Google Workspaceの統合

Identity Security Posture Management(ISPM)をGoogle Workspaceに統合します。

  1. プロジェクトを作成する
  2. サービスアカウントを作成する
  3. サービスアカウントにロールを追加する
  4. サービスアカウントのキーを作成する
  5. APIアクセスを有効にする
  6. サービスアカウントに対してドメイン全体の委任を構成する
  7. 信頼済みIP範囲にISPM IPを追加する
  8. パラメーターを共有する

開始する前に

Google Workspaceスーパー管理者の権限があることを確認してください。

プロジェクトを作成する

  1. スーパー管理者としてGoogle Cloudコンソールにサインインし、ナビゲーションメニュー(Navigation menu)をクリックして開きます。

  2. IAMと管理者(IAM & Admin) > リソースの管理(Manage Resources)に移動します。

    Go to Navigation menu > IAM & Admin >Manage Resources

  3. プロジェクトを作成(+ Create Project)をクリックします。

  4. プロジェクト名(Project name)組織(Organization)場所(Location)などの必要な情報を入力します。

  5. 作成(Create)をクリックします。

サービスアカウントを作成する

  1. ナビゲーションメニュー(Navigation menu)を開き、IAMと管理者(IAM & Admin) > サービスアカウント(Service Accounts)に移動します。

  2. ページ上部のプロジェクトリストから、先ほど作成したプロジェクトを選択します。

    Your project

  3. サービスアカウントを作成する(Create service account)をクリックします。

  4. サービスアカウントの詳細(Service account details)セクションに次の情報を入力します。

    1. サービスアカウント名:名前を入力します。アカウント名をコピーして保存します。後で必要になります。

    2. サービスアカウントID:自動生成されたサービスアカウントIDはそのまま使用しても、変更しても構いません。

    3. サービスアカウントの説明:アカウントの簡単な説明を入力します。

  5. 作成して続行(Create and continue)をクリックします。

  6. このサービスアカウントにプロジェクトへのアクセスを許可する(Grant this service account access to project)セクションで、続行(Continue)をクリックします。ロールは追加しないでください。

  7. 任意。Grant users access to this service account (Optional)(このサービスアカウントにユーザーアクセスを付与する(任意)セクションで、このサービスを所有する、またはこのサービスにアクセスできるユーザーを追加します。

  8. 完了(Done)をクリックします。

サービスアカウントにロールを追加する

  1. 以下の手順で、サービス使用状況閲覧者(Service Usage Viewer)のロールを追加します。

    1. 作成したプロジェクトを選択します。

    2. ナビゲーションメニュー(Navigation menu)を開き、IAMと管理者(IAM & Admin) > IAMに移動します。

    3. アクセスを許可(Grant access)(Grant Access)をクリックします。

    4. 新しいプリンシパル(New Principals)に、作成したサービスアカウントのアドレスを入力します。

    5. ロールの選択(Select a role)サービス使用状況閲覧者(Service Usage Viewer)を検索して選択します。このロールが見つからない場合は、前の手順で選択したプロジェクトが正しいものであることを確認してください。

    6. 保存(Save)をクリックします。

  2. 以下の手順で、組織ロール閲覧者(Organization Role Viewer)のロールを追加します。

    1. 中心となる組織を選択します。

    2. ナビゲーションメニュー(Navigation menu)を開き、IAMと管理者(IAM & Admin) > IAMに移動します。

    3. アクセスを許可(Grant access)(Grant Access)をクリックします。

    4. 新しいプリンシパル(New Principals)に、作成したサービスアカウントのアドレスを入力します。

    5. ロールを選択(Select a role)組織ロール閲覧者(Organization Role Viewer)組織閲覧者(Organization Viewer)を検索して両方とも選択します。このロールが見つからない場合は、前の手順で選択したプロジェクトが中心となる組織のプロジェクトであることを確認してください。

