Google Workspaceの統合

Identity Security Posture Management(ISPM)をGoogle Workspaceに統合します。

  1. プロジェクトを作成する
  2. サービスアカウントを作成する
  3. サービスアカウントにロールを追加する
  4. サービスアカウントのキーを作成する
  5. APIアクセスを有効にする
  6. サービスアカウントに対してドメイン全体の委任を構成する
  7. 信頼済みIP範囲にISPM IPを追加する
  8. パラメーターをISPMと共有する

開始する前に

Google Workspaceスーパー管理者の権限があることを確認してください。

プロジェクトを作成する

  1. スーパー管理者としてGoogle Cloudコンソールにサインインし、[Navigation menu(ナビゲーションメニュー)]を開きます。

  2. [IAM & Admin(IAMと管理者)][Manage Resources(リソースの管理)]に移動します。

    ナビゲーションメニュー >[IAMと管理者]>[リソースの管理]に進む

  3. [+ Create Project(プロジェクトを作成)]をクリックします。

  4. [Project name(プロジェクト名)][Organization(組織)][Location(場所)]などの必要な情報を入力します。

  5. [Create(作成)]をクリックします。

サービスアカウントを作成する

  1. Navigation menu(ナビゲーションメニュー)を開き、[IAM & Admin(IAMと管理者)] [Service Accounts(サービスアカウント)]に移動します。

  2. ページ上部のプロジェクトリストから、先ほど作成したプロジェクトを選択します。

    プロジェクト

  3. [Create service account(サービスアカウントを作成する)]をクリックします。

  4. [Service account details(サービスアカウントの詳細)]セクションに次の情報を入力します。

    1. サービスアカウント名:名前を入力します。アカウント名をコピーして保存します。後で必要になります。

    2. サービスアカウントID:自動生成されたサービスアカウントIDはそのまま使用しても、変更しても構いません。

    3. サービスアカウントの説明:アカウントの簡単な説明を入力します。

  5. [Create and continue(作成して続行)]をクリックします。

  6. [Grant this service account access to project(このサービスアカウントにプロジェクトへのアクセスを許可する)]セクションで、[Continue(続行)]をクリックします。ロールは追加しないでください。

  7. 任意。[Grant users access to this service account (Optional)(このサービスアカウントにユーザーアクセスを付与する(任意)]セクションで、このサービスを所有する、またはこのサービスにアクセスできるユーザーを追加します。

  8. [Done(完了)]をクリックします。

サービスアカウントにロールを追加する

  1. 以下の手順で、Service Usage Viewer(サービス使用状況閲覧者)のロールを追加します。

    1. 作成したプロジェクトを選択します。

    2. Navigation menu(ナビゲーションメニュー)を開き、[IAM & Admin(IAMと管理者)][IAM]に移動します。

    3. [Grant access(アクセスを許可)]をクリックします。

    4. [New Principals(新しいプリンシパル)]に、作成したサービスアカウントのアドレスを入力します。

    5. [Select a role(ロールの選択)][Service Usage Viewer(サービス使用状況閲覧者)]を検索して選択します。このロールが見つからない場合は、前の手順で選択したプロジェクトが正しいものであることを確認してください。

    6. [Save(保存)]をクリックします。

  2. 以下の手順で、Organization Role Viewer(組織ロール閲覧者)のロールを追加します。

    1. 中心となる組織を選択します。

    2. Navigation menu(ナビゲーションメニュー)を開き、[IAM & Admin(IAMと管理者)][IAM]に移動します。

    3. [Grant access(アクセスを許可)]をクリックします。

    4. [New Principals(新しいプリンシパル)]に、作成したサービスアカウントのアドレスを入力します。

    5. [Select a role(ロールを選択)][Organization Role Viewer(組織ロール閲覧者)][Organization Viewer(組織閲覧者)]を検索して両方とも選択します。このロールが見つからない場合は、前の手順で選択したプロジェクトが中心となる組織のプロジェクトであることを確認してください。

