Google Workspaceの統合

Identity Security Posture Management(ISPM)をGoogle Workspaceに統合します。

  1. プロジェクトを作成する
  2. サービスアカウントを作成する
  3. サービスアカウントにサービス使用状況閲覧者ロールを追加する
  4. サービスアカウントのキーを作成する
  5. APIアクセスを有効にする
  6. サービスアカウントに対してドメイン全体の委任を構成する
  7. ISPMとパラメーターを共有する

開始する前に

Google Workspace特権管理者の権限があることを確認してください。

プロジェクトを作成する

  1. スーパー管理者としてGoogle Cloudコンソールにサインインし、[Navigation menu(ナビゲーションメニュー)]を開きます。

  2. [IAM & Admin(IAMと管理者)][Manage Resources(リソースの管理)]に移動します。

    ナビゲーションメニュー >[IAM & Admin(IAMと管理者)]>[Manage Resources(リソースの管理)]に進む

  3. [+ Create Project(プロジェクトを作成)]をクリックします。

  4. [Project name(プロジェクト名)][Organization(組織)][Location(場所)]などの必要な情報を入力します。

  5. [Create(作成)]をクリックします。

サービスアカウントを作成する

  1. Navigation menu(ナビゲーションメニュー)を開き、[IAM & Admin(IAMと管理者)] [Service Accounts(サービスアカウント)]に移動します。

  2. ページ上部のプロジェクトリストから、先ほど作成したプロジェクトを選択します。

    プロジェクト

  3. [Create service account(サービスアカウントを作成する)]をクリックします。

  4. [Service account details(サービスアカウントの詳細)]セクションに次の情報を入力します。

    1. サービスアカウント名:名前を入力します。アカウント名をコピーして保存します。後で必要になります。

    2. サービスアカウントID:自動生成されたサービスアカウントIDはそのまま使用しても、変更しても構いません。

    3. サービスアカウントの説明:アカウントの簡単な説明を入力します。

  5. [Create and continue(作成して続行)]をクリックします。

  6. [Grant this service account access to project(このサービスアカウントにプロジェクトへのアクセスを許可する)]セクションで、[Continue(続行)]をクリックします。ロールは追加しないでください。

  7. 任意。[Grant users access to this service account (Optional)(このサービスアカウントにユーザーアクセスを付与する(任意)]セクションで、このサービスを所有する、またはこのサービスにアクセスできるユーザーを追加します。

  8. [Done(完了)]をクリックします。

サービスアカウントにサービス使用状況閲覧者ロールを追加する

  1. 作成したプロジェクトを選択します。
  2. Navigation menu(ナビゲーションメニュー)を開き、[IAM & Admin(IAMと管理者)][IAM]に移動します。
  3. [Grant access(アクセスを許可)]をクリックします。
  4. [New Principals(新しいプリンシパル)]に、作成したサービスアカウントのユーザー名を入力します。
  5. [Select a role(ロールの選択)][Service Usage Viewer(サービス使用状況閲覧者)]を検索して選択します。
  6. [Save(保存)]をクリックします。

サービスアカウントのキーを作成する

  1. [Navigation menu(ナビゲーションメニュー)]を開き、[IAM & Admin(IAMと管理者)][Service Accounts(サービスアカウント)]に移動します。
  2. 新しいサービスアカウントで、[Actions(アクション)]列の下にあるメニューを開きます。
  3. [Manage keys(キーを管理する)]を選択します。
  4. [Keys(キー)]ページで、[Add key(キーを追加)]をクリックします。
  5. [Create new key(キーを新規作成)]を選択します。
  6. キータイプとして[JSON]を選択します。
  7. [Create(作成)]をクリックします。これにより、コンピューターにJSONファイルがダウンロードされます。このJSONファイルには、サービスアカウントがGoogle Workspaceにアクセスするための資格情報が含まれています。後で使用するためにこのファイルを保持します。
  8. [Close(閉じる)]をクリックします。

APIアクセスを有効にする

  1. ナビゲーションメニューを開き、[APIs & Services(APIとサービス)] [Enabled APIs & services(APIとサービスを有効化する)]に移動します。
  2. [Enabled APIs & services(有効なAPIとサービス)]ページで、(まだ有効化されていない場合は)以下の手順によって[Admin SDK API][Service Usage API][Cloud Identity API]を有効にします。

    1. [Enable APIs and services(APIとサービスを有効にする)]をクリックします。

    2. 検索バーを使用してAPIを検索し、選択します。[Cloud Identity API]の場合は、Cloud Identityを検索します。

    3. そのAPIに対応するタイルを選択します。

    4. 特定のAPIを選択します。

    5. [Enable(有効化)]をクリックします。

サービスアカウントに対してドメイン全体の委任を構成する

  1. Google Workspace管理コンソールにサインインし、[Navigation menu(ナビゲーションメニュー)]を開きます。
  2. [Security(セキュリティ)][Access and data control(アクセスおよびデータ制御)][API controls(API制御)]に移動します。
  3. [Domain wide delegation(ドメイン全体の委任)]セクションで、[MANAGE DOMAIN WIDE DELEGATION(ドメイン全体の委任を管理)]をクリックします。
  4. [Add new(新規追加)]をクリックします。
  5. [Client ID(クライアントID)]フィールドにclient_idの値を入力します。この値は、サービスアカウントを作成する際に保存した資格情報JSONファイルに記載されています。

  6. [OAuth Scopes(OAuthスコープ)]フィールドに、以下のスコープをカンマ区切り値として入力します。

    コピー 
    \https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.device.mobile.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly,https://www.googleapis.com/auth/admin.directory.orgunit.readonly,https://www.googleapis.com/auth/admin.directory.customer.readonly,https://www.googleapis.com/auth/cloud-platform.read-only,https://www.googleapis.com/auth/cloud-identity.inboundsso.readonly,https://www.googleapis.com/auth/cloud-identity.policies.readonly
  7. [Authorize(認可)]をクリックします。

パラメーターをISPMと共有する

  1. Identity Security Posture Managementコンソールで[Settings(設定)][Sources gallery(ソースギャラリー)]に移動します。

  2. [Google Workspace]を選択します。
  3. 以下のパラメーターを入力します。
    • [Source name(ソース名)]:このコネクターの名前を入力します。
    • [Super admin email address(特権管理者のメールアドレス)]:orgでGoogle Workspaceの特権管理者権限を持つユーザーのメールアドレス。
    • [Credentials JSON(資格情報JSON)]サービスアカウントを作成するセクションで作成したファイルをアップロードします。
  4. [Submit(送信)]をクリックします。

関連項目

Google Cloud Platformの統合