このページでは、Google Cloud にアクセスできるように組織内のユーザーの ID を構成する方法について説明します。ユーザーがアプリケーションの認証に使用する ID については説明しません。アプリケーションでユーザーの認証を行う方法については、顧客 ID とアクセス管理(CIAM)について説明している Identity Platform のドキュメントをご覧ください。
ユーザーが Google Cloud にアクセスするには、Google Cloud が認識できる ID が必要です。Google Cloud がユーザー ID を認識できるように ID を構成するには、いくつかの方法があります。
- Cloud Identity アカウントまたは Google Workspace アカウントを作成する
- 次のいずれかのフェデレーション ID 戦略を設定する:
Cloud Identity アカウントまたは Google Workspace アカウント
Cloud Identity または Google Workspace を使用して管理対象のユーザー アカウントを作成できます。これらのアカウントはライフサイクルと構成を制御するため、管理対象アカウントと呼ばれます。これらのアカウントのユーザーは、Google Cloud で認証を行い、Google Cloud リソースの使用許可を得ることができます。
Cloud Identity と Google Workspace は、共通の技術プラットフォームを共有します。どちらのプロダクトにも、ユーザー、グループ、認証を管理するために同様の機能が用意されています。
Cloud Identity または Google Workspace で管理される特権管理者アカウントのみが、管理対象外の一般ユーザー向けアカウントを持つユーザーを招待して、その一般ユーザー向けアカウントを管理対象アカウントに移行できます。
Cloud Identity または Google Workspace を使用するには、次の操作を行います。
- Cloud Identity と Google Workspace を使用してユーザーの ID を作成する方法については、組織向け Google をご覧ください。
- Cloud Identity の設定方法を確認する。
- Google Workspace の設定方法を確認する。
フェデレーション ユーザー ID
ID を連携させると、ユーザーが既存の ID と認証情報を使用して Google サービスにログインできるようになります。Google Cloud で ID を連携するには、いくつかの方法があります。
Cloud Identity または Google Workspace を使用した連携
ID を Cloud Identity または Google Workspace と連携させると、ユーザーが Google サービスへのアクセス時にパスワードの入力を求められることはありません。代わりに、外部 ID プロバイダ(IdP)にリダイレクトされます。
このタイプの ID 連携を使用するには、ユーザーは外部 IdP の外部 ID と Cloud Identity または Google Workspace の対応する Google アカウントを持っている必要があります。通常は同じメールアドレスを使用します。これらのアカウントの同期を維持するには、Google Cloud Directory Sync(GCDS)などのツールを使用するか、外部の信頼できるソースを使用してアカウントをプロビジョニングします。たとえば、Microsoft Entra ID や Active Directory でアカウントのプロビジョニングを設定できます。
Cloud Identity または Google Workspace を使用した連携の詳細については、シングル サインオンをご覧ください。
Workforce Identity 連携
Workforce Identity 連携では、外部 ID プロバイダ(IdP)を使用して、ワークフォース(従業員、パートナー、請負業者などのユーザー グループ)を IAM を使用して認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。Workforce Identity 連携では、Cloud Identity の Google Cloud Directory Sync(GCDS)とは異なり、既存の IdP から Google Cloud ID にユーザー ID を同期する必要はありません。Workforce Identity 連携は、Google Cloud の ID 機能を拡張して、同期のない属性ベースのシングル サインオンをサポートします。
Workforce Identity 連携の詳細については、Workforce Identity 連携の概要をご覧ください。
次のステップ
- ユーザーの認証情報を使用して Google API の認証を行う方法を確認する。
- ユーザーにリソースへのアクセス権を付与する方法を確認する。