    6. [Save(保存)]をクリックします。

サービスアカウントのキーを作成する

  1. [Navigation menu(ナビゲーションメニュー)]を開き、[IAM & Admin(IAMと管理者)][Service Accounts(サービスアカウント)]に移動します。
  2. 新しいサービスアカウントで、[Actions(アクション)]列の下にあるメニューを開きます。
  3. [Manage keys(キーを管理する)]を選択します。
  4. [Keys(キー)]ページで、[Add key(キーを追加)]をクリックします。
  5. [Create new key(キーを新規作成)]を選択します。
  6. キータイプとして[JSON]を選択します。
  7. [Create(作成)]をクリックします。これにより、コンピューターにJSONファイルがダウンロードされます。このJSONファイルには、サービスアカウントがGoogle Workspaceにアクセスするための資格情報が含まれています。後で使用するためにこのファイルを保持します。
  8. [Close(閉じる)]をクリックします。

APIアクセスを有効にする

  1. Navigation menu(ナビゲーションメニュー)を開き、[APIs & Services(APIとサービス)][Enabled APIs & services(APIとサービスを有効化する)]に移動します。
  2. [Enabled APIs & services(有効なAPIとサービス)]ページで、(まだ有効化されていない場合は)以下の手順によってAdmin SDK API(管理者SDK API)Service Usage API(サービス使用状況API)、Cloud Identity API(クラウドアイデンティティAPI)Cloud Resource Manager API(クラウドリソースマネージャーAPI)を有効にします。

    1. [Enable APIs and services(APIとサービスを有効にする)]をクリックします。

    2. 検索バーを使用してAPIを検索し、選択します。[Cloud Identity API(クラウドアイデンティティAPI)]の場合は、Cloud Identityを検索します。

    3. そのAPIに対応するタイルを選択します。

    4. 特定のAPIを選択します。

    5. [Enable(有効化)]をクリックします。

サービスアカウントに対してドメイン全体の委任を構成する

  1. Google Workspace管理コンソールにサインインし、[Navigation menu(ナビゲーションメニュー)]を開きます。
  2. [Security(セキュリティ)][Access and data control(アクセスおよびデータ制御)][API controls(API制御)]に移動します。
  3. [Domain wide delegation(ドメイン全体の委任)]セクションで、[MANAGE DOMAIN WIDE DELEGATION(ドメイン全体の委任を管理)]をクリックします。
  4. [Add new(新規追加)]をクリックします。
  5. [Client ID(クライアントID)]フィールドにclient_id(クライアントID)の値を入力します。この値は、サービスアカウントを作成する際に保存した資格情報JSONファイルに記載されています。

  6. [OAuth Scopes(OAuthスコープ)]フィールドに、以下のスコープをカンマ区切り値として入力します。

    コピー 
    \https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.device.mobile.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly,https://www.googleapis.com/auth/admin.directory.orgunit.readonly,https://www.googleapis.com/auth/admin.directory.customer.readonly,https://www.googleapis.com/auth/cloud-platform.read-only,https://www.googleapis.com/auth/cloud-identity.inboundsso.readonly,https://www.googleapis.com/auth/cloud-identity.policies.readonly
  7. [Authorize(認可)]をクリックします。

信頼済みIP範囲にISPM IPを追加する

orgにGoogle WorkspaceのIP制限がある場合、統合を成功させるには、ISPM IPアドレスの13.52.68.18454.193.209.20613.57.96.208および184.72.14.192が信頼済みIP範囲になくてはなりません。

パラメーターをISPMと共有する

  1. Identity Security Posture Managementコンソールで[Settings(設定)][Sources gallery(ソースギャラリー)]に移動します。

  2. [Google Workspace]を選択します。
  3. 以下のパラメーターを入力します。
    • [Source name(ソース名)]:このコネクターの名前を入力します。
    • [Super admin email address(特権管理者のメールアドレス)]:orgでGoogle Workspaceの特権管理者権限を持つユーザーのメールアドレス。
    • [Credentials JSON(資格情報JSON)]サービスアカウントを作成するセクションで作成したファイルをアップロードします。
  4. [Submit(送信)]をクリックします。

関連項目

Google Cloud Platformの統合