このガイドでは、Identity-Aware Proxy(IAP)OAuth Admin API を使用して作成された OAuth 2.0 クライアントから、IAP によって自動的にデプロイされる Google 管理の OAuth 2.0 クライアントに移行する方法について説明します。
変更内容
IAP OAuth Admin API は非推奨になります。これには、OAuth クライアントとブランドの手動管理用の次の API が含まれます。
OAuth 2.0 クライアントを手動で管理する代わりに、IAP は必要に応じて OAuth クライアントを自動的に作成して管理します。この変更により、クライアント管理が簡素化され、手動エラーが減少し、デプロイ プロセスが効率化されます。
変わらない点
この非推奨は、Compute Engine API、App Engine API、または Google Cloud コンソールを使用して手動で構成した OAuth クライアントには影響しません。
新しい OAuth ブランドとクライアント構成は引き続き作成でき、 Google Cloud コンソールを使用して管理できます。既存の構成は引き続き完全にサポートされます。
IAP OAuth Admin API を使用していない場合、この変更による影響はありません。
詳細な説明
2025 年 1 月 22 日をもって、IAP OAuth 2.0 クライアントの作成に使用される IAP OAuth 2.0 Admin API は非推奨となります。OAuth クライアントを構成する必要がなくなったため、IAP OAuth 2.0 Admin API は不要になりました。IAP は、ブラウザ アクセスに Google 管理の OAuth クライアントをデフォルトで使用するようになりました。また、OAuth 2.0 クライアントが明示的に構成されていない場合にも使用します。Google が管理する OAuth 2.0 クライアントは、ブラウザを通じて IAP 対応アプリケーションにアクセスするとき、同じ組織内のユーザーへのアクセスを制限します。
Identity-Aware Proxy(IAP)OAuth 2.0 Admin API の非推奨に伴い、新しい OAuth クライアントの作成や管理はできなくなります。この非推奨化の前に作成された OAuth クライアントは無効になりません。以前に作成した OAuth クライアントは引き続き使用できます。これらのクライアントは Google Cloud コンソールを使用して管理します。
IAP 2.0 Admin API を使用して作成された OAuth クライアントで構成されたアプリケーションがある場合、それらのアプリケーションは引き続き動作します。アプリケーションの変更は必要ありません。ただし、アプリケーションのデプロイ時に新しいクライアントを作成したり、既存のクライアントのクライアント シークレットを取得するように自動化を構成している場合は、自動化スクリプトを更新して、IAP OAuth 2.0 Admin API への依存関係を削除する必要があります。
Google が管理する OAuth 2.0 クライアントを使用する場合は、「プログラムによるアクセス」ガイドを使用して、これらのアプリケーションのプログラムによるアクセスを構成します。
Google マネージド OAuth 2.0 クライアントで満たされない要件がある場合は、1 つの OAuth クライアントを複数の IAP アプリケーションと共有できます。これにより、新しいアプリケーションごとにクライアントを手動で作成する必要がなくなります。
Marketplace チャネルの
自動化スクリプトを更新する
Terraform などのツールを使用して IAP の構成を自動化し、IAP OAuth 2.0 Admin API を使用する場合は、事前作成されたクライアントを使用するか、IAP で Google マネージド OAuth クライアントを使用するように自動化スクリプトを更新する必要があります。
Google マネージド OAuth2.0 クライアントを使用してアプリケーションのプログラムによるアクセスを構成する
IAP で保護されているアプリケーションがすでにあり、それらを Google マネージド OAuth 2.0 クライアントを使用するように移行する場合は、OAuth 2.0 クライアントを許可リストに登録することで、これらのアプリケーションのプログラムによるアクセスを構成できます。
IAP 対応リソースを移行する
Google マネージド OAuth 2.0 クライアントを使用するようにリソースを移行するには、移行するリソースのタイプ(Compute Engine リソースなど)の手順に沿って操作します。
IAP 対応の App Engine リソースを移行する
このセクションの手順に沿って、IAP が有効で OAuth 2.0 クライアントが構成されている App Engine リソースを移行します。
gcloud
手順に進む前に、gcloud CLI の最新バージョンを使用していることを確認してください。gcloud CLI のインストール手順については、gcloud CLI をインストールするをご覧ください。
Google Cloud CLI を使用して認証します。
gcloud auth login表示された URL をクリックしてログインします。
ログインしたら、表示される確認コードをコピーしてコマンドラインに貼り付けます。
次のコマンドを実行して、IAP で引き続き保護するアプリケーションを含むプロジェクトを指定します。
gcloud config set project PROJECT_ID次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
gcloud app describe --format="value(iap.oauth2ClientId)"プログラムによるアクセスを許可する場合は、前のコマンドのクライアント ID を保存します。
プログラムによるアクセスのために OAuth 2.0 クライアントを許可リストに登録するには、IAP 設定 API で読み取り、更新、書き込みオペレーションを実行します。
gcloud iap settings get --resource-type=app-engine --project=$PROJECT > settings.yamlsettings.yaml ファイルを更新し、前に取得した OAuth 2.0 クライアント ID を、例に示すように
programmaticClientsに追加します。accessSettings: oauthSettings: programmaticClients: - CLIENT_IDApp Engine アプリケーションに新しい設定を適用する
gcloud iap settings set settings.yaml --resource-type=app-engine --project=PROJECT_IDアプリを移行するには、次のコマンドを実行します。
gcloud iap web enable --resource-type=app-engine
API
次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://appengine.googleapis.com/v1/apps/PROJECT_ID?fields=iap"次のコマンドを実行して、既存の IAP 設定を
settings.jsonファイルに取得します。curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/appengine-PROJECT_ID:iapSettings" > settings.jsonsettings.jsonファイルを更新して、以前に保存した CLIENT_ID をプログラマティック クライアントとして追加します。{ "accessSettings": { "oauthSettings": { "programmaticClients": [ "CLIENT_ID" ] }, }, }次のコマンドを実行して、IAP 設定を更新します。
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/appengine-PROJECT_ID:iapSettings"次のコマンドを実行して
settings.jsonファイルを準備します。cat << EOF > settings.json { "iap": { "enabled":true } } EOF次のコマンドを実行して、アプリを移行します。
