所有権の転送機能のためのアカウントの認可

所有権のGmail転送機能を使用するには、Google Cloudプロジェクトとサービスアカウントをセットアップする必要があります。代理人の追加およびメールの転送に必要なAPIエンドポイントは、ドメイン全体の権限を付与されているサービスアカウントでのみ使用できます。

このトピックの手順を実行するには、G SuiteドメインとGoogle Cloud Platformへの管理者アクセス権を持っている必要があります。

Google Cloudプロジェクトを作成する

この手続きを完了するために新規プロジェクトを作成する必要はありません。すでにGoogle Cloudプロジェクトがある場合は、ステップ5に進んでください。

Google Cloud Platform（https://console.cloud.google.com）に移動します。
上部のナビゲーションバーで、［Quickstart（クイックスタート）］ドロップダウンをクリックします。プロジェクトダイアログが表示されます。
ドロップダウンから、Organizationを選択し、［NEW PROJECT（新規プロジェクト）］をクリックします。
［Project name（プロジェクト名）］フィールドにプロジェクト名を入力し、［Create（作成）］をクリックします。

Google CloudプロジェクトのGmail APIを有効化する

左側のナビゲーションペインで、［APIs & Services（APIとサービス）］［Library（ライブラリ）］を選択します。
［Search（検索）］フィールドに、Gmailと入力します。検索結果にGmail APIと表示されます。
［Gmail API］ をクリックし、［Gmail API］ページの［Enable（有効化）］をクリックします。

Google Cloudプロジェクトが作成され、Gmail APIが有効になります。

Google Cloudプロジェクトのサービスアカウントを作成する

左側のナビゲーションペインで、［IAM & Admin（IAMと管理者）］［Service Accounts（サービスアカウント）］を選択します。
［Service accounts（サービスアカウント）］ページの上部にある［CREATE SERVICE ACCOUNT（サービスアカウントの作成）］をクリックします。
［Service account details（サービスアカウントの詳細）］セクションでサービスアカウント名と説明（オプション）を追加し、［CREATE（作成）］をクリックします。
［Service account permissions（optional）（サービスアカウントの権限（任意））］ページで、［Continue（継続）］をクリックします。このステップは後で完了します。
［Grant users access to this service（ユーザーにこのサービスのアクセス権を付与）］ページで、［DONE（完了）］をクリックします。このステップも後で完了します。

サービスアカウントが作成されました。

権限のG Suiteドメイン全体の委任をセットアップする

エンドポイントを使用して代理人の追加またはユーザーのメールの転送を行うには、ドメイン全体の権限を持つGoogle Cloudサービスアカウントが必要です。サービスアカウントのドメイン全体の権限を有効化することで、ユーザーのデータ側で手動の権限を設定することなくサービスアカウントがプログラム的にアクセス可能になります。

権限のドメイン全体の委任をセットアップするには、次の手順を実行します。

前のタスクで作成したサービスアカウントを特定します。
サービスアカウントの名前またはそのアカウント名の［Actions（アクション）］メニューをクリックし、［Edit（編集）］を選択します。
［SHOW DOMAIN-WIDE DELEGATION（ドメイン全体の委任の表示）］ドロップダウンをクリックします。
ヘッダーバーで、［Edit（編集）］をクリックします。
［Enable G Suite Domain-wide Delegation（G Suiteドメイン全体の委任を有効化する）］ボックスを選択します。
［Product name for the consent screen（同意画面の製品名）］フィールドに名前を追加し、［Save（保存）］をクリックします。

プロジェクトのG Suiteドメイン全体の委任がセットアップされました。［Client ID（クライアントID）］フィールドには、G Suiteアカウントに関連付けられたサービスアカウントの値が入力されます。［Client ID（クライアントID）］値を書き留めます。

G Suiteドメインのサービスアカウントの登録とスコープの追加を行う

https://admin.google.comに移動します。
必要に応じて、ログイン資格情報を使用して認証します。
［Security（セキュリティ）］を選択します。
［Advanced Settings（詳細設定）］を選択します。
［API client access（APIクライアントアクセスの管理）］をクリックします。
権限付与されたAPIクライアントリストで、［Client Name（クライアント名）］フィールドに、前のタスクで生成されたクライアントIDを追加します。
［One or More API Scopes（1つまたは複数のAPIスコープ）］フィールドに、必要なスコープを追加します。代理人の追加またはメールの転送に必要なスコープは次のとおりです。

https://www.googleapis.com/auth/gmail.settings.basic
https://www.googleapis.com/auth/gmail.settings.sharing

［Authorize（認可）］をクリックし、［Save（保存）］をクリックします。

G Suiteドメインを持つサービスアカウントが登録され、アカウントに適切な権限（スコープ）が追加されました。サービスアカウントはG Suiteドメインのユーザーのデータにアクセスできるようになりました。

Google Cloudプロジェクトでユーザーのアクセスとロールの割り当てを行う

Workflows GmailコネクターでAdd Delegate、Forward Emails、またはSet Auto Replyアクションカードを使用するには、Google Cloudプロジェクトの各ユーザーに権限が必要です。各ユーザーはプロジェクトレベルのサービスアカウントユーザーのロールが必要です。このロールによって、ユーザーはアクションカードに動的なドロップダウンパラメーターをロードできます。

各ユーザーはサービスアカウントレベルのサービスアカウントトークン作成者のロールも必要です。このロールは、サービスアカウントがG Suiteドメインのユーザーデータにアクセスするための一時的な資格情報を生成する権限をユーザーに割り当てます。

ユーザーを追加し、サービスアカウントユーザーのロールを割り当てるには、次の手順を実行します。

https://console.cloud.google.comに移動します。
Google Cloudプロジェクトとサービスアカウントを特定します。
左側のナビゲーションペインで、［IAM & Admin（IAMと管理者）］をクリックします。
［IAM］を選択します。
［ADD（追加）］をクリックします。
［New members（新規メンバー）］フィールドに、ユーザーのメールアドレスを追加します。
［Select a role（ロールの選択）］ドロップダウンで、［Service Accounts（サービスアカウント）］［Service Account User（サービスアカウントユーザー）］を選択します。
［Save（保存）］をクリックします。

ユーザーを追加し、サービスアカウントトークン作成者ロールを割り当てるには、次の手順を実行します。

左側のナビゲーションペインで、［IAM & Admin（IAMと管理者）］をクリックします。
［Service Accounts（サービスアカウント）］をクリックします。
サービスアカウントのチェックボックスをオンにし、［SHOW INFO PANEL（情報パネルの表示）］をクリックします。
［Permissions section （権限）］セクションで、［ADD MEMBER（メンバーの追加）］をクリックします。
［New members（新規メンバー）］フィールドに、ユーザーのメールアドレスを追加します。
［Select a role（ロールの選択）］ドロップダウンで、［Service Accounts（サービスアカウント）］［Service Account Token Creator（サービスアカウントトークン作成者）］を選択します。
［Save（保存）］をクリックします。

Workflows Gmailコネクターに対して認証を行い、Add Delegate、Forward Emails、Set Auto Replyアクションカードを使用できるユーザーがGoogleプロジェクトに追加されます。