce Identity 連携の概要をご覧ください。

次のステップ