テナントのアクセス制御

Identity Platform には、テナント、ユーザー、認証トークンを管理するための管理 API が用意されています。Identity and Access Management を利用すると、これらの API を使用して不要なアクセスを防ぐことができます。

アクセス権の付与、変更、取り消し

テナント リソースに対するロールをユーザーに付与する手順は、次のとおりです。

  1. Google Cloud コンソールで Identity Platform の [テナント] ページを開きます。
    [テナント] ページに移動

  2. リストからテナントを選択します。

  3. 右側の情報パネルで [権限] タブに切り替えます。

    アクセス制御ペイン

  4. [プリンシパルを追加] をクリックしてユーザーに新しいロールを付与するか、リストを使用して既存のユーザーのアクセス権を変更または取り消します。

IAM を使用したアクセス制御の詳細については、IAM のドキュメントをご覧ください。 リソースのアクセス制御ポリシーを設定するには、setIamPolicy メソッドを使用します。

API 権限

次の表は、Identity Platform API で各メソッドを呼び出すために必要なロールを示したものです。ロールはテナント リソースに割り当てる必要があります。

サービス メソッド 役割
google.cloud.identitytoolkit.v1.AccountManagementService GetOobCode 編集者
SetAccountInfo 編集者
UploadAccount 編集者
DeleteAccount 編集者
DownloadAccount 閲覧者
GetAccountInfo 閲覧者
QueryUserInfo 閲覧者
google.cloud.identitytoolkit.v1.AuthenticationService SignUp 編集者
google.cloud.identitytoolkit.admin.v2.ProjectConfigService CreateDefaultSupportedIdpConfig 編集者
CreateInboundSamlConfig 編集者
CreateOAuthIdpConfig 編集者
CreateOutboundSamlConfig 編集者
DeleteDefaultSupportedIdpConfig 編集者
DeleteInboundSamlConfig 編集者
DeleteOAuthIdpConfig 編集者
DeleteOutboundSamlConfig 編集者
GetDefaultSupportedIdpConfig 閲覧者
GetInboundSamlConfig 閲覧者
GetOAuthIdpConfig 閲覧者
GetOutboundSamlConfig 閲覧者
ListDefaultSupportedIdpConfigs 閲覧者
ListInboundSamlConfigs 閲覧者
ListOAuthIdpConfigs 閲覧者
ListOutboundSamlConfigs 閲覧者
UpdateDefaultSupportedIdpConfig 編集者
UpdateInboundSamlConfig 編集者
UpdateOAuthIdpConfig 編集者
UpdateOutboundSamlConfig 編集者
google.cloud.identitytoolkit.admin.v2.TenantManagementService CreateTenant 編集者(親プロジェクト上)
DeleteTenant 編集者
UpdateTenant 編集者
GetTenant 閲覧者
ListTenants 閲覧者(親プロジェクト上)