テナントのアクセス制御
Identity Platform には、テナント、ユーザー、認証トークンを管理するための管理 API が用意されています。Identity and Access Management を利用すると、これらの API を使用して不要なアクセスを防ぐことができます。
アクセス権の付与、変更、取り消し
テナント リソースに対するロールをユーザーに付与する手順は、次のとおりです。
Google Cloud コンソールで Identity Platform の [テナント] ページを開きます。
[テナント] ページに移動リストからテナントを選択します。
右側の情報パネルで [権限] タブに切り替えます。
[プリンシパルを追加] をクリックしてユーザーに新しいロールを付与するか、リストを使用して既存のユーザーのアクセス権を変更または取り消します。
IAM を使用したアクセス制御の詳細については、IAM のドキュメントをご覧ください。 リソースのアクセス制御ポリシーを設定するには、setIamPolicy
メソッドを使用します。
API 権限
次の表は、Identity Platform API で各メソッドを呼び出すために必要なロールを示したものです。ロールはテナント リソースに割り当てる必要があります。
サービス | メソッド | 役割 |
---|---|---|
google.cloud.identitytoolkit.v1.AccountManagementService |
GetOobCode | 編集者 |
SetAccountInfo | 編集者 | |
UploadAccount | 編集者 | |
DeleteAccount | 編集者 | |
DownloadAccount | 閲覧者 | |
GetAccountInfo | 閲覧者 | |
QueryUserInfo | 閲覧者 | |
google.cloud.identitytoolkit.v1.AuthenticationService |
SignUp | 編集者 |
google.cloud.identitytoolkit.admin.v2.ProjectConfigService |
CreateDefaultSupportedIdpConfig | 編集者 |
CreateInboundSamlConfig | 編集者 | |
CreateOAuthIdpConfig | 編集者 | |
CreateOutboundSamlConfig | 編集者 | |
DeleteDefaultSupportedIdpConfig | 編集者 | |
DeleteInboundSamlConfig | 編集者 | |
DeleteOAuthIdpConfig | 編集者 | |
DeleteOutboundSamlConfig | 編集者 | |
GetDefaultSupportedIdpConfig | 閲覧者 | |
GetInboundSamlConfig | 閲覧者 | |
GetOAuthIdpConfig | 閲覧者 | |
GetOutboundSamlConfig | 閲覧者 | |
ListDefaultSupportedIdpConfigs | 閲覧者 | |
ListInboundSamlConfigs | 閲覧者 | |
ListOAuthIdpConfigs | 閲覧者 | |
ListOutboundSamlConfigs | 閲覧者 | |
UpdateDefaultSupportedIdpConfig | 編集者 | |
UpdateInboundSamlConfig | 編集者 | |
UpdateOAuthIdpConfig | 編集者 | |
UpdateOutboundSamlConfig | 編集者 | |
google.cloud.identitytoolkit.admin.v2.TenantManagementService |
CreateTenant | 編集者(親プロジェクト上) |
DeleteTenant | 編集者 | |
UpdateTenant | 編集者 | |
GetTenant | 閲覧者 | |
ListTenants | 閲覧者(親プロジェクト上) |