このページでは、Google Cloud にアクセスできるように組織内のユーザーの ID を構成する方法について説明します。顧客がアプリケーションの認証に使用する ID については説明しません。アプリケーションに対して顧客を認証する方法については、顧客 ID とアクセス管理(CIAM)について説明する Identity Platform のドキュメントをご覧ください。
ユーザーが Google Cloud にアクセスするには、Google Cloud で認識される ID が必要です。Google Cloud が認識できるように ID を構成するには、いくつかの方法があります。
- Cloud Identity アカウントまたは Google Workspace アカウントを作成する
- 次のいずれかのフェデレーション ID 戦略を設定する。
Cloud Identity アカウントまたは Google Workspace アカウント
Cloud Identity または Google Workspace を使用して、管理対象ユーザー アカウントを作成できます。これらのアカウントはライフサイクルと構成を制御するため、管理対象アカウントと呼ばれます。これらのアカウントのユーザーは、Google Cloud に対する認証を行い、Google Cloud リソースの使用が承認されます。
Cloud Identity と Google Workspace は、共通の技術プラットフォームを共有します。どちらのサービスでも、ユーザー、グループ、認証を管理するための同様の機能を利用できます。
Cloud Identity または Google Workspace の使用を開始するには、次の操作を行います。
- Cloud Identity と Google Workspace を使用してユーザーの ID を作成する方法については、組織向け Google をご覧ください。
- Cloud Identity の設定方法を確認する。
- Google Workspace の設定方法を確認する。
フェデレーション ユーザー ID
ID を連携することで、ユーザーが既存の ID と認証情報を使用して Google サービスにログインできるようになります。Google Cloud で ID を連携するには、いくつかの方法があります。
Cloud Identity または Google Workspace を使用した連携
ID を Cloud Identity または Google Workspace と連携する場合、ユーザーが Google サービスにアクセスする際にパスワードの入力を求めるメッセージは表示されません。代わりに、外部 ID プロバイダ(IdP)にリダイレクトして認証できます。
このタイプの ID 連携を使用するには、ユーザーは外部 IdP の外部 ID と Cloud Identity または Google Workspace の対応する Google アカウントを持っている必要があります。通常は同じメールアドレスを使用します。これらのアカウントの同期を維持するには、Google Cloud Directory Sync(GCDS)などのツールを使用するか、外部の信頼できるソースを使用してアカウントをプロビジョニングします。たとえば、Azure AD や Active Directory でアカウントのプロビジョニングを設定できます。
Cloud Identity または Google Workspace を使用した連携の詳細については、シングル サインオンをご覧ください。
Workforce Identity 連携
Workforce Identity 連携では、外部 ID プロバイダ(IdP)を使用して、IAM を使用して従業員(従業員、パートナー、請負業者などのユーザー グループ)を認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。Workforce Identity 連携では、Cloud Identity の Google Cloud Directory Sync(GCDS)とは異なり、既存の IdP から Google Cloud ID にユーザー ID を同期する必要はありません。Workforce Identity 連携は、Google Cloud の ID 機能を拡張して、同期のない属性ベースのシングル サインオンをサポートします。
Workforce Identity 連携の詳細については、Workforce Identity 連携の概要をご覧ください。
次のステップ
- ユーザー認証情報を使用して Google API に対する認証を行う方法を学習する。
- ユーザーにリソースへのアクセスを許可する方法を学習する。