    6. 保存(Save)をクリックします。

サービスアカウントのキーを作成する

  1. ナビゲーションメニュー(Navigation menu)を開き、IAMと管理者(IAM & Admin) > サービスアカウント(Service Accounts)に移動します。
  2. 新しいサービスアカウントで、アクション(Actions)列の下にあるメニューを開きます。
  3. キーを管理する(Manage keys)を選択します。
  4. キー(Keys)ページで、キーを追加(Add key)をクリックします。
  5. キーを新規作成(Create new key)を選択します。
  6. キータイプとしてJSONを選択します。
  7. 作成(Create)をクリックします。これにより、コンピューターにJSONファイルがダウンロードされます。このJSONファイルには、サービスアカウントがGoogle Workspaceにアクセスするための資格情報が含まれています。後で使用するためにこのファイルを保持します。
  8. 閉じる(Close)をクリックします。

APIアクセスを有効にする

  1. ナビゲーションメニュー(Navigation menu)を開き、APIとサービス(APIs & Services) > APIとサービスを有効化する(Enabled APIs & services)に移動します。
  2. 有効なAPIサービス(Enabled APIs & services)ページで、(まだ有効化されていない場合は)以下の手順で管理者SDK API(Admin SDK API)サービス使用状況API(Service Usage API)クラウドアイデンティティAPI(Cloud Identity API)クラウドリソースマネージャーAPI(Cloud Resource Manager API)を有効にします。

    1. APIとサービスを有効にする(Enable APIs and services)をクリックします。

    2. 検索バーを使用してAPIを検索し、選択します。クラウドアイデンティティAPI(Cloud Identity API)の場合は、Cloud Identityを検索します。

    3. そのAPIに対応するタイルを選択します。

    4. 特定のAPIを選択します。

    5. 有効化(Enable)をクリックします。

サービスアカウントに対してドメイン全体の委任を構成する

  1. Google Workspace管理コンソールにサインインし、ナビゲーションメニュー(Navigation menu)を開きます。
  2. セキュリティ(Security) > アクセスおよびデータ制御(Access and data control) > API制御(API controls)に移動します。
  3. ドメイン全体の委任(Domain wide delegation)セクションで、ドメイン全体の委任を管理(MANAGE DOMAIN WIDE DELEGATION)をクリックします。
  4. 新規追加(Add new)をクリックします。
  5. クライアントID(Client ID)フィールドにクライアントID(client_id)の値を入力します。この値は、サービスアカウントを作成する際に保存した資格情報JSONファイルに記載されています。

  6. OAuthスコープ(OAuth Scopes)フィールドに、以下のスコープをカンマ区切り値として入力します。

    https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.device.mobile.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly,https://www.googleapis.com/auth/admin.directory.orgunit.readonly,https://www.googleapis.com/auth/admin.directory.customer.readonly,https://www.googleapis.com/auth/cloud-platform.read-only,https://www.googleapis.com/auth/cloud-identity.inboundsso.readonly,https://www.googleapis.com/auth/cloud-identity.policies.readonly
  7. 承認(Authorize)をクリックします。

信頼済みIP範囲にISPM IPを追加する

任意。orgにGoogle WorkspaceのIP制限がある場合、統合を成功させるには、次のISPM IPアドレスが信頼済みIP範囲になくてはなりません。

  • 18.98.16.160/27

  • 3.44.64.96/27

  • 3.40.0.96/27

  • 13.52.68.184

  • 54.193.209.206

  • 13.57.96.208

  • 184.72.14.192

  • 13.57.65.107

  • 13.57.96.250

パラメーターをISPMと共有する

  1. Identity Security Posture Managementコンソールで設定(Settings) > ソースギャラリー(Sources gallery)に移動します。

  2. Google Workspaceを選択します。
  3. 以下のパラメーターを入力します。
    • ソース名(Source name):このコネクターの名前を入力します。
    • 特権管理者のメールアドレス(Super admin email address):orgでGoogle Workspaceの特権管理者権限を持つユーザーのメールアドレス。
    • 資格情報JSON(Credentials JSON)サービスアカウントを作成するセクションで作成したファイルをアップロードします。
  4. 送信(Submit)をクリックします。

関連項目

Google Cloud Platformの統合