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"
IAP 対応の Compute Engine リソースを移行する
このセクションの手順を完了して、IAP が有効で OAuth 2.0 クライアントが構成されている Compute Engine リソースを移行します。
gcloud
手順に進む前に、gcloud CLI の最新バージョンを使用していることを確認してください。gcloud CLI のインストール手順については、gcloud CLI をインストールするをご覧ください。
Google Cloud CLI を使用して認証します。
gcloud auth login表示された URL をクリックしてログインします。
ログインしたら、表示される確認コードをコピーしてコマンドラインに貼り付けます。
次のコマンドを実行して、IAP で引き続き保護するアプリケーションを含むプロジェクトを指定します。
gcloud config set project PROJECT_ID次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
グローバル スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --global \ --format="value(iap.oauth2ClientId)"リージョン スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --region REGION_NAME \ --format="value(iap.oauth2ClientId)"プログラムによるアクセスのために OAuth 2.0 クライアントを許可リストに登録するには、IAP 設定 API で読み取り、更新、書き込みのオペレーションを実行します。
グローバル スコープ
gcloud iap settings get \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME > settings.yamlリージョン スコープ
gcloud iap settings get \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME \ --region=REGION_NAME > settings.yamlsettings.yaml ファイルを更新し、前に取得した OAuth 2.0 クライアント ID を、例に示すように
programmaticClientsに追加します。accessSettings: oauthSettings: programmaticClients: - CLIENT_IDCompute Engine アプリケーションに新しい設定を適用する
グローバル スコープ
gcloud iap settings set settings.yaml \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAMEリージョン スコープ
gcloud iap settings set settings.yaml \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME \ --region=REGION_NAMEアプリケーションを移行するには、グローバル スコープまたはリージョン スコープのコマンドを実行します。
グローバル スコープ
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --global \ --iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "リージョン スコープ
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --region REGION_NAME \ --iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "OAuth クライアント ID が設定されていないことを確認するには、次のグローバル スコープまたはリージョン スコープのコマンドを実行します。コマンドを実行したら、出力を確認して、OAuth クライアント ID フィールドが空であることを確認します。
グローバル スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --globalリージョン スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --region REGION_NAME
API
次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
グローバル スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"
リージョン スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"
次のコマンドを実行して、既存の IAP 設定を
settings.jsonファイルに取得します。グローバル スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json
リージョン スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json
settings.jsonファイルを更新して、以前に保存した CLIENT_ID をプログラマティック クライアントとして追加します。{ "accessSettings": { "oauthSettings": { "programmaticClients": [ "CLIENT_ID" ] }, }, }次のコマンドを実行して、IAP 設定を更新します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings"
次のコマンドを実行して
settings.jsonファイルを準備します。cat << EOF > settings.json { "iap": { "enabled":true, "oauth2ClientId": " ", "oauth2ClientSecret": " " } } EOF次のコマンドを実行して、IAP リソースを移行します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"
リージョン スコープ
curl -X PATCH
-H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"OAuth クライアント ID が設定されていないことを確認するには、次のグローバル スコープまたはリージョン スコープのコマンドを実行します。コマンドを実行したら、出力を確認して、OAuth クライアント ID フィールドが空であることを確認します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"
Terraform
既存の IAP 対応リソースを移行して Google 管理の OAuth クライアントを使用する場合は、oauth2_client_id フィールドと oauth2_client_secret フィールドを明示的に設定解除する必要があります。そのためには、これらのフィールドを単一の空白文字に更新します。
例:
resource "google_compute_backend_service" "default" {
name = "tf-test-backend-service-external"
protocol = "HTTP"
load_balancing_scheme = "EXTERNAL"
iap {
oauth2_client_id = " "
oauth2_client_secret = " "
}
}
oauth2_client_id フィールドと oauth2_client_secret フィールドは省略可能です。新しい IAP 対応リソースを使用している場合は、これらのフィールドを無視できます。
詳細については、Terraform のドキュメントをご覧ください。
IAP 対応の Cloud Run リソースを移行する
このセクションの手順を完了して、IAP が有効で OAuth 2.0 クライアントが構成されている Cloud Run リソースを移行します。
gcloud
手順に進む前に、最新バージョンの gcloud CLI があることを確認してください。gcloud CLI のインストール手順については、gcloud CLI をインストールするをご覧ください。
認証するには、Google Cloud CLI を使用して次のコマンドを実行します。
gcloud auth login表示された URL をクリックしてログインします。
ログインしたら、表示される確認コードをコピーしてコマンドラインに貼り付けます。
次のコマンドを実行して、IAP で引き続き保護するアプリケーションを含むプロジェクトを指定します。
gcloud config set project PROJECT_ID次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
グローバル スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --global \ --format="value(iap.oauth2ClientId)"リージョン スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --region REGION_NAME \ --format="value(iap.oauth2ClientId)"プログラムによるアクセスのために OAuth 2.0 クライアントを許可リストに登録するには、IAP 設定 API で読み取り、更新、書き込みのオペレーションを実行します。
グローバル スコープ
gcloud iap settings get \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME > settings.yamlリージョン スコープ
gcloud iap settings get \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME \ --region=REGION_NAME > settings.yamlsettings.yaml ファイルを更新し、前に取得した OAuth 2.0 クライアント ID を、例に示すように
programmaticClientsに追加します。accessSettings: oauthSettings: programmaticClients: - CLIENT_IDCompute Engine アプリケーションに新しい設定を適用する
グローバル スコープ
gcloud iap settings set settings.yaml \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAMEリージョン スコープ
gcloud iap settings set settings.yaml \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME \ --region=REGION_NAMEリソースを移行するには、グローバル スコープまたはリージョン スコープのコマンドを実行します。
グローバル スコープ
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --global \ --iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "リージョン スコープ
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --region REGION_NAME \ --iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "OAuth クライアント ID が設定されていないことを確認するには、次のグローバル スコープまたはリージョン スコープのコマンドを実行します。コマンドを実行したら、出力を確認して、OAuth クライアント ID フィールドが空であることを確認します。
グローバル スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --globalリージョン スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --region REGION_NAME
API
次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
グローバル スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"
リージョン スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"
次のコマンドを実行して、既存の IAP 設定を
settings.jsonファイルに取得します。グローバル スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json
リージョン スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json
settings.jsonファイルを更新して、以前に保存した CLIENT_ID をプログラマティック クライアントとして追加します。{ "accessSettings": { "oauthSettings": { "programmaticClients": [ "CLIENT_ID" ] }, }, }次のコマンドを実行して、IAP 設定を更新します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings"
次のコマンドを実行して
settings.jsonファイルを準備します。cat << EOF > settings.json { "iap": { "enabled":true, "oauth2ClientId": " ", "oauth2ClientSecret": " " } } EOF次のコマンドを実行して、リソースを移行します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"
リージョン スコープ
curl -X PATCH
-H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"OAuth クライアント ID が設定されていないことを確認するには、次のグローバル スコープまたはリージョン スコープのコマンドを実行します。コマンドを実行したら、出力を確認して、OAuth クライアント ID フィールドが空であることを確認します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"
IAP 対応の Google Kubernetes Engine リソースを移行する
次の IAP ブロックを BackendConfig カスタム リソース定義(CRD)に追加します。これにより、Google 管理の OAuth 2.0 クライアントで IAP が有効になります。
apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
name: config-default
namespace: my-namespace
spec:
iap:
enabled: true
サービス アカウントの JWT を使用して IAP に対して認証する
サービス アカウント JWT を使用すると、非推奨の OAuth Admin API を使用しなくても IAP に対する認証を行うことができます。
OAuth クライアントのシークレットを取得する
非推奨の OAuth Admin API を使用せずに OAuth クライアントのシークレットを取得するには、この Terraform サンプル(google_secret_manager_secret)の手順に沿って Secret Manager を使用します。
OAuth Admin API を使用しているかどうかを確認する
OAuth Admin API を使用しているかどうかを確認する手順は次のとおりです。
Google Cloud コンソールで、[IAP API] ページを開き、分析するプロジェクトを選択します。
IAP API ページに移動します[グラフを選択] リストで [API メソッド別のトラフィック量] を選択し、[OK] をクリックします。
[メソッド] セクションで、プレフィックス
google.cloud.iap.v1.IdentityAwareProxyOAuthServiceが付いているメソッドを探します。これは、プロジェクトが OAuth Admin API を使用していることを